AutoMate Technisch Help

Externe Diensten — Topologie & Toegang

Dit topic brengt in kaart welke externe diensten AutoMate gebruikt, hoe Productie en Development zich tot elkaar verhouden, en wie via welke toegangsroute (Cloudflare One) bij welke resources kan. Het dient als referentiepunt bij onboarding, incident-response en toegangsbeheer.

Overzicht externe diensten

Dienst

Rol

Omgeving

Microsoft Azure

Primaire cloud — host voor App Services, KeyVault, SQL, Service Bus, Storage, Redis, Application Insights, Log Analytics

Productie & Development (gescheiden resources)

Azure SQL

Relationele databases (per omgeving)

Productie & Development

Azure Managed Redis (Enterprise)

Distributed cache voor API, achter Private Endpoint

Productie & Development

Application Insights

Telemetrie en performance monitoring van API en Portal

Productie & Development

Log Analytics Workspace

Centrale Azure-logs (gekoppeld aan App Insights en Container App Environment)

Productie & Development

Microsoft Graph

M365-automatisering: gebruikers, groepen, Teams, Exchange

Productie & Development (via eigen app registrations)

HR-bron (AFAS e.d.)

Ophalen van HR-records via externe connector

Productie & Development

SendGrid

Uitgaande e-mail (transactioneel), inclusief webhook-verificatie

Productie & Development (eigen API keys per omgeving)

Cloudflare One

Zero Trust toegangslaag: WAF + OWASP managed ruleset op alle automate365.cloud subdomains, Cloudflare Access per-user policies, GitHub Actions runners via WARP

Alle omgevingen

Cloudflare Tunnel B — Portal sidecar

cloudflare/cloudflared:latest sitecontainer op de Portal Management webapp (production-slot; Bicep: alleen dev)

Routeert per omgeving de Portal-domeinen (prod: app.* + api.*, dev: dev.* + api.dev.*). api.* verkeer kan via een self-loop worden verwerkt

Cloudflare Tunnel A — Container App

*-Automate-Conn-CFTunnel-CA-Weu in *-Conn-CFTunnel-CAE-Weu; 2 replicas, Consumption, snet-cftunnel-out. Routeert beheerverkeer: SCM/Kudu, Redis-beheer, SQL-beheer

Dev en Prod (in Bicep via CFTunnel.bicep)

Railway

Hosting van de publieke Status Page (Docker container)

Omgeving-overstijgend (één instantie)

TransIP

Hosting van applicatielogs via Seq

Omgeving-overstijgend

Infrastructuurtopologie

Het diagram toont hoe de twee Azure-omgevingen (Productie en Development), de externe diensten en de Cloudflare-toegangslaag met elkaar samenhangen.

Externe Diensten

Azure — Development

Azure — Productie

Toegang — Cloudflare One

via Private Endpoint

via Private Endpoint

via Private Endpoint

via Private Endpoint

Cloudflare Zero Trust\nTunnel / Access

Container App\ncloudflared — 2 replicas\nsnet-cftunnel-out

AutoMate.API\nApp Service

Web Portal\nApp Service

Key Vault

Azure SQL

Managed Redis\nPrivate Endpoint

Application Insights

Log Analytics

Container App\ncloudflared — 2 replicas\nsnet-cftunnel-out

AutoMate.API\nApp Service

Web Portal\nApp Service\n+ cloudflared sidecar

Key Vault

Azure SQL

Managed Redis\nPrivate Endpoint

Application Insights

Log Analytics

Microsoft Graph\nM365 automatisering

HR-bron\nbijv. AFAS

SendGrid\nUitgaande e-mail + webhook

Railway\nStatus Page

TransIP\nLog-opslag

Medewerker

Toegangsmatrix per medewerker

De tabel hieronder geeft per medewerker aan welke resources bereikbaar zijn via Cloudflare One.

Resource

Matthijs van der Plas

Vincent Boots

Niels Lakeman

Daphne

Productie — API

Ja (via PIM)

Ja (via PIM)

Ja (via PIM)

Nee

Productie — Web Portal

Ja (via PIM)

Ja (via PIM)

Ja (via PIM)

Nee

Productie — Key Vault

Ja (via PIM)

Ja (via PIM)

Ja (via PIM)

Nee

Productie — Databases

Ja (via PIM)

Ja (via PIM)

Ja (via PIM)

Nee

Development — API

Ja

Ja

Ja

Nee

Development — Web Portal

Ja

Ja

Ja

Nee

Development — Key Vault (Web API)

Ja

Ja

Ja

Ja

Development — Databases

Ja

Ja

Ja

Ja

Azure Portal — Productie subscription

Ja

Ja

Nee

Nee

Azure Portal — Development subscription

Ja

Ja

Nee

Nee

Microsoft Graph (Entra admin / app registrations)

Ja

Ja

Nee

Nee

HR-bron (AFAS admin portal)

Ja

Ja

Nee

Nee

SendGrid (dashboard)

Ja

Ja

Ja

Nee

Railway (dashboard)

Ja

Ja

Nee

Nee

TransIP (control panel)

Ja

Ja

Nee

Nee

Cloudflare One (Zero Trust admin)

Ja

Ja

Nee

Nee

Toegangsdiagrammen per medewerker

Tussen Cloudflare One en de resources zit een laag Firewall / Access Rules (Cloudflare Access policies). Deze regels bepalen per identiteit (medewerker) en device-posture welke applicaties en netwerk-resources daadwerkelijk doorgelaten worden. De diagrammen tonen alleen de doorgelaten paden — wat niet getekend is, wordt door de FW-regels geblokkeerd.

Matthijs van der Plas — volledige toegang

Externe Diensten-consoles

Azure — Development

Azure — Productie (alleen via PIM)

Matthijs

Cloudflare One

FW / Access Rules\nallow: all

Entra PIM\njust-in-time elevatie

API

Web Portal

Key Vault

Databases

API

Web Portal

Key Vault Web API

Databases

Azure Portal Prod

Azure Portal Dev

Microsoft Graph / Entra

HR-bron / AFAS

SendGrid

Railway

TransIP

Cloudflare One admin

Vincent Boots — volledige toegang

Externe Diensten-consoles

Azure — Development

Azure — Productie (alleen via PIM)

Vincent

Cloudflare One

FW / Access Rules\nallow: all

Entra PIM\njust-in-time elevatie

API

Web Portal

Key Vault

Databases

API

Web Portal

Key Vault Web API

Databases

Azure Portal Prod

Azure Portal Dev

Microsoft Graph / Entra

HR-bron / AFAS

SendGrid

Railway

TransIP

Cloudflare One admin

Niels Lakeman — Productie + Development resources, plus SendGrid

Externe Diensten-consoles — toegestaan

Azure — Development

Azure — Productie (alleen via PIM)

deny

Geblokkeerd door FW-regels

Azure Portal Productie

Azure Portal Development

Microsoft Graph / Entra

HR-bron / AFAS

Railway

TransIP

Cloudflare One admin

Niels

Cloudflare One

FW / Access Rules\nallow: Prod + Dev + SendGrid\ndeny: overige consoles

Entra PIM\njust-in-time elevatie

API

Web Portal

Key Vault

Databases

API

Web Portal

Key Vault Web API

Databases

SendGrid

Daphne — beperkt tot Development Key Vault Web API en Development Databases

Azure — Development

deny

Geblokkeerd door FW-regels

Productie — API, Web Portal, Key Vault, Databases

Development — API, Web Portal

Azure Portal Productie

Azure Portal Development

Microsoft Graph / Entra

HR-bron / AFAS

SendGrid

Railway

TransIP

Cloudflare One admin

Daphne, laptop

Cloudflare One

FW / Access Rules\nallow: D_KV + D_DB\ndeny: all overige

Key Vault Web API

Databases

Omdat Mermaid-renderers per platform licht kunnen afwijken, is de toegangsmatrix-tabel hierboven de gezaghebbende referentie voor toegangsrechten.

Omgevingsscheiding

Azure-resources zijn volledig gescheiden per omgeving via afzonderlijke Resource Groups en naamgevingsprefixen (zie Hosting — SaaS Applicatie):

Omgeving

Prefix

Doel

Development

D

Ontwikkeling en testen

Productie

P

Live omgeving

Microsoft Graph en HR-bron-integraties gebruiken per omgeving eigen app registrations of API-keys, zodat Development-operaties nooit productiegegevens raken. SendGrid gebruikt afzonderlijke API-sleutels per omgeving (opgeslagen in de respectievelijke Key Vault).

Onderhoud van dit document

Dit topic moet worden bijgewerkt wanneer:

  • Een externe dienst wordt toegevoegd of verwijderd uit de AutoMate-infrastructuur

  • Toegangsrechten van een medewerker wijzigen (uitbreiding of intrekking)

  • Een nieuwe medewerker toegang krijgt via Cloudflare One

  • Er een omgeving wordt toegevoegd (bijv. een Test-omgeving)

  • De Cloudflare One-configuratie structureel wijzigt (bijv. nieuwe tunnels of access policies)

Verantwoordelijke voor onderhoud: de medewerker die de wijziging doorvoert past dit document aan als onderdeel van het change-proces.

Last modified: 11 June 2026