Статьи с тэгом :
Закрыть
История изменений
Закрыть
Справочный центр
Панель управления

Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP

Панель управленияv.2.2 История изменений Панели управления

Версия 2.2.0

Дата выпуска: 02.11.2017

Общее

  • Добавлен вызов скрипта documentserver-prepare4shutdown.sh при обновлении Сервера документов для корректного сохранения редактируемых документов.

LDAP

  • Глобальные изменения в LDAP-интеграции, переход на одну библиотеку для работы с LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
  • Login и email разбиты на 2 отдельных поля;
  • Добавлена поддержка больших данных;
  • Увеличена скорость работа по протоколу LDAP (соединение с сервером и получение данных теперь происходит один раз за сессию; добавлены лимиты, там, где нужно только определённое число результатов; исправлен долгий Login на больших данных; убран постоянный перебор для поиска параметра, отвечающего за SID);
  • Исправлена проблема пересоздания пользователей;
  • Исправлена проблема дублирования имени пользователя;
  • Исправлена проблема, возникавшая, если такой адрес электронной почты уже существует;
  • Удаление пользователей LDAP заменено на деактивацию учётной записи (для дальнейшей задачи миграции данных и повышения сохранности данных);
  • Пересоздание пользователя с неизвестным SID, но с существующим Email заменено на обновление данных;
  • Добавлена попытка сохранить правильный UserName/Login, если такой уже занят на портале.

Single Sign-on

  • Добавлена поддержка AD FS;
  • Ссылка Single Sign-on на странице авторизации заменена на кастомизируемую кнопку, возможность кастомизации кнопки добавлена на странице настроек SSO в Панели управления.

Версия 2.1.0

Дата выпуска: 03.07.2017

HTTPS

  • Добавлена поддержка сервиса letsencrypt для генерации сертификата домена.

Single Sign-on

  • Добавлен новый сервис sso.auth;
  • Добавлена новая страница настроек единого входа (SSO);
  • Добавлена поддержка Shibboleth.

Версия 2.0.0

Дата выпуска: 25.05.2017

Общее

  • Переход Панели управления с MVC на Node.js.

Версия 1.6.0

Дата выпуска: 05.12.2016

LDAP

  • Добавлена LDAP-синхронизация пользователей и групп при сохранении настроек, после входа на портал и при использовании кнопки Синхронизировать;
  • Изменено формирование адреса электронной почты для пользователей LDAP;
  • Исправлена проблема создания пользователей с невалидными адресами электронной почты;
  • Исправлена проблема дублирования пользователей;
  • Добавлены иконки и подсказки в списке пользователей для администратора;
  • Заблокированы для редактирования поля в профиле пользователя, импортированные по LDAP;
  • Добавлено сохранение реального пароля LDAP в базу при входе на случай отключения LDAP Auth. LDAP-пользователи при отключении LDAP Auth станут обычными пользователями портала;
  • Добавлен новый метод в API Settings - Sync LDAP;
  • Добавлены новые переводы;
  • Исправление ошибок.

Панель управления для Windows

  • Внесены изменения на странице Обновление в Панели управления для Windows;
  • Обновление происходит путем скачивания установочных пакетов для каждого модуля.
  • Получение текущих версий установленных компонентов осуществляется через API-запрос к Серверу совместной работы.
  • Получение новых, доступных для скачивания, версий осуществляется запросом к файлу http://download.onlyoffice.com/install/windows/updates.txt, в котором в формате JSON хранятся номера последних версий компонентов и ссылки на их скачивание.

Введение

Вы можете настроить Shibboleth 2.x - 3.x в качестве поставщика учетных записей (IDP) для корпоративных учетных записей в ONLYOFFICE. Процесс настройки состоит из двух основных шагов: регистрации вашего поставщика учетных записей в разделе SSO Панели управления ONLYOFFICE и регистрации ONLYOFFICE SP в поставщике учетных записей Shibboleth.

ONLYOFFICE SP поддерживает поток атрибутов givenName, sn, title, locality, mobile и mail корпоративной учетной записи от корпоративного поставщика учетных записей. Когда пользователь осуществляет вход с использованием корпоративной учетной записи, и ONLYOFFICE SP получает атрибуты с именами givenName, sn и mail (обязательные атрибуты), ONLYOFFICE SP заполняет полное имя и адрес электронной почты для учетной записи пользователя значениями, полученными от поставщика учетных записей.

Регистрация Shibboleth в качестве корпоративного поставщика учетных записей в ONLYOFFICE SP

  1. Убедитесь, что вы зашли в качестве администратора вашей организации в Панель управления ONLYOFFICE, и щелкните вкладку SSO.
    Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP
    Вы можете зарегистрировать только одного корпоративного поставщика учетных записей для вашей организации на портале ONLYOFFICE.
  2. Включите SSO, используя переключатель Включить аутентификацию с помощью технологии единого входа.
    Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP
  3. Введите метаданные для поставщика учетных записей, используя один из трех приведенных ниже вариантов:
    • По ссылке (Загрузить данные) – если метаданные Shibboleth IdP доступны извне по ссылке (например, https://{shibboleth-idp-domain}/idp/shibboleth), вставьте ссылку в поле URL-адрес XML-файла метаданных IdP и нажмите кнопку со стрелкой вверх. После этого все настройки отобразятся в расширенной форме.
    • Файл (ВЫБРАТЬ ФАЙЛ) – по умолчанию Shibboleth предоставляет файл метаданных IdP в SHIBBOLETH_HOME/metadata. Если файл метаданных доступен, загрузите его, используя кнопку ВЫБРАТЬ ФАЙЛ и указав файл SHIBBOLETH_HOME/metadata/idp-metadata.xml с локальной машины. После этого все настройки отобразятся в расширенной форме.
    • Параметры – если файл с метаданными недоступен, вручную введите значения и укажите запрашиваемые параметры: Идентификатор сущности поставщика учетных записей, URL-адрес конечной точки единого входа IdP, URL-адрес конечной точки единого выхода IdP, сертификаты для подписи и прочее. Для получения этих значений обратитесь к администратору Shibboleth.
  4. В поле Пользовательская надпись для кнопки входа вы можете ввести любой текст вместо стандартного "Single Sign-on". Этот текст будет отображаться на кнопке для входа с помощью сервиса Single Sign-on на странице аутентификации портала ONLYOFFICE.
    Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP
  5. Если ваш Shibboleth IdP требует, чтобы входящие данные были подписаны и/или зашифрованы, то необходимо создать/добавить сертификаты для этого в разделе Сертификаты поставщика сервиса. В расширенных настройках также можно указать, какие запросы стоит подписывать, нужно ли расшифровывать данные, выбрать соответствующие алгоритмы подписи и расшифровки.
    Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP
  6. В разделе Сопоставление атрибутов укажите соответствие полей модуля "Люди" ONLYOFFICE атрибутам пользователя, которые будут возвращаться из Shibboleth IdP.
    Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP
  7. Нажмите кнопку СОХРАНИТЬ.
  8. Должен открыться раздел Метаданные поставщика сервиса ONLYOFFICE.
  9. Проверьте, что настройки доступны публично, кликнув по кнопке СКАЧАТЬ XML-ФАЙЛ МЕТАДАННЫХ ПОСТАВЩИКА СЕРВИСА. Должно отобразиться содержимое XML-файла.
    Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP

Регистрация ONLYOFFICE в качестве проверенного поставщика сервиса в Shibboleth IdP

  1. Настройте ONLYOFFICE SP в качестве проверяющей стороны в Shibboleth.
    1. Получите файл метаданных вашего портала ONLYOFFICE и сохраните его как XML-файл. Для получения файла метаданных войдите в Панель управления ONLYOFFICE в качестве администратора и щелкните вкладку SSO. Нажмите на кнопку СКАЧАТЬ XML-ФАЙЛ МЕТАДАННЫХ ПОСТАВЩИКА СЕРВИСА и сохраните данные как файл sp-ONLYOFFICE.xml.
    2. Добавьте ONLYOFFICE в качестве проверенного поставщика сервисов в Shibboleth посредством задания нового элемента MetadataProvider в файле SHIBBOLETH_HOME/conf/metadata-providers.xml. Для этого добавьте приведенный ниже фрагмент кода в корневой элемент MetadataProvider. Предоставьте путь к XML-файлу метаданных вашей организации (сохраненному на предыдущем шаге a):
    <MetadataProvider id="ONLYOFFICESP"  xsi:type="FilesystemMetadataProvider" metadataFile="<PATH_TO_THE_SAVED_METADATA>/metadata/sp-ONLYOFFICE.xml"/>
  2. Настройте атрибуты пользователя, которые будут возвращаться из Shibboleth IdP.
    1. Отредактируйте файл SHIBBOLETH_HOME/conf/attribute-resolver.xml. Закомментируйте или удалите все существующие определения атрибутов и коннекторов данных.
    2. Добавьте следующую запись атрибутов в раздел resolver:AttributeResolver.
    <resolver:AttributeResolver
      xmlns:resolver="urn:mace:shibboleth:2.0:resolver"
      xmlns:pc="urn:mace:shibboleth:2.0:resolver:pc"
      xmlns:ad="urn:mace:shibboleth:2.0:resolver:ad"
      xmlns:dc="urn:mace:shibboleth:2.0:resolver:dc"
      xmlns:enc="urn:mace:shibboleth:2.0:attribute:encoder"
      xmlns:sec="urn:mace:shibboleth:2.0:security"
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
      xsi:schemaLocation="urn:mace:shibboleth:2.0:resolver http://shibboleth.net/schema/idp/shibboleth-attribute-resolver.xsd
      urn:mace:shibboleth:2.0:resolver:pc http://shibboleth.net/schema/idp/shibboleth-attribute-resolver-pc.xsd
      urn:mace:shibboleth:2.0:resolver:ad http://shibboleth.net/schema/idp/shibboleth-attribute-resolver-ad.xsd
      urn:mace:shibboleth:2.0:resolver:dc http://shibboleth.net/schema/idp/shibboleth-attribute-resolver-dc.xsd
      urn:mace:shibboleth:2.0:attribute:encoder http://shibboleth.net/schema/idp/shibboleth-attribute-encoder.xsd
      urn:mace:shibboleth:2.0:security http://shibboleth.net/schema/idp/shibboleth-security.xsd">
      <!-- ========================================== -->
      <!--          Attribute Definitions             -->
      <!-- ========================================== -->
      <!-- Schema: Core schema attributes-->
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:mail" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:0.9.2342.19200300.100.1.3" friendlyName="mail" encodeType="false" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="mobileNumber" sourceAttributeID="mobile">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:mobile" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:0.9.2342.19200300.100.1.41" friendlyName="mobile" encodeType="false" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="surname" sourceAttributeID="sn">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:sn" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:2.5.4.4" friendlyName="sn" encodeType="false" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="locality" sourceAttributeID="l">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:l" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:2.5.4.7" friendlyName="l" encodeType="false" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="title" sourceAttributeID="title">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:title" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:2.5.4.12" friendlyName="title" encodeType="false" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="givenName" sourceAttributeID="givenName">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:givenName" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:2.5.4.42" friendlyName="givenName" encodeType="false" />
      </resolver:AttributeDefinition>
    </resolver:AttributeResolver>
    1. Настройте атрибуты для включения в поставщик сервиса. Отредактируйте файл SHIBBOLETH_HOME/conf/attribute-filter.xml и добавьте следующее:
    <AttributeFilterPolicyGroup id="ShibbolethFilterPolicy"
      xmlns="urn:mace:shibboleth:2.0:afp"
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
      xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd">
      <!-- Release some attributes to an SP. -->
      <AttributeFilterPolicy id="ONLYOFFICESP">
        <PolicyRequirementRule xsi:type="OR">
          <Rule xsi:type="Requester" value="https://{portal-domain}/sso/metadata" />
        </PolicyRequirementRule>
        <AttributeRule attributeID="mail">
          <PermitValueRule xsi:type="ANY" />
        </AttributeRule>
        <AttributeRule attributeID="surname">
          <PermitValueRule xsi:type="ANY" />
        </AttributeRule>
        <AttributeRule attributeID="givenName">
          <PermitValueRule xsi:type="ANY" />
        </AttributeRule>
        <AttributeRule attributeID="mobileNumber">
          <PermitValueRule xsi:type="ANY" />
        </AttributeRule>
        <AttributeRule attributeID="title">
          <PermitValueRule xsi:type="ANY" />
        </AttributeRule>
        <AttributeRule attributeID="locality">
          <PermitValueRule xsi:type="ANY" />
        </AttributeRule>      
      </AttributeFilterPolicy>
    </AttributeFilterPolicyGroup>
    Замените {portal-domain} на доменное имя вашего портала.
  3. Отредактируйте файл SHIBBOLETH_HOME/conf/relying-party.xml.
    1. Скопируйте приведенный ниже XML-код и вставьте его в элементы shibboleth.RelyingPartyOverrides, чтобы перезаписать настройки по умолчанию для Shibboleth IdP:
    <util:list id="shibboleth.RelyingPartyOverrides">
      <bean parent="RelyingPartyByName" c:relyingPartyIds="https://{portal-domain}/sso/metadata">
        <property name="profileConfigurations">
          <list>
            <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
            <bean parent="SAML2.SSO" p:encryptAssertions="true" p:postAuthenticationFlows="attribute-release" />
            <bean parent="SAML2.Logout" />
          </list>
        </property>
      </bean>
    Замените {portal-domain} на доменное имя вашего портала.
  4. Перезапустите программный агент (Linux) или службу (Windows) Shibboleth.

Проверка работы ONLYOFFICE SP и Shibboleth IdP

Вход в ONLYOFFICE на стороне SP
  1. Перейдите на страницу аутентификации ONLYOFFICE (например, https://myportal-address.com/auth.aspx).
  2. Нажмите на кнопку Single sign-on (название кнопки может отличаться, если вы указали свой вариант при настройке ONLYOFFICE SP). Если этой кнопки нет, то SSO не включен.
    Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP
  3. Если всё настроено верно в SP и IdP, мы будем перенаправлены на форму логина в Shibboleth IdP:
    Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP
  4. Введите логин и пароль учетной записи в Shibboleth IdP и поставьте галочку Don't Remember Login.
  5. Если учетные данные указаны правильно, откроется новое окно. Разрешите передачу данных, нажав на кнопку Accept.
    Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP
  6. Если всё пройдёт хорошо, мы будем перенаправлены на главную страницу портала (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).
Профили пользователей, добавленных с помощью SSO-аутентификации

Возможность редактирования профилей пользователей, созданных с помощью SSO-аутентификации, ограничена. Поля профиля пользователя, полученные из IdP, заблокированы для редактирования (а именно: Имя, Фамилия, Email, Позиция и Местоположение). Эти поля можно отредактировать только из вашей учетной записи в IdP.

На следующем изображении показано меню "Действия" для пользователя SSO:

Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP

На следующем изображении показан профиль пользователя SSO, открытый на редактирование:

Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP

Пользователи, созданные с помощью SSO-аутентификации, отмечены в списке пользователей значком SSO для администраторов портала:

Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP Настройка Shibboleth v2.x - 3.x IdP и ONLYOFFICE SP

Чтобы выйти из Shibboleth IdP (если не была поставлена галочка Don't Remember Login при логине), нужно перейти по ссылке следующего вида: https://{shibboleth-idp-domain}/idp/profile/Logout

Download Host on your own server Available for Docker,
Windows, Linux and virtual machines
Вас также может заинтересовать:
Закрыть