Статьи с тэгом :
Закрыть
История изменений
Закрыть
Справочный центр
Панель управления

Настройка ONLYOFFICE SP и OneLogin IdP

Панель управленияv.2.2 История изменений Панели управления

Версия 2.2.0

Дата выпуска: 02.11.2017

Общее

  • Добавлен вызов скрипта documentserver-prepare4shutdown.sh при обновлении Сервера документов для корректного сохранения редактируемых документов.

LDAP

  • Глобальные изменения в LDAP-интеграции, переход на одну библиотеку для работы с LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
  • Login и email разбиты на 2 отдельных поля;
  • Добавлена поддержка больших данных;
  • Увеличена скорость работа по протоколу LDAP (соединение с сервером и получение данных теперь происходит один раз за сессию; добавлены лимиты, там, где нужно только определённое число результатов; исправлен долгий Login на больших данных; убран постоянный перебор для поиска параметра, отвечающего за SID);
  • Исправлена проблема пересоздания пользователей;
  • Исправлена проблема дублирования имени пользователя;
  • Исправлена проблема, возникавшая, если такой адрес электронной почты уже существует;
  • Удаление пользователей LDAP заменено на деактивацию учётной записи (для дальнейшей задачи миграции данных и повышения сохранности данных);
  • Пересоздание пользователя с неизвестным SID, но с существующим Email заменено на обновление данных;
  • Добавлена попытка сохранить правильный UserName/Login, если такой уже занят на портале.

Single Sign-on

  • Добавлена поддержка AD FS;
  • Ссылка Single Sign-on на странице авторизации заменена на кастомизируемую кнопку, возможность кастомизации кнопки добавлена на странице настроек SSO в Панели управления.

Версия 2.1.0

Дата выпуска: 03.07.2017

HTTPS

  • Добавлена поддержка сервиса letsencrypt для генерации сертификата домена.

Single Sign-on

  • Добавлен новый сервис sso.auth;
  • Добавлена новая страница настроек единого входа (SSO);
  • Добавлена поддержка Shibboleth.

Версия 2.0.0

Дата выпуска: 25.05.2017

Общее

  • Переход Панели управления с MVC на Node.js.

Версия 1.6.0

Дата выпуска: 05.12.2016

LDAP

  • Добавлена LDAP-синхронизация пользователей и групп при сохранении настроек, после входа на портал и при использовании кнопки Синхронизировать;
  • Изменено формирование адреса электронной почты для пользователей LDAP;
  • Исправлена проблема создания пользователей с невалидными адресами электронной почты;
  • Исправлена проблема дублирования пользователей;
  • Добавлены иконки и подсказки в списке пользователей для администратора;
  • Заблокированы для редактирования поля в профиле пользователя, импортированные по LDAP;
  • Добавлено сохранение реального пароля LDAP в базу при входе на случай отключения LDAP Auth. LDAP-пользователи при отключении LDAP Auth станут обычными пользователями портала;
  • Добавлен новый метод в API Settings - Sync LDAP;
  • Добавлены новые переводы;
  • Исправление ошибок.

Панель управления для Windows

  • Внесены изменения на странице Обновление в Панели управления для Windows;
  • Обновление происходит путем скачивания установочных пакетов для каждого модуля.
  • Получение текущих версий установленных компонентов осуществляется через API-запрос к Серверу совместной работы.
  • Получение новых, доступных для скачивания, версий осуществляется запросом к файлу http://download.onlyoffice.com/install/windows/updates.txt, в котором в формате JSON хранятся номера последних версий компонентов и ссылки на их скачивание.

Введение

Технология единого входа (англ. Single Sign-On или SSO) - технология, которая позволяет пользователям осуществлять вход в систему только один раз, а затем получать доступ ко множеству приложений/сервисов без повторной аутентификации.

Если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.

SSO - это всегда совместная работа двух приложений: поставщика учетных записей (англ. Identity Provider, далее по тексту сокращенно "IdP") и поставщика сервиса (англ. Service Provider, далее по тексту сокращенно "SP"). ONLYOFFICE SSO реализует только SP. В качестве IdP может выступать множество различных провайдеров, но в этой статье мы рассмотрим реализацию OneLogin.

Подготовка ONLYOFFICE Enterprise Edition для настройки SSO

  1. Установите версию ONLYOFFICE Enterprise Edition 9.1.0 для Docker или любую более позднюю версию с поддержкой SSO.
  2. Привяжите доменное имя, например, myportal-address.com.
  3. На портале перейдите в Панель управления -> HTTPS, создайте и примените сертификат letsencrypt для шифрования трафика (для включения HTTPS на портале).
  4. Перейдите на хостовую машину, скопируйте значения закрытого ключа и открытого сертификата, которые вы использовали для включения HTTPS, и сохраните их в любом текстовом редакторе, например, в Блокноте (эти значения потребуются позже для настройки SSO).
Не требуется выполнять Пункт 4, если есть уже готовые действующие сертификаты или вы хотите проверить самоподписанные сертификаты.

Создание IdP в OneLogin

  1. Зарегистрируйтесь в OneLogin, если ещё не зарегистрировались.
  2. Войдите в OneLogin под учетной записью администратора.
  3. Перейдите в меню APPS -> Add Apps.
  4. В строке для поиска Find Application введите следующий текст: SAML Test Connector (Idp:
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  5. Среди полученных вариантов выберите подходящий, например, SAML Test Connector (IdP) w/encrypt.
  6. В новом открывшемся окне напишите любое имя в поле Display Name, чтобы отличать это приложение от других, смените иконки на собственные и нажмите кнопку Save.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  7. Перейдите в подменю Configuration и заполните поля в соответствии с приведенной ниже таблицей:
    Вместо myportal-address.com укажите собственное доменное имя или публичный IP-адрес, на котором располагается ONLYOFFICE SP.
    Application Details
    RelayState https://myportal-address.com
    Audience https://myportal-address.com/sso/
    Recipient https://myportal-address.com/sso/acs
    ACS (Consumer) URL Validator ^https:\/\/myportal-address\.com\/sso\/acs\/$
    ACS (Consumer) URL https://myportal-address.com/sso/acs
    Single Logout URL https://myportal-address.com/sso/slo/callback
    SAML Encryption
    Public key *
    -----BEGIN CERTIFICATE-----
    MIIE9zCCA9+gAwIBAgISA5VHo5m3/9NM1/gv8SDlE7vxMA0GCSqGSIb3DQEBCwUA
    MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
    ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xNzA1MzExNTEzMDBaFw0x
    NzA4MjkxNTEzMDBaMBUxEzARBgNVBAMTCmRvY2tlcjQudGswggEiMA0GCSqGSIb3
    DQEBAQUAA4IBDwAwggEKAoIBAQC/LuH8Hcu0DUz2b8lFiUYHK1l2R55m/3ap9DsA
    /BbOJdbnFm/v5dTgUL4Vx73aX8vl2I5ePh5siNrhEuc7d8VfQ62WqLHM/3jz0wVi
    vFJN4rRVZAOK/S7zfTGf6HUloi0Jg+Rol2zh0IfWUN+UczClJ0b0zewYEF8ZLhNY
    W65X2fx6BahK6zbRotNj3tJy0zib6znqBOPhT999pnk5L0S+CfzNhVHH/V+lPVtX
    Tu9tSILnFQpVAsv3oKo/7n/N/F9t5bI/kMllXQFReq1a+9KTOv0OlZgEd7xMu8ht
    707IdILRBAW3f1iMMT43DpmjkcST7NnNEbsLXSlBIwKz8GENAgMBAAGjggIKMIIC
    BjAOBgNVHQ8BAf8EBAMCBaAwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMC
    MAwGA1UdEwEB/wQCMAAwHQYDVR0OBBYEFOqivMdw2WduQJmO1lXsq9E3zEvmMB8G
    A1UdIwQYMBaAFKhKamMEfd265tE5t6ZFZe/zqOyhMG8GCCsGAQUFBwEBBGMwYTAu
    BggrBgEFBQcwAYYiaHR0cDovL29jc3AuaW50LXgzLmxldHNlbmNyeXB0Lm9yZzAv
    BggrBgEFBQcwAoYjaHR0cDovL2NlcnQuaW50LXgzLmxldHNlbmNyeXB0Lm9yZy8w
    FQYDVR0RBA4wDIIKZG9ja2VyNC50azCB/gYDVR0gBIH2MIHzMAgGBmeBDAECATCB
    5gYLKwYBBAGC3xMBAQEwgdYwJgYIKwYBBQUHAgEWGmh0dHA6Ly9jcHMubGV0c2Vu
    Y3J5cHQub3JnMIGrBggrBgEFBQcCAjCBngyBm1RoaXMgQ2VydGlmaWNhdGUgbWF5
    IG9ubHkgYmUgcmVsaWVkIHVwb24gYnkgUmVseWluZyBQYXJ0aWVzIGFuZCBvbmx5
    IGluIGFjY29yZGFuY2Ugd2l0aCB0aGUgQ2VydGlmaWNhdGUgUG9saWN5IGZvdW5k
    IGF0IGh0dHBzOi8vbGV0c2VuY3J5cHQub3JnL3JlcG9zaXRvcnkvMA0GCSqGSIb3
    DQEBCwUAA4IBAQBItwpwwcQGMvap2hGhBQnZoS8bJ5iuq24KmEl3TrLdtLyklPy2
    oR1HXgfW5fpTCGP744pVBwGXO2A8+2J6/wcNybo/odoB9dSzAMfRtXQR83XN4F8l
    6E5zShBZ1kkzJayk4RytSzBR+uyTR1J7erK1MxlmOgQfLp2JqQsdEO6qpycER5pY
    mK77eWGrEE2+tOwgY4amlnLgBSif+nieUgQiSRboHGSF6nizES2pBKTk595P4pzK
    9W5ax4zjqwQnMQujcjrHm7kbny2gFLH1wl0MY0yRlBytaFOhSWvr2g5JDFjgoFtd
    xEe8PMKA+cfU+0SznX/ynMgrz4MqSRRtQChx
    -----END CERTIFICATE-----
    * Здесь представлен пример сертификата HTTPS для доменного имени myportal-address.com, созданный с помощью сервиса letsencrypt.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  8. Нажмите кнопку Save и перейдите в подменю Parameters. Используйте ссылку Add parameter, чтобы создать 5 параметров (givenName, sn, mail, title, mobile), для каждого из них отметив опцию Include in SAML assertion:
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  9. Отредактируйте значение каждого параметра, выбирая подходящее значение из списка:
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  10. Когда все нужные поля для атрибутов в утверждениях SAML будут заполнены в IdP, получится примерно такой же результат, как на следующем изображении. Нажмите кнопку Save.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  11. Перейдите в подменю SSO:
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
    Скопируйте ссылку из поля Issuer URL (например, https://app.onelogin.com/saml/metadata/666179) и перейдите на портал ONLYOFFICE под учетной записью администратора. Откройте страницу Панель управления -> SSO.

Настройка ONLYOFFICE SP

  1. Убедитесь, что вы зашли в качестве администратора в Панель управления ONLYOFFICE, и щелкните вкладку SSO.
    Вы можете зарегистрировать только одного корпоративного поставщика учетных записей для вашей организации на портале ONLYOFFICE.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  2. Включите SSO, используя переключатель Включить аутентификацию с помощью технологии единого входа. Ссылку, скопированную из поля Issuer URL в OneLogin, вставьте в поле URL-адрес XML-файла метаданных IdP.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP

    Нажмите кнопку со стрелкой вверх, чтобы загрузить метаданные IdP. Форма Настройки поставщика сервиса ONLYOFFICE будет автоматически заполнена данными из OneLogin IdP.

  3. В поле Пользовательская надпись для кнопки входа вы можете ввести любой текст вместо стандартного "Single Sign-on". Этот текст будет отображаться на кнопке для входа с помощью сервиса Single Sign-on на странице аутентификации портала ONLYOFFICE.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  4. Теперь необходимо добавить сертификаты в раздел Сертификаты поставщика сервиса. Можно добавить сертификаты, взятые ранее при настройке HTTPS, или любые другие.
    открытый сертификат в OneLogin должен быть тем же, что и сертификат, загруженный в разделе Сертификаты поставщика сервиса, и закрытый ключ должен к нему подходить.

    Должно получиться примерно так:

    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
    Форму с заголовком Сопоставление атрибутов настраивать не нужно, так как мы указали эти же параметры при создании OneLogin IdP.
  5. Нажмите кнопку Сохранить. Должен открыться раздел Метаданные поставщика сервиса ONLYOFFICE. Проверьте, что настройки доступны публично, кликнув по кнопке СКАЧАТЬ XML-ФАЙЛ МЕТАДАННЫХ ПОСТАВЩИКА СЕРВИСА. Должно отобразиться содержимое XML-файла.

Создание пользователей в OneLogin и предоставление им доступа к ONLYOFFICE

Чтобы создать пользователей в OneLogin и предоставить им доступ к ONLYOFFICE SP, выполните следующие действия:

  1. перейдите на страницу All Users в OneLogin под учетной записью администратора,
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  2. создайте нового пользователя или отредактируйте уже существующего,
  3. перейдите в подменю Applications,
  4. выберите наше новое созданное приложение из списка и нажмите CONTINUE,
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  5. в новом открывшемся окне добавьте недостающие данные, если это необходимо, или просто закройте его,
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  6. нажмите кнопку SAVE USER,
  7. теперь пользователь может работать в ONLYOFFICE SP.

Проверка работы ONLYOFFICE SP и OneLogin IdP

Вход в ONLYOFFICE на стороне SP
  1. Перейдите на страницу аутентификации ONLYOFFICE (например, https://myportal-address.com/auth.aspx).
  2. Нажмите на кнопку Single sign-on (название кнопки может отличаться, если вы указали свой вариант при настройке ONLYOFFICE SP). Если этой кнопки нет, то SSO не включен.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  3. Если всё настроено верно в SP и IdP, мы будем перенаправлены на форму логина в OneLogin IdP:
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  4. Введите логин и пароль пользователя, которому дан доступ к ONLYOFFICE SP, и нажмите кнопку LOG IN.
  5. Если выдаётся такая страница, то пользователю не предоставлен доступ к ONLYOFFICE SP:
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP

    В этом случае нужно выйти из OneLogin и повторить шаги 1-4, но используя учетные данные другого пользователя.

  6. Если учетные данные указаны правильно, мы будем перенаправлены на главную страницу портала (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).
Профили пользователей, добавленных с помощью SSO-аутентификации

Возможность редактирования профилей пользователей, созданных с помощью SSO-аутентификации, ограничена. Поля профиля пользователя, полученные из IdP, заблокированы для редактирования (а именно: Имя, Фамилия, Email, Позиция и Местоположение). Эти поля можно отредактировать только из вашей учетной записи в IdP.

На следующем изображении показано меню "Действия" для пользователя SSO:

Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP

На следующем изображении показан профиль пользователя SSO, открытый на редактирование:

Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP

Пользователи, созданные с помощью SSO-аутентификации, отмечены в списке пользователей значком SSO для администраторов портала:

Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
Выход из ONLYOFFICE SP
  1. Выход можно осуществить с портала, используя пункт меню Выйти. Пользователь также должен автоматически выйти из OneLogin IdP, если он вышел из всех других приложений, к которым ему дали доступ в OneLogin и куда он произвёл вход до этого.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  2. При удачном выходе вы будете перенаправлены страницу аутентификации портала.
  3. Если перейти на страницу с приложением (например, https://companypage.onelogin.com/login), вы увидите форму логина:
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
Вход в ONLYOFFICE на стороне Onlogin IdP
  1. Перейдите на страницу вашей компании в OneLogin (например, https://companypage.onelogin.com/login).
  2. Войдите, используя ваши учетные данные в OnleLogin.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  3. Если учетные данные указаны правильно, вы будете перенаправлены на страницу с приложениями, доступ к которым предоставил вам администратор вашей компании в OneLogin. Нажмите на нужное приложение (например, SAML Test Connector (IdP) w/encrypt).
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  4. Если всё настроено верно, вы будете перенаправлены на портал myportal-address.com.
Выход из OneLogin IdP
  1. Перейдите на страницу вашей компании в OneLogin (например, https://companypage.onelogin.com/) и нажмите на пункт меню Выход:
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  2. Если всё пройдёт правильно, вы выйдете из портала и будете перенаправлены на страницу логина в OneLogin.
Download Host on your own server Available for Docker,
Windows, Linux and virtual machines
Вас также может заинтересовать:
Закрыть