Via onderstaande procedure kunt u een SSO connectie met het OpenID protocol opzetten met SecureLogin als Identity Provider (IDP).

Let op: deze optie staat niet standaard aan binnen uw omgeving. Neem hiervoor contact op met onze Helpdesk via support@securelogin.nu.


Om single sign-on voor SecureLogin te activeren moet u later de volgende gegevens in de AFAS Online Portal vastleggen:

  • AFAS Config URL
  • AFAS Client ID
  • AFAS Client Secret    


Ga direct naar:

  1. Configuratie voor SecureLogin beheerder
  2. Voorbereiding AFAS beheerder
  3. Configuratie AFAS beheerder
    1. Inlogmethode per applicatie in Portal vastleggen
    2. Stel per applicatie in welke identity provider je wilt gebruiken
    3. UPN invullen per gebruiker en inloggen testen
  4. AFAS widgets binnen SecureLogin

Stap 1: Configuratie voor de SecureLogin beheerder


  1. Login op uw SecureLogin dashboard
  2. Klik open kies voor AFAS OpenID
  3. Vul in het onderstaande scherm uw 5-cijferige omgevingscode in, en klik op AFAS OpenID inschakelen
  4. Vervolgens ziet u onderstaand scherm, met de waardes die u nodig heeft in het AFAS Online Portal. Via de knop kopiëren, kunt u deze waarden gemakkelijk kopiëren naar uw klembord.



Stap 2: Voorbereiding AFAS beheerder


Profit-beheerder instellen voor portal

Bij Single Sign-on moet de Profit-beheerder als portal-beheerder bepaalde acties op de AFAS Online Portal uitvoeren. Daarom stel je de Profit-beheerder in als portal-beheerder.


Let op: Hierdoor krijgt de beheerder NA DE OVERSTAP op de AFAS Online Portal toegang tot het tabblad Beheer. Als je al bent ingelogd op de AFAS Online Portal, moet je eerst uitloggen en dan weer inloggen. Daarna is het tabblad Beheer zichtbaar.

  1. Ga naar: Algemeen > Beheer > Autorisatie tool.
  2. Open de eigenschappen van de beheerder.
  3. Ga naar het tabblad Applicaties.
  4. Vink AFAS Online Portal Beheerder aan.
  5. Als je een AFAS Accept licentie hebt, is het veld AFAS Accept beschikbaar. Als een gebruiker toegang mag hebben tot Accept-omgeving, dan vink je bij deze gebruiker het veld AFAS Accept aan.


Stap 3: Configuratie AFAS beheerder



Inlogmethode per applicatie in Portal vastleggen

Vul de gegevens van je eigen SSO Identity provider in

  1. Ga naar: www.afasonline.nl.
  2. Als je nog bent ingelogd op basis van Single Sign-On, moet je eerst uitloggen.
  3. Log in als beheerder met twee-factorauthenticatie.
    1. Log je voor het eerst in? Volg dan deze procedure.
    2. Al vaker ingelogd als beheerder? Volg dan deze procedure.

    3. Let op: Gebruik bij het inloggen het e-mailadres dat bij de beheerder is vastgelegd in het veld E-mail. Je vindt dit veld in de Autorisatie Tool, eigenschappen van de beheerder, tabblad Algemeen, veld E-mail).

      Log niet in via single sign-on, dan is het tabblad Beheer niet zichtbaar.
  4. Ga naar tabblad: Beheer / Identity provider.
  5. Selecteer bij type voor OpenID Connect.
    1. Bij RedirectUri is de url die nodig is om de koppeling met de andere partij te leggen al ingevuld (https://sts.afasonline.com/signin-oidc). Hetzelfde geldt voor de url bij PostLogoutRedirectUri (https://sts.afasonline.com/signout-callback-oidc).
    2. Vul een duidelijke Omschrijving in. Bijvoorbeeld: SSO SecureLogin.
    3. Vul bij OpenID Connect configuratie url de externe URL (AFAS Configuratie URL) in waarop de server te benaderen is. Deze heb je ontvangen van de SecureLogin beheerder.
      Bijvoorbeeld: https://example.securelogin.nu/.well-known/openid-configuration
    4. Vul bij Client ID de in SecureLogin gegenereerde AFAS Client ID in.
    5. Vul bij Client Secret de in SecureLogin gegenereerde AFAS Client Secret in.
    6. Vul bij Scopes de in SecureLogin aangegeven Scopes in.
    7. Vul bij Claim de in SecureLogin aangegeven Claim in.
    8. Klik op: Opslaan.


Stel per applicatie in welke identity provider je wilt gebruiken

Bepaal per applicatie welke identity provider je wilt gebruiken.


Let op: Gebruikers blijven inloggen via twee-factorauthenticatie, tot je per gebruiker een UPN hebt vastgelegd.

  1. Ga naar www.afasonline.nl en log in als beheerder als dat nog niet het geval is.
  2. Ga naar: Beheer / Single Sign on.
    Je ziet hier de applicaties die er voor jou zijn bij AFAS Online.
  3. Selecteer per applicatie de Identity provider die je wilt gebruiken: je eigen Single Sign On-identity provider of de standaard AFAS Identity Provider (als je van twee-factorauthenticatie gebruik wilt maken).
  4. Let op: Binnen SecureLogin is er een aparte widget voor elke AFAS-applicatie. Wil je alle logins via SecureLogin laten verlopen, kies dan overal voor SSO SecureLogin.
  5. Klik op: Opslaan.


UPN invullen per gebruiker en inloggen testen

We adviseren je single sign-on eerst te testen met één testgebruiker.


Stap 1: UPN invullen bij één gebruiker

De Profit-beheerder vult de UPN in via de onderstaande stappen.

  1. Ga naar: Algemeen / Beheer / Autorisatietool.
  2. Open de eigenschappen van de gebruiker.
  3. Vul de UPN in (deze dient gelijk te zijn aan de gebruikersnaam waarmee bij SecureLogin wordt ingelogd. Vanuit SecureLogin kan er een csv export gemaakt worden, zie daarvoor de AFAS OpenID instellingen venster).
  4. Klik op: OK. Je hebt nu de UPN aan de gebruiker gekoppeld!


Stap 2: Testen inloggen met één gebruiker

  1. Open in de browser de url van een applicatie waarvoor je zojuist in de portal de SSO Identity provider hebt gekoppeld. Je ziet nu een scherm met de AFAS Online programma’s. Klik op de ‘Profit’ tegel om Profit te openen. Afhankelijk van de situatie kan de tegel gekoppeld zijn aan je live-omgeving of aan de testomgeving.
    Als je InSite gebruikt, kun je InSite direct in je browser openen (bij een testomgeving moet de InSites-site natuurlijk wel gepubliceerd zijn).
  2. Als de gebruiker succesvol is ingelogd, ga je door met de volgende stap.


Stap 3: UPN invullen bij alle gebruikers

  1. De UPN van de gebruikers moet gevuld worden voordat ze via single sign-on kunnen inloggen.
  2. Let op: Vul de UPN van alle gebruikers in de live-omgeving. Dit kan - afhankelijk van je situatie - voor of na de overstap. Het heeft geen zin om de UPN van alle gebruikers in de testomgeving te vullen. De door AFAS aangemaakte testomgeving wordt net voor de overstap immers verwijderd. In de testomgeving leg je de UPN alleen vast bij gebruikers die je wilt testen.
  3. Doe je dit voor een beperkt aantal gebruikers, vul dan handmatig de UPN's. Zie voor uitleg hierboven Stap 1 Invullen UPN van één gebruiker. Heb je een groot aantal gebruikers waarvoor het veld UPN gevuld moet worden, dan kun je deze importeren via de import ‘Gebruiker mutatie’.


Stap 4: AFAS widgets in SecureLogin

Na het configureren zijn de volgende widgets voor u beschikbaar:


AFAS Insite (OpenID)

  • Er is geen verdere configuratie van de widget nodig. De widget kan gebruikt worden mits de UPNs van AFAS en SecureLogin gelijk zijn. De SecureLogin beheerder kan de widget aan de gewenste groep(en) toevoegen.


AFAS Outsite (OpenID)

  • Binnen de widget moet de custom domain voor AFAS Outsite ingevuld worden. De widget kan gebruikt worden mits de UPNs van AFAS en SecureLogin gelijk zijn. De SecureLogin beheerder kan de widget aan de gewenste groep(en) toevoegen.


AFAS Profit Portal (OpenID)

  • Er is geen verdere configuratie van de widget nodig. De widget kan gebruikt worden mits de UPNs van AFAS en SecureLogin gelijk zijn. De SecureLogin beheerder kan de widget aan de gewenste groep(en) toevoegen.