Панель управленияv.2.9
История изменений Панели управления ONLYOFFICE
Версия 2.9.1
Дата выпуска: 10.12.2020
- Исправления ошибок и улучшения производительности.
Версия 2.9
Дата выпуска: 14.10.2020
- Панель управления доступна в бесплатной версии Community со всеми настройками, кроме замены логотипа для редакторов;
- В инсталляционные скрипты добавлена проверка vsyscall при установке Почтового сервера на Debian с ядром 4.18.0 и выше;
- Редизайн навигационного меню: добавлены разделы "Общие настройки" и "Настройки портала", добавлены иконки для пунктов меню;
- Добавлена страница расширенных настроек ребрендинга в общих настройках;
- Добавлена возможность сброса индексов для полнотекстового поиска;
- Обновлен
node.js
, обновлены пакеты (переход на samlify
для SSO);
- Добавлен блок Шифрование хранящихся данных в разделе Хранилище;
- Добавлен раздел Приватная комната только для серверных версий;
- Добавлена страница
upgrade
с предложением перейти на Enterprise Edition;
- Добавлена страница
activate
с возможностью загрузки файла лицензии;
- В настройку SSO добавлен пункт HideAuthPage для возможности скрыть страницу авторизации. При включении настройки HideAuthPage будет происходить автоматический редирект со страницы авторизации в SSO сервис.
- Добавлена настройка Войти в домен на странице авторизации.
- Переход на новую библиотеку
samlify
;
- В настройку SSO добавлен пункт HideAuthPage для возможности скрыть страницу авторизации. При включении настройки HideAuthPage будет происходить автоматический редирект со страницы авторизации в SSO сервис.
Версия 2.7
Дата выпуска: 25.04.2019
- Расширено число сопоставляемых полей для пользователей, загружаемых по LDAP: фото пользователя, день рождения, контакты, основной телефон;
- Добавлена настройка для автоматической синхронизации LDAP по расписанию;
- Добавлена возможность назначения прав администратора группам пользователей на портале по LDAP;
- Обновлены правила для пользователей LDAP.
Версия 2.5.1
Дата выпуска: 07.04.2018
- Исправлена ошибка
Server internal error
при использовании вложенных групп, входящих друг в друга в AD (bug #37414).
- Исправлена проблема, при которой данные пользователя пересылались между Service Provider и порталом только по протоколу HTTP, даже если был включен протокол HTTPS.
Версия 2.5.0
Дата выпуска: 15.03.2018
- Исправлена ошибка, при которой аккаунт пользователя, добавленного через LDAP, не подключался в сторонних клиентах (bug #26073);
- Исправлена ошибка, при которой пользователи, состоящие в группах с недопустимыми символами, не могли пройти авторизацию с помощью LDAP (bug #36891);
- Исправлена ошибка
Internal Server Error
при обновлении пользователей, у которых поля location
или title
были сохранены со значением NULL
.
Версия 2.4.0
Дата выпуска: 13.01.2018
- Исправлена ошибка
Invalid ssoConfig
, возникавшая, если в ссылке на IDP присутствовал знак вопроса '?', например: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777
;
- Исправлена ошибка
Invalid authentication token
, при которой не добавлялся пользователь на портал по AD FS, если при передаче данных в зашифрованном виде присутствовали символы +
или -
.
Версия 2.3.0
Дата выпуска: 15.12.2017
- Для Панели управления добавлена история изменений и ссылка на нее;
- Исправлена ошибка, при которой не передавались параметры JWT при обновлении Сервера документов (bug #36270);
- Исправлена ошибка, при которой заголовок
Журнал аудита
отображался на странице истории входов в систему (bug #36026);
- Теперь выполняется проверка связи текущей машины и доменного имени при использовании мультипортальности.
- Исправлена ошибка
LDAP Domain not found
, которая появлялась, если в DN-записи не было DC-записей (у пользователей с Sun/Oracle DS); теперь, если LDAP-домен определить не получится, LDAP-домен будет приобретать значение unknown
или значение ключа ldap.domain
из файла конфигурации web.appsettings.config
;
- Исправлена ошибка
Sizelimit Exceeded
при попытке получения более 1000 пользователей из Active Directory;
- Увеличена скорость входа в систему при включенной настройке Принадлежность к группе;
- Добавлены дополнительные логи;
- Исправлена ошибка с зависанием LDAP-операций при использовании Mono версии 5.2.0 и старше;
- Исправлена ошибка при попытке входа в систему по адресу электронной почты, введенному в полях, отличных от
Mail Attribute
;
- Исправлена ошибка с вложенными группами, при которой пользователи отображались не во всех группах.
Версия 2.2.0
Дата выпуска: 31.10.2017
- Добавлен вызов скрипта documentserver-prepare4shutdown.sh при обновлении Сервера документов для корректного сохранения редактируемых документов.
- Глобальные изменения в LDAP-интеграции, переход на одну библиотеку для работы с LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
- Login и email разбиты на 2 отдельных поля;
- Добавлена поддержка больших данных;
- Увеличена скорость работа по протоколу LDAP (соединение с сервером и получение данных теперь происходит один раз за сессию; добавлены лимиты, там, где нужно только определённое число результатов; исправлен долгий Login на больших данных; убран постоянный перебор для поиска параметра, отвечающего за SID);
- Исправлена проблема пересоздания пользователей;
- Исправлена проблема дублирования имени пользователя;
- Исправлена проблема, возникавшая, если такой адрес электронной почты уже существует;
- Удаление пользователей LDAP заменено на деактивацию учётной записи (для дальнейшей задачи миграции данных и повышения сохранности данных);
- Пересоздание пользователя с неизвестным SID, но с существующим Email заменено на обновление данных;
- Добавлена попытка сохранить правильный UserName/Login, если такой уже занят на портале.
- Добавлена поддержка AD FS;
- Ссылка Single Sign-on на странице авторизации заменена на кастомизируемую кнопку, возможность кастомизации кнопки добавлена на странице настроек SSO в Панели управления.
Версия 2.1.0
Дата выпуска: 03.07.2017
- Добавлена поддержка сервиса letsencrypt для генерации сертификата домена.
- Добавлен новый сервис
sso.auth
;
- Добавлена новая страница настроек единого входа (SSO);
- Добавлена поддержка Shibboleth.
Версия 2.0.0
Дата выпуска: 25.05.2017
- Переход Панели управления с
MVC
на Node.js
.
Версия 1.6.0
Дата выпуска: 05.12.2016
- Добавлена LDAP-синхронизация пользователей и групп при сохранении настроек, после входа на портал и при использовании кнопки Синхронизировать;
- Изменено формирование адреса электронной почты для пользователей LDAP;
- Исправлена проблема создания пользователей с невалидными адресами электронной почты;
- Исправлена проблема дублирования пользователей;
- Добавлены иконки и подсказки в списке пользователей для администратора;
- Заблокированы для редактирования поля в профиле пользователя, импортированные по LDAP;
- Добавлено сохранение реального пароля LDAP в базу при входе на случай отключения LDAP Auth. LDAP-пользователи при отключении LDAP Auth станут обычными пользователями портала;
- Добавлен новый метод в API Settings - Sync LDAP;
- Добавлены новые переводы;
- Исправление ошибок.
- Внесены изменения на странице Обновление в Панели управления для Windows;
- Обновление происходит путем скачивания установочных пакетов для каждого модуля.
- Получение текущих версий установленных компонентов осуществляется через API-запрос к Серверу совместной работы.
- Получение новых, доступных для скачивания, версий осуществляется запросом к файлу https://download.onlyoffice.com/install/windows/updates.txt, в котором в формате JSON хранятся номера последних версий компонентов и ссылки на их скачивание.
Введение
Технология единого входа (англ. Single Sign-On или SSO) - технология, которая позволяет пользователям осуществлять вход в систему только один раз, а затем получать доступ ко множеству приложений/сервисов без повторной аутентификации.
Если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.
SSO - это всегда совместная работа двух приложений: поставщика учетных записей (англ. Identity Provider, далее по тексту сокращенно "IdP") и поставщика сервиса (англ. Service Provider, далее по тексту сокращенно "SP"). ONLYOFFICE SSO реализует только SP. В качестве IdP может выступать множество различных провайдеров, но в этой статье мы рассмотрим реализацию Active Directory Federation Services (AD FS).
Если вы хотите использовать SSO при подключении Десктопных редакторов ONLYOFFICE к ONLYOFFICE Workspace, отключите Приватные комнаты в Панели управления.
Системные требования
Системные требования включают в себя следующее программное обеспечение, которое было протестировано и корректно работает с ONLYOFFICE SSO:
- Windows Server 2008 R2, Windows Server 2016;
- AD FS версии 3.0 или более поздней версии.
Подготовка ONLYOFFICE Workspace для настройки SSO
- Установите версию ONLYOFFICE Workspace для Docker или любую более позднюю версию с поддержкой SSO (AD FS поддерживается, начиная с версии 9.5 Сервера совместной работы).
- Привяжите доменное имя, например, myportal-address.com.
- На портале перейдите в Панель управления -> HTTPS, создайте и примените сертификат letsencrypt для шифрования трафика (для включения HTTPS на портале).
Подготовка AD FS для настройки SSO
- Установите последнюю версию AD DS (Active Directory Domain Service) со всеми официальными обновлениями и исправлениями.
- Установите последнюю версию AD FS со всеми официальными обновлениями и исправлениями.
Для развёртывания AD FS с нуля можно воспользоваться следующей
инструкцией.
- Проверьте, что ссылка на файл метаданных AD FS доступна публично. Для этого:
- В консоли Диспетчер сервера откройте Tools (Инструменты) -> AD FS Management (Управление AD FS),
- Перейдите в AD FS \ Service \ Endpoints (AD FS \ Служба \ Конечные точки),
- Найдите в таблице строку с типом Federation Metadata (Метаданные федерации). Ссылка на файл метаданных IdP формируется по следующей схеме:
https://{ad-fs-domain}/{path-to-FederationMetadata.xml}
Можно также воспользоваться следующей командой PowerShell:
PS C:\Users\Administrator> (Get-ADFSEndpoint | Where {$_.Protocol -eq "FederationMetadata" -or $_.Protocol -eq "Federation Metadata"}).FullUrl.ToString()
В результате вы должны получить ссылку следующего вида:
https://onlyofficevm.northeurope.cloudapp.azure.com/FederationMetadata/2007-06/FederationMetadata.xml
- Для проверки, что AD FS стартовал корректно, перейдите в браузере по ссылке, полученной ранее. Должна скачаться/отобразится xml. Скопируйте ссылку на xml-файл метаданных: она потребуется на следующем шаге.
- Убедитесь, что вы зашли в качестве администратора в Панель управления ONLYOFFICE, и щелкните вкладку SSO в разделе НАСТРОЙКИ ПОРТАЛА на левой боковой панели.
Вы можете зарегистрировать только одного корпоративного поставщика учетных записей для вашей организации на портале ONLYOFFICE.
- Включите SSO, используя переключатель Включить аутентификацию с помощью технологии единого входа. Ссылку, скопированную из AD FS, вставьте в поле URL-адрес XML-файла метаданных IdP.
Нажмите кнопку со стрелкой вверх, чтобы загрузить метаданные IdP. Форма Настройки поставщика сервиса ONLYOFFICE будет автоматически заполнена данными из AD FS IdP.
- В поле Пользовательская надпись для кнопки входа вы можете ввести любой текст вместо стандартного "Single Sign-on". Этот текст будет отображаться на кнопке для входа с помощью сервиса Single Sign-on на странице аутентификации портала ONLYOFFICE.
- В селекторе Формат NameID выберите следующее значение: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.
- В разделе Открытые сертификаты поставщика учетных записей \ Дополнительные параметры уберите галочку Проверять подпись ответов выхода, так как AD FS не требует этого по умолчанию.
- Теперь необходимо добавить сертификаты в раздел Сертификаты поставщика сервиса. Можно сгенерировать самоподписанные сертификаты или добавить любые другие.
в окне Новый сертификат переключите селектор Использовать для на signing and encrypt, так как AD FS IdP автоматически настроен на проверку цифровой подписи и шифрование данных.
Должно получиться примерно так:
- В разделе Сертификаты поставщика сервиса \ Дополнительные параметры, уберите галочку Подписывать ответы выхода, так как AD FS не требует этого по умолчанию.
Форму с заголовком Сопоставление атрибутов настраивать не нужно, так как эти параметры мы настоим в AD FS IdP позже. В разделе Дополнительные параметры можно включить настройку Скрыть страницу аутентификации, чтобы cкрыть страницу аутентификации по умолчанию и автоматически перенаправлять на сервис SSO.
- Нажмите кнопку Сохранить. Должен открыться раздел Метаданные поставщика сервиса ONLYOFFICE.
Проверьте, что настройки доступны публично, кликнув по кнопке СКАЧАТЬ XML-ФАЙЛ МЕТАДАННЫХ ПОСТАВЩИКА СЕРВИСА. Должно отобразиться содержимое XML-файла.
- Скопируйте ссылку на файл метаданных ONLYOFFICE SP из поля Идентификатор сущности поставщика сервиса (ссылка на XML-файл метаданных) и перейдите на машину, где установлен AD FS.
Настройка AD FS IdP
- В консоли Диспетчер сервера откройте Tools (Инструменты) -> AD FS Management (Управление AD FS),
- В панели управления AD FS выберите Trust Relationships > Relying Party Trusts (Отношения доверия -> Отношения доверия проверяющей стороны). Выберите команду Add Relying Party Trust... (Добавить отношение доверия проверяющей стороны...) справа. Откроется Мастер добавления отношений доверия проверяющей стороны,
- В окне мастера выберите переключатель Import data about the relying party published online or on a local network (Импорт данных о проверяющей стороне, опубликованных в Интернете или локальной сети), вставьте скопированную ранее ссылку на файл метаданных ONLYOFFICE SP в поле Federation metadata address (host name or URL) (Адрес метаданных федерации (имя узла или URL-адрес)) и нажмите кнопку Next (Далее),
- В поле Display name (Отображаемое имя) укажите любое имя и нажмите кнопку Next (Далее),
- Выберите опцию I do not want to configure multi-factor authentication settings for this relying party trust at this time (Сейчас не настраивать параметры для этого отношения доверия с проверяющей стороной) и нажмите кнопку Next (Далее),
- Выберите опцию Permit all users to access this relying party (Разрешить доступ к этой проверяющей стороне всем пользователям) и нажмите кнопку Next (Далее),
- Проверьте полученные настройки и нажмите кнопку Next (Далее),
- Оставьте опцию, выбранную по умолчанию, без изменений и нажмите кнопку Close (Закрыть),
- Откроется новое окно. На вкладке Issuance Transform Rules (Правила преобразования выдачи) нажмите кнопку Add Rule... (Добавить правило...),
- Выберите опцию Send LDAP Attributes as Claims (Отправка атрибутов LDAP как утверждений) из списка Claim rule template (Шаблон правила утверждения) и нажмите кнопку Next (Далее),
- Напишите любое имя в поле Claim rule name (Имя правила утверждения). Выберите опцию Active Directory из списка Attribute store (Хранилище атрибутов) и заполните форму Mapping of LDAP attributes to outgoing claim types (Сопоставление атрибутов LDAP типам исходящих утверждений) согласно приведенной ниже таблице. Когда все будет готово, нажмите кнопку Finish (Завершить).
LDAP Attribute (Атрибут LDAP) |
Outgoing Claim Type (Тип исходящего утверждения) |
Given-Name |
givenName |
Surname |
sn |
E-Mail-Addresses |
mail |
Telephone-Number |
mobile |
Title |
title |
physicalDeliveryOfficeName |
l |
- В окне Edit Claim Rules (Изменить правила утверждений) снова нажимите кнопку Add Rule... (Добавить правило...), выберите опцию Transform an Incoming Claim (Преобразование входящего утверждения) из списка Claim rule template (Шаблон правила утверждения) и нажмите кнопку Next (Далее),
- Напишите любое имя в поле Claim rule name (Имя правила утверждения) и выберите следующие параметры из списков:
- Incoming claim type (Тип входящего утверждения): mail,
- Outgoing claim type (Тип исходящего утверждения): Name ID,
- Outgoing name ID format (Формат ИД исходящего имени): Email
Когда все будет готово, нажмите кнопку Finish (Завершить).
Должно получиться примерно так:
Если не будет работать logout из AD FS, то стоит добавить Custom Claim Rule (настраиваемое правило утверждения), где {portal-domain}
нужно заменить на домен своего SP, а {ad-fs-domain}
заменить на домен IdP:
c:[Type == "mail"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://{ad-fs-domain}/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://{portal-domain}/sso/metadata");
- Нажмите кнопку OK,
- Для работы SSO из интранета потребуется включить опцию Forms Authentication (Проверка подлинности с помощью форм) в окне Edit Global Authentication Policy (Изменить глобальную политику проверки подлинности), вызываемом через контекстное меню AD FS / Authentication Policies (AD FS / Политики проверки подлинности),
- Откройте свойства созданной проверяющей стороны и перейдите на вкладку Advanced (Дополнительные параметры),
Выберите опцию SHA-1 в списке Secure hash algorithm (Алгоритм SHA).
Проверка работы ONLYOFFICE SP и AD FS IdP
Вход в ONLYOFFICE на стороне SP
- Перейдите на страницу аутентификации ONLYOFFICE (например, https://myportal-address.com/auth.aspx).
- Нажмите на кнопку Single sign-on (название кнопки может отличаться, если вы указали свой вариант при настройке ONLYOFFICE SP). Если этой кнопки нет, то SSO не включен.
- Если всё настроено верно в SP и IdP, мы будем перенаправлены на форму логина в AD FS IdP:
- Введите логин и пароль учетной записи в AD FS IdP и нажмите кнопку Sign in.
- Если учетные данные указаны правильно, мы будем перенаправлены на главную страницу портала (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).
Профили пользователей, добавленных с помощью SSO-аутентификации
Возможность редактирования профилей пользователей, созданных с помощью SSO-аутентификации, ограничена. Поля профиля пользователя, полученные из IdP, заблокированы для редактирования (а именно: Имя
, Фамилия
, Email
, Позиция
и Местоположение
). Эти поля можно отредактировать только из вашей учетной записи в IdP.
На следующем изображении показано меню "Действия" для пользователя SSO:
На следующем изображении показан профиль пользователя SSO, открытый на редактирование:
Пользователи, созданные с помощью SSO-аутентификации, отмечены в списке пользователей значком SSO для администраторов портала: