Панель управленияv.2.9
История изменений Панели управления
Версия 2.9
Дата выпуска: 14.10.2020
- Панель управления доступна в бесплатной версии Community со всеми настройками, кроме замены логотипа для редакторов;
- В инсталляционные скрипты добавлена проверка vsyscall при установке Почтового сервера на Debian с ядром 4.18.0 и выше;
- Редизайн навигационного меню: добавлены разделы "Общие настройки" и "Настройки портала", добавлены иконки для пунктов меню;
- Добавлена страница расширенных настроек ребрендинга в общих настройках;
- Добавлена возможность сброса индексов для полнотекстового поиска;
- Обновлен
node.js, обновлены пакеты (переход на samlify для SSO);
- Добавлен блок Шифрование хранящихся данных в разделе Хранилище;
- Добавлен раздел Приватная комната только для серверных версий;
- Добавлена страница
upgrade с предложением перейти на Enterprise Edition;
- Добавлена страница
activate с возможностью загрузки файла лицензии;
- В настройку SSO добавлен пункт HideAuthPage для возможности скрыть страницу авторизации. При включении настройки HideAuthPage будет происходить автоматический редирект со страницы авторизации в SSO сервис.
- Добавлена настройка Войти в домен на странице авторизации.
- Переход на новую библиотеку
samlify;
- В настройку SSO добавлен пункт HideAuthPage для возможности скрыть страницу авторизации. При включении настройки HideAuthPage будет происходить автоматический редирект со страницы авторизации в SSO сервис.
Версия 2.7
Дата выпуска: 25.04.2019
- Расширено число сопоставляемых полей для пользователей, загружаемых по LDAP: фото пользователя, день рождения, контакты, основной телефон;
- Добавлена настройка для автоматической синхронизации LDAP по расписанию;
- Добавлена возможность назначения прав администратора группам пользователей на портале по LDAP;
- Обновлены правила для пользователей LDAP.
Версия 2.5.1
Дата выпуска: 07.04.2018
- Исправлена ошибка
Server internal error при использовании вложенных групп, входящих друг в друга в AD (bug #37414).
- Исправлена проблема, при которой данные пользователя пересылались между Service Provider и порталом только по протоколу HTTP, даже если был включен протокол HTTPS.
Версия 2.5.0
Дата выпуска: 15.03.2018
- Исправлена ошибка, при которой аккаунт пользователя, добавленного через LDAP, не подключался в сторонних клиентах (bug #26073);
- Исправлена ошибка, при которой пользователи, состоящие в группах с недопустимыми символами, не могли пройти авторизацию с помощью LDAP (bug #36891);
- Исправлена ошибка
Internal Server Error при обновлении пользователей, у которых поля location или title были сохранены со значением NULL.
Версия 2.4.0
Дата выпуска: 13.01.2018
- Исправлена ошибка
Invalid ssoConfig, возникавшая, если в ссылке на IDP присутствовал знак вопроса '?', например: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
- Исправлена ошибка
Invalid authentication token, при которой не добавлялся пользователь на портал по AD FS, если при передаче данных в зашифрованном виде присутствовали символы + или -.
Версия 2.3.0
Дата выпуска: 15.12.2017
- Для Панели управления добавлена история изменений и ссылка на нее;
- Исправлена ошибка, при которой не передавались параметры JWT при обновлении Сервера документов (bug #36270);
- Исправлена ошибка, при которой заголовок
Журнал аудита отображался на странице истории входов в систему (bug #36026);
- Теперь выполняется проверка связи текущей машины и доменного имени при использовании мультипортальности.
- Исправлена ошибка
LDAP Domain not found, которая появлялась, если в DN-записи не было DC-записей (у пользователей с Sun/Oracle DS); теперь, если LDAP-домен определить не получится, LDAP-домен будет приобретать значение unknown или значение ключа ldap.domain из файла конфигурации web.appsettings.config;
- Исправлена ошибка
Sizelimit Exceeded при попытке получения более 1000 пользователей из Active Directory;
- Увеличена скорость входа в систему при включенной настройке Принадлежность к группе;
- Добавлены дополнительные логи;
- Исправлена ошибка с зависанием LDAP-операций при использовании Mono версии 5.2.0 и старше;
- Исправлена ошибка при попытке входа в систему по адресу электронной почты, введенному в полях, отличных от
Mail Attribute;
- Исправлена ошибка с вложенными группами, при которой пользователи отображались не во всех группах.
Версия 2.2.0
Дата выпуска: 31.10.2017
- Добавлен вызов скрипта documentserver-prepare4shutdown.sh при обновлении Сервера документов для корректного сохранения редактируемых документов.
- Глобальные изменения в LDAP-интеграции, переход на одну библиотеку для работы с LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
- Login и email разбиты на 2 отдельных поля;
- Добавлена поддержка больших данных;
- Увеличена скорость работа по протоколу LDAP (соединение с сервером и получение данных теперь происходит один раз за сессию; добавлены лимиты, там, где нужно только определённое число результатов; исправлен долгий Login на больших данных; убран постоянный перебор для поиска параметра, отвечающего за SID);
- Исправлена проблема пересоздания пользователей;
- Исправлена проблема дублирования имени пользователя;
- Исправлена проблема, возникавшая, если такой адрес электронной почты уже существует;
- Удаление пользователей LDAP заменено на деактивацию учётной записи (для дальнейшей задачи миграции данных и повышения сохранности данных);
- Пересоздание пользователя с неизвестным SID, но с существующим Email заменено на обновление данных;
- Добавлена попытка сохранить правильный UserName/Login, если такой уже занят на портале.
- Добавлена поддержка AD FS;
- Ссылка Single Sign-on на странице авторизации заменена на кастомизируемую кнопку, возможность кастомизации кнопки добавлена на странице настроек SSO в Панели управления.
Версия 2.1.0
Дата выпуска: 03.07.2017
- Добавлена поддержка сервиса letsencrypt для генерации сертификата домена.
- Добавлен новый сервис
sso.auth;
- Добавлена новая страница настроек единого входа (SSO);
- Добавлена поддержка Shibboleth.
Версия 2.0.0
Дата выпуска: 25.05.2017
- Переход Панели управления с
MVC на Node.js.
Версия 1.6.0
Дата выпуска: 05.12.2016
- Добавлена LDAP-синхронизация пользователей и групп при сохранении настроек, после входа на портал и при использовании кнопки Синхронизировать;
- Изменено формирование адреса электронной почты для пользователей LDAP;
- Исправлена проблема создания пользователей с невалидными адресами электронной почты;
- Исправлена проблема дублирования пользователей;
- Добавлены иконки и подсказки в списке пользователей для администратора;
- Заблокированы для редактирования поля в профиле пользователя, импортированные по LDAP;
- Добавлено сохранение реального пароля LDAP в базу при входе на случай отключения LDAP Auth. LDAP-пользователи при отключении LDAP Auth станут обычными пользователями портала;
- Добавлен новый метод в API Settings - Sync LDAP;
- Добавлены новые переводы;
- Исправление ошибок.
- Внесены изменения на странице Обновление в Панели управления для Windows;
- Обновление происходит путем скачивания установочных пакетов для каждого модуля.
- Получение текущих версий установленных компонентов осуществляется через API-запрос к Серверу совместной работы.
- Получение новых, доступных для скачивания, версий осуществляется запросом к файлу https://download.onlyoffice.com/install/windows/updates.txt, в котором в формате JSON хранятся номера последних версий компонентов и ссылки на их скачивание.
Введение
Функция Единый вход (англ. Single Sign-On или SSO), доступная в Панели управления, позволяет включить возможность аутентификации с помощью доверенной третьей стороны, используя установленные у вас сервисы SSO (Shibboleth, OneLogin или Active Directory Federation Services).
В общих чертах, технология единого входа позволяет пользователям осуществлять вход в систему только один раз, а затем получать доступ ко множеству приложений/сервисов без повторной аутентификации. Например, если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.
SSO - это всегда совместная работа двух приложений: поставщика учетных записей (англ. Identity Provider, далее по тексту сокращенно "IdP") и поставщика сервиса (англ. Service Provider, далее по тексту сокращенно "SP").
ONLYOFFICE SSO реализует только SP. В качестве IdP может выступать множество различных провайдеров, но ONLYOFFICE был протестирован только со следующими сервисами: Shibboleth, OneLogin и AD FS.
Используя SSO-аутентификацию, вы получаете следующие преимущества:
- Повышенное удобство. Пользователи получают более быстрый и простой способ доступа на портал, не требующий запоминания множества логинов и паролей.
- Повышенный уровень безопасности. ONLYOFFICE не хранит пароли пользователей ни в каком виде, а использует результаты аутентификации на стороне поставщика учетных записей.
- Удобное администрирование. Вся необходимая информация о пользователе передается в аутентификационном токене. При изменении информации о пользователе на стороне поставщика учетных записей данные автоматически обновятся на портале при последующей аутентификации с помощью SSO. Если профиль пользователя отсутствует на портале, он будет автоматически создан при первом входе пользователя на портал с помощью учетных данных SSO.
В ONLYOFFICE SSO-аутентификация реализована на базе безопасного и широко используемого стандарта SAML. SAML (Security Assertion Markup Language, язык разметки декларации безопасности) - стандарт на базе языка XML, позволяющий передавать данные об аутентификации и авторизации между поставщиком учетных записей и поставщиком сервиса через токены безопасности, содержащие утверждения.
В данной статье описан процесс включения SSO в целом. Если вас интересуют конкретные настройки или примеры для определенных поставщиков учетных записей, обратитесь к нашим статьям о настройке поставщика сервиса ONLYOFFICE и поставщиков учетных записей Shibboleth, OneLogin или AD FS.
Включение SSO
Чтобы включить и настроить на портале аутентификацию с помощью SSO, необходимо выполнить два следующих основных шага:
- Зарегистрировать поставщика учетных записей на странице SSO в Панели управления ONLYOFFICE. Информацию, которую требуется указать, можно найти в вашем аккаунте поставщика учетных записей.
Если вы хотите использовать SSO при подключении Десктопных редакторов ONLYOFFICE к ONLYOFFICE Workspace, отключите Приватные комнаты в Панели управления.
- Зарегистрировать ONLYOFFICE в качестве проверенного поставщика сервиса в аккаунте поставщика учетных записей. Эта процедура различается в зависимости от выбранного поставщика учетных записей.
Каждый портал можно одновременно интегрировать только с одним поставщиком учетных записей.
Регистрация поставщика учетных записей в поставщике сервиса ONLYOFFICE
Для регистрации поставщика учетных записей в ONLYOFFICE SP используйте раздел Настройки поставщика сервиса ONLYOFFICE на странице SSO.
- На портале ONLYOFFICE перейдите в Панель управления и откройте страницу SSO в разделе НАСТРОЙКИ ПОРТАЛА на левой боковой панели.
- Нажмите на переключатель Включить аутентификацию с помощью технологии единого входа.
- Заполните требуемые поля в разделе Настройки поставщика сервиса ONLYOFFICE. Нужную информацию можно указать несколькими разными способами:
- Введите URL-адрес файла метаданных. Если метаданные поставщика учетных записей доступны извне по ссылке, вставьте эту ссылку в поле URL-адрес XML-файла метаданных IdP и нажмите кнопку Загрузить данные. Когда данные будут загружены, все требуемые параметры автоматически отобразятся в расширенной форме.
- Загрузите файл метаданных. Если поставщик учетных записей предоставляет файл метаданных, используйте кнопку Выбрать файл, чтобы найти файл, сохраненный на локальной машине. Когда файл будет загружен, все требуемые параметры автоматически отобразятся в расширенной форме.
- Укажите требуемые параметры вручную. Если файл метаданных недоступен, введите нужные параметры вручную. Для получения нужных значений обратитесь к администратору вашего поставщика учетных записей.
Доступны следующие параметры:
- Идентификатор сущности поставщика учетных записей (обязательное поле) - идентификатор поставщика учетных записей или URL-адрес, который будет использоваться поставщиком сервиса, чтобы однозначно идентифицировать поставщика учетных записей.
https://example.com/idp/shibboleth
где example.com - это доменное имя вашего SSO-сервиса
- URL-адрес конечной точки единого входа IdP (обязательное поле) - URL-адрес, используемый для единого входа на стороне поставщика учетных записей. Это адрес конечной точки в поставщике учетных записей, на который поставщик сервиса отправляет запросы аутентификации.
Задайте нужный тип Привязки, выбрав одну из соответствующих радиокнопок. Привязки определяют, каким образом запросы и ответы аутентификации передаются между поставщиком учетных записей и поставщиком сервиса по стандартному транспортному протоколу: с помощью привязки HTTP POST или привязки HTTP Redirect.
- URL-адрес конечной точки единого выхода IdP - URL-адрес, используемый для единого выхода на стороне поставщика сервиса. Это адрес конечной точки в поставщике учетных записей, на который поставщик сервиса отправляет запросы и ответы выхода.
Задайте нужный тип Привязки, выбрав одну из соответствующих радиокнопок. Привязки определяют, каким образом запросы и ответы выхода передаются между поставщиком учетных записей и поставщиком сервиса по стандартному транспортному протоколу: с помощью привязки HTTP POST или привязки HTTP Redirect.
- Формат NameId - параметр NameID позволяет поставщику сервиса идентифицировать пользователя. Выберите в списке один из доступных форматов.
Вы можете кастомизировать кнопку, используемую для входа на портал с помощью сервиса Single Sign-on на странице аутентификации ONLYOFFICE. Это можно сделать с помощью поля Пользовательская надпись для кнопки входа в разделе Настройки поставщика сервиса ONLYOFFICE.
Можно также добавить сертификаты поставщика учетных записей и поставщика сервиса.
Открытые сертификаты поставщика учетных записей
В разделе Открытые сертификаты поставщика учетных записей можно добавить открытые сертификаты поставщика учетных записей, используемые поставщиком сервиса для проверки запросов и ответов от поставщика учетных записей.
Если вы загрузили метаданные поставщика учетных записей, эти сертификаты будут автоматически добавлены в Панель управления. В противном случае сертификаты можно найти в вашем аккаунте поставщика учетных записей. Чтобы добавить сертификат вручную, нажмите кнопку Добавить сертификат. Откроется окно Новый сертификат. Вставьте сертификат в поле Открытый сертификат и нажмите кнопку OK.
Задайте дополнительные параметры для сертификатов, поставив соответствующие галочки.
Укажите, подписи каких запросов/ответов, отправляемых от поставщика учетных записей поставщику сервиса, следует проверять:
- Проверять подпись ответов аутентификации - чтобы проверять подписи ответов аутентификации SAML, отправляемых поставщику сервиса.
- Проверять подпись запросов выхода - чтобы проверять подписи запросов выхода SAML, отправляемых поставщику сервиса.
- Проверять подпись ответов выхода - чтобы проверять подписи ответов выхода SAML, отправляемых поставщику сервиса.
Выберите нужный алгоритм из списка Стандартный алгоритм проверки подписи: rsa-sha1, rsa-sha256 или rsa-sha512.
Настройки по умолчанию используются только в тех случаях, если в метаданных поставщика учетных записей не указано, какой алгоритм должен использоваться.
Можно редактировать или удалить добавленные сертификаты, используя соответствующую ссылку.
Сертификаты поставщика сервиса
В разделе Сертификаты поставщика сервиса можно добавить сертификаты поставщика сервиса, используемые для подписи и шифрования запросов и ответов от поставщика сервиса.
Если ваш поставщик учетных записей требует, чтобы входящие данные были подписаны и/или зашифрованы, создайте или добавьте сертификаты в этом разделе.
Нажмите кнопку Добавить сертификат. Откроется окно Новый сертификат. Вы можете сгенерировать самоподписанный сертификат или добавить уже имеющийся сертификат в поле Открытый сертификат, а соответствующий ему закрытый ключ - в поле Закрытый ключ. В списке Использовать для выберите один из доступных вариантов: signing, encrypt, signing and encrypt. Когда все будет готово, нажмите кнопку OK.
В зависимости от предназначения сертификата, выбранного в списке Использовать для при загрузке/генерации сертификата, указываются дополнительные параметры сертификата. Следующие параметры определяют, какие запросы/ответы, отправляемые от поставщика сервиса поставщику учетных записей, следует подписывать:
- Подписывать запросы аутентификации - чтобы поставщик сервиса подписывал запросы аутентификации SAML, отправляемые поставщику учетных записей.
- Подписывать запросы выхода - чтобы поставщик сервиса подписывал запросы выхода SAML, отправляемые поставщику учетных записей.
- Подписывать ответы выхода - чтобы поставщик сервиса подписывал ответы выхода SAML, отправляемые поставщику учетных записей.
Если вы выбрали опцию encrypt или signing and encrypt в списке Использовать для, также будет отмечен параметр Расшифровывать утверждения. Расшифровка осуществляется с помощью соответствующего Закрытого ключа.
Выберите нужные алгоритмы из списков:
- Алгоритм подписи:
rsa-sha1, rsa-sha256 или rsa-sha512.
- Стандартный алгоритм расшифровки:
aes128-cbc, aes256-cbc или tripledes-cbc.
Можно редактировать или удалить добавленные сертификаты, используя соответствующую ссылку.
Сопоставление атрибутов
В разделе Сопоставление атрибутов можно указать соответствие полей модуля Люди ONLYOFFICE атрибутам пользователя, которые будут возвращаться из поставщика учетных записей. Когда пользователь осуществляет вход в ONLYOFFICE SP с использованием учетных данных SSO, ONLYOFFICE SP получает требуемые атрибуты и заполняет полное имя и адрес электронной почты для учетной записи пользователя значениями, полученными от поставщика учетных записей. Если такого пользователя нет в модуле "Люди", он будет создан автоматически. Если информация о пользователе была изменена на стороне поставщика учетных записей, данные также обновятся в поставщике сервиса.
Доступны следующие атрибуты:
- Имя (обязательное поле) - атрибут в записи пользователя, соответствующий имени пользователя.
- Фамилия (обязательное поле) - атрибут в записи пользователя, соответствующий фамилии пользователя.
- Электронная почта (обязательное поле) - атрибут в записи пользователя, соответствующий адресу электронной почты пользователя.
- Местоположение - атрибут в записи пользователя, соответствующий местоположению пользователя.
- Должность - атрибут в записи пользователя, соответствующий должности пользователя.
- Телефон - атрибут в записи пользователя, соответствующий номеру телефона пользователя.
Дополнительные параметры
Настройка Скрыть страницу аутентификации позволяет cкрыть страницу аутентификации по умолчанию и автоматически перенаправлять на сервис SSO.
Когда все параметры будут указаны в Панели управления, нажмите кнопку Сохранить. Откроется раздел Метаданные поставщика сервиса ONLYOFFICE.
Регистрация ONLYOFFICE в качестве проверенного поставщика сервиса в поставщике учетных записей
Теперь необходимо добавить ONLYOFFICE в качестве проверенного поставщика сервиса в ваш аккаунт поставщика учетных записей, указав в поставщике учетных записей метаданные ONLYOFFICE SP.
Для получения нужных данных обратитесь к разделу Метаданные поставщика сервиса ONLYOFFICE на странице SSO. Убедитесь, что данные поставщика сервиса доступны публично. Для этого нажмите кнопку Скачать XML-файл метаданных поставщика сервиса. Содержимое XML-файла отобразится в новой вкладке браузера. Сохраните данные как XML-файл, чтобы можно было загрузить его в поставщик учетных записей.
Можно также вручную скопировать отдельные параметры, нажав на кнопку Копировать в буфер обмена в соответствующих полях.
Доступны следующие параметры:
- Идентификатор сущности поставщика сервиса (ссылка на XML-файл метаданных) - URL-адрес XML-файла поставщика сервиса. Файл можно скачать, и он будет использоваться поставщиком учетных записей, чтобы однозначно идентифицировать поставщика сервиса. По умолчанию файл размещается по следующему адресу: http://example.com/sso/metadata, где example.com - это доменное имя или публичный IP-адрес портала ONLYOFFICE.
- URL-адрес службы обработчика утверждений поставщика сервиса (поддерживаются привязки Redirect и POST) - URL-адрес поставщика сервиса, по которому он получает и обрабатывает утверждения от поставщика учетных записей. По умолчанию используется следующий адрес: http://example.com/sso/acs, где example.com - это доменное имя или публичный IP-адрес портала ONLYOFFICE.
- URL-адрес единого выхода поставщика сервиса (поддерживаются привязки Redirect и POST) - URL-адрес, используемый для единого выхода на стороне поставщика учетных записей. Это адрес конечной точки в поставщике сервиса, по которому он получает и обрабатывает запросы и ответы выхода от поставщика учетных записей. По умолчанию используется следующий адрес: http://example.com/sso/slo/callback, где example.com - это доменное имя или публичный IP-адрес портала ONLYOFFICE.
Эти параметры и содержимое XML-файла различаются в зависимости от настроек вашего портала, например, если вы переключите портал на HTTPS или привяжете доменное имя, данные параметры тоже изменятся и потребуется заново настраивать поставщик учетных записей.
Вход в ONLYOFFICE SP
После того как Единый вход включен и настроен, процесс входа осуществляется следующим образом:
- Пользователь запрашивает доступ к ONLYOFFICE, нажав на кнопку Single Sign-on (название кнопки может отличаться, если вы указали свой вариант при настройке ONLYOFFICE SP) на странице аутентификации портала ONLYOFFICE (единый вход, инициированный поставщиком сервиса).
- Если всё настроено верно в SP и IdP, ONLYOFFICE отправляет запрос аутентификации поставщику учетных записей и перенаправляет пользователя на страницу поставщика учетных записей, где пользователю надо ввести учетные данные.
- Если пользователь ещё не осуществил вход в поставщик учетных записей, он вводит свои учетные данные в IdP.
- Поставщик учетных записей создает ответ аутентификации, содержащий данные пользователя, и отправляет его поставщику сервиса ONLYOFFICE.
- ONLYOFFICE получает ответ аутентификации от поставщика учетных записей и проверяет его подлинность.
- Если подлинность ответа подтверждена, ONLYOFFICE позволяет пользователю войти (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).
Можно также использовать страницу входа на стороне поставщика учетных записей (единый вход, инициированный поставщиком учетных записей), ввести учетные данные и получить доступ к порталу ONLYOFFICE без повторной аутентификации.
Выход из ONLYOFFICE SP
Выход можно осуществить двумя доступными способами:
- С портала ONLYOFFICE, используя пункт меню Выйти (в этом случае отправляется запрос от IdP на выход). Пользователь также должен автоматически выйти из IdP, если он вышел из всех остальных приложений, к которым ранее получил доступ с помощью SSO-аутентификации.
- Со страницы выхода поставщика учетных записей.
Редактирование профилей пользователей, созданных с помощью SSO
Пользователи, созданные с помощью SSO-аутентификации, отмечены в списке пользователей значком "SSO" для администраторов портала.
Возможность редактирования профилей этих пользователей в модуле "Люди" ограничена. Поля профиля пользователя, созданные с помощью SSO-аутентификации, заблокированы для редактирования в модуле "Люди". Информацию о таких пользователях можно изменить только на стороне поставщика учетных записей.