Artikel zum Thema:
Schließen
Changelog
Schließen
In der cloud testen
Hilfe-Center
Systemsteuerung

ONLYOFFICE SP und OneLogin IdP konfigurieren

Control Panelv2.9 ONLYOFFICE Control Panel changelog

Version 2.9.1

Release date: 12/10/2020

Bug fixes

  • Bug Fixes & Performance Improvements.

Version 2.9

Release date: 10/14/2020

General

  • Control Panel is available in the free Community version with all settings excepting the editors logo replacement;
  • Added the vsyscall check to the installation scripts when installing Mail Server on Debian with kernel 4.18.0 and later;
  • Redesign of the navigation menu: added Common and Portal settings sections, added icons to menu items;
  • Added the advanced rebranding page in the Common Settings;
  • Added the possibility to reindex the full-text search;
  • Updated node.js, updated packages (transition to samlify for SSO);
  • Added the Encryption at rest block in the Storage section;
  • Added the Private Room section for the server version only;
  • Added the upgrade page with a proposal to upgrade to Enterprise Edition;
  • Added the activate page with a possibility to upload a license file;
  • Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

LDAP

  • Added the Sign in to domain option on the authorization page.

Single Sign-on

  • Transition to the new samlify library;
  • Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

Version 2.7

Release date: 04/25/2019

LDAP

  • Added more fields mapped for the users loaded via LDAP: user photo, birthday, contacts, primary phone number;
  • Added the setting to autosync LDAP on schedule;
  • Added the possibility to give administrator rights to the user group at the portal via LDAP;
  • Updated the rules for LDAP users.

Version 2.5.1

Release date: 04/07/2018

LDAP

  • Fixed the Server internal error error when using the groups enclosed inside each other in the AD (bug #37414).

Single Sign-on

  • Fixed the issue when the user data between the Service Provider and the portal was transferred via HTTP only, even when HTTPS was enabled.

Version 2.4.0

Release date: 01/13/2018

Single Sign-on

  • Fixed the Invalid ssoConfig error which occurred when the link to the IdP contained the question mark '?', e.g.: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
  • Fixed the Invalid authentication token error which prevented from adding a user to the portal using the AD FS, in case the + or - characters were present when sending the encrypted data.

Version 2.3.0

Release date: 12/15/2017

General

  • Added the changelog for Control Panel and link to it;
  • Fixed the bug when JWT parameters were not sent when updating Document Server(bug #36270);
  • Fixed the bug when Audit Trail heading was present at the login history page (bug #36026);
  • The current machine is now checked for being linked with the domain name for multiple portals.

LDAP

  • Fixed the bug with the LDAP Domain not found error which occurred if the DN record had no DC records (the users with Sun/Oracle DS were affected); now if the LDAP domain could not be specified, the LDAP domain will acquire the unknown value or the ldap.domain value from the web.appsettings.config configuration file;
  • Fixed the bug with the Sizelimit Exceeded error when trying to get more than 1000 users from the Active Directory;
  • Increased the login speed with the Group Membership setting enabled;
  • Added additional logging;
  • Fixed the bug with LDAP operation hanging when using Mono v5.2.0 and older;
  • Fixed the bug with the error when trying to login using the email address entered in the fields different from the Mail Attribute;
  • Fixed the bug occurring in the enclosed groups, when the users were displayed not in all groups.

Version 2.2.0

Release date: 10/31/2017

General

  • Added the documentserver-prepare4shutdown.sh script launch when updating the document-server for the correct edited document saving.

LDAP

  • Dramatically changed LDAP integration, migrated to the single library for the work with LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
  • Login and email are now split into two separate fields;
  • Added the support for big data;
  • Increased the work speed via the LDAP protocol (the connection to the server and receiving the data is now made once per session, added the limits when only a certain number of results is necessary, fixed the slow login for bit data, removed the sorting out used to find the SID parameter);
  • Fixed the user re-creation issue;
  • Fixed the duplicate username issue;
  • Fixed the already existing email issue;
  • Replaced the LDAP user deletion with account deactivation (for further data migration and data safety);
  • Instead of re-creating a user with an unknown SID but an existing email the data is updated;
  • Added the attempt to save the correct UserName/Login in case a similar one is already taken on the portal.

Single Sign-on

  • Added the AD FS support;
  • Replaced the Single Sign-on link at the authorization page with the customizable button, added the button customization to the SSO setting of the Control Panel.

Version 2.1.0

Release date: 07/03/2017

HTTPS

  • Added the support of letsencrypt service for the domain certificate generation.

Single Sign-on

  • Added the new sso.auth service;
  • Added the new SSO settings page;
  • Added the support for Shibboleth.

Version 2.0.0

Release date: 05/25/2017

General

  • The Control Panel migrated from MVC to Node.js.

Version 1.6.0

Release date: 12/05/2016

LDAP

  • Added LDAP synchronization for users and groups when saving the settings, after login and using the Sync button;
  • Changed email formation for LDAP users;
  • Fixed the problem of creation of users with invalid emails;
  • Fixed the problem of duplicate users;
  • Added icons and hints to the users in the list for the admin;
  • Blocked for editing the user profile fields imported using LDAP;
  • Added the real LDAP password saving to the database during login in case LDAP Auth is disabled, now the LDAP users will become common portal users when LDAP Auth is disabled;
  • Added new API Settings method - Sync LDAP;
  • Added new translations;
  • Bug fixes.

Version for Windows

  • Made changes at the Update page for the Control Panel for Windows;
  • Updates are performed using the downloaded installation packages for each module.
  • The current installed component version numbers are obtained via API request to the Community Server.
  • The new versions available for download are obtained via the request to the https://download.onlyoffice.com/install/windows/updates.txt file, where all the latest component version numbers and links for their download are stored in the JSON format.

Einleitung

Single Sign-On (SSO) ist eine Technologie, mit der sich Benutzer nur einmal anmelden und dann ohne erneute Authentifizierung auf mehrere Anwendungen/Dienste zugreifen können.

Enthält ein Webportal mehrere große unabhängige Bereiche (Forum, Chat, Blogs usw.), kann ein Benutzer innerhalb eines der Dienste das Authentifizierungsverfahren durchlaufen und erhält automatisch Zugang zu allen anderen Diensten ohne mehrmalige Eingabe von Zugangsdaten.

SSO wird immer durch den gemeinsamen Betrieb von zwei Anwendungen sichergestellt: einem Identitätsanbieter und einem Dienstanbieter (im Folgenden als "IdP" und "SP" bezeichnet). ONLYOFFICE SSO implementiert nur den SP. Viele verschiedene Anbieter können als IdP fungieren, aber dieser Artikel befasst sich mit der Implementierung von OneLogin.

Wenn Sie beim Verbinden von ONLYOFFICE Desktop Editoren mit Ihrem ONLYOFFICE Workspace SSO verwenden möchten, deaktivieren Sie Private Räume in der Systemsteuerung.

Vorbereiten des ONLYOFFICE Workspace für das SSO-Setup

  1. Installieren Sie ONLYOFFICE Workspace v. 11.0.0 für Docker oder eine spätere Version mit SSO-Unterstützung.
  2. Fügen Sie einen Domainnamen hinzu, z.B. myportal-address.com.
  3. Gehen Sie in Ihrem Portal zur Systemsteuerung -> HTTPS, erstellen Sie das letsencrypt-Zertifikat für die Traffic-Verschlüsselung und wenden Sie es an (um HTTPS in Ihrem Portal zu aktivieren).

IdP in OneLogin erstellen

  1. Melden Sie sich für OneLogin an, falls Sie sich noch nicht registriert haben.
  2. Melden Sie sich als Administrator bei OneLogin an.
  3. Öffnen Sie den Abschnitt Administration.
  4. Klicken Sie auf das Menü Applications. Klicken Sie auf die Schaltfläche Add App.
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  5. Geben Sie im Suchfeld Find Application den folgenden Text ein: SAML Test Connector (Advanced):
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  6. Wählen Sie die gefundene Option.
  7. Geben Sie in einem geöffneten Fenster einen beliebigen Display Name ein, beispielsweise "IDP OneLogin Onlyoffice v11 Test", um diese Anwendung von anderen zu unterscheiden, ersetzen Sie die Symbole durch Ihre eigenen und klicken Sie auf die Schaltfläche Save.
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  8. Öffnen Sie das Untermenü Configuration und füllen Sie die Felder gemäß der folgenden Tabelle aus:
    Geben Sie Ihren eigenen Domainnamen oder Ihre öffentliche IP-Adresse an, auf der Ihr ONLYOFFICE SP gehostet wird, anstelle von myportal-address.com.
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
    Anwendungsdetails
    RelayState https://myportal-address.com
    Audience (EntityID) https://myportal-address.com/sso/
    Recipient https://myportal-address.com/sso/acs
    ACS (Consumer) URL Validator* ^https:\/\/myportal-address\.com\/sso\/acs\/$
    ACS (Consumer) URL* https://myportal-address.com/sso/acs
    Single Logout URL https://myportal-address.com/sso/slo/callback
    SAML initiator Service Provider
    SAML nameID format Email
    SAML issuer type Specific
    SAML signature element Assertion
    Encrypt assertion
    SAML encryption method AES-128-CBC
    Sign SLO Request
    Sign SLO Response
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  9. Klicken Sie auf die Schaltfläche Save und öffnen Sie das Untermenü Parameters.
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  10. Verwenden Sie die + Schaltfläche, um 5 Parameter zu erstellen (givenName, sn, mail, title, mobile). Aktivieren Sie die Option Include in SAML assertion und geben Sie für alle Parameter ein Value aus der Werteliste an, der für die Ausgabe aus dem Feldkatalog des LDAP-Verzeichnisses geeignet ist:
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  11. 11. Nachdem Sie alle erforderlichen Felder für SAML-Assertionsattribute im IdP ausgefüllt haben, sollten Sie fast das gleiche Ergebnis erhalten, wie in der Abbildung unten gezeigt. Klicken Sie auf die Schaltfläche Save.
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  12. Öffnen Sie das Untermenü SSO auf. Wählen Sie ein gültiges Zertifikat aus der Zertifikatsliste aus, indem Sie auf den Link Change klicken, wenn Sie mehrere Zertifikate haben. Lassen Sie im Feld SAML Signature Algorithm die Option SHA-1 und klicken Sie auf die Schaltfläche Save:
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  13. Kopieren Sie den Link aus dem Feld Issuer URL (z.B., https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) und gehen Sie zum ONLYOFFICE-Portal, indem Sie sich als Administrator anmelden. Öffnen Sie die Seite Systemsteuerung -> SSO.

ONLYOFFICE SP konfigurieren

  1. Stellen Sie sicher, dass Sie als Administrator in Ihrer ONLYOFFICE-Systemsteuerung angemeldet sind, und klicken Sie im Abschnitt PORTALEINSTELLUNGEN in der linken Seitenleiste auf die Registerkarte SSO.
    Sie können im ONLYOFFICE-Portal nur einen Enterprise Identity Provider für Ihre Organisation registrieren.
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  2. Aktivieren Sie SSO mit dem Umschalter Authentifizierung mit Einmalanmeldung einschalten und fügen Sie den Link von OneLogin-issuer-URL in das Feld Adresse zur IdP Metadaten-XML-Datei ein.
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren

    Drücken Sie die Schaltfläche mit dem Aufwärtspfeil, um die IdP-Metadaten zu laden. Das Formular ONLYOFFICE SP-Einstellungen wird automatisch mit Ihren Daten vom OneLogin-IdP ausgefüllt.

  3. Im Feld Benutzerdefinierte Beschriftung des Login-Buttons können Sie einen beliebigen Text anstelle des Standardtexts eingeben (Single Sign-on). Dieser Text wird auf der Schaltfläche angezeigt, mit der Sie sich mit dem Single Sign-On-Dienst auf der ONLYOFFICE-Authentifizierungsseite beim Portal anmelden.
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  4. Jetzt müssen Sie eine Zertifikate im Abschnitt SP-Zertifikate erstellen. Klicken Sie dazu im entsprechenden Abschnitt auf die Schaltfläche Zertifikat hinzufügen.
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  5. Klicken Sie im geöffneten modalen Fenster auf den Link Selbst-signiertes SSL-Zertifikat generieren und wählen Sie die Option zum Signieren und Verschlüsseln in der Liste Nutzen für aus. Kopieren Sie vor dem Speichern des Zertifikats den Text des öffentlichen Zertifikats in die Zwischenablage (er wird für OneLogin benötigt) und klicken Sie dann auf die Schaltfläche OK.
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  6. Sie sollten fast das gleiche Ergebnis erhalten:
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  7. Es ist nicht erforderlich, das Formular für die Attributzuordnung anzupassen, da wir beim Erstellen von OneLogin-IdP dieselben Parameter angegeben haben. Folgende Werte werden verwendet:
    First Name givenName
    Last Name sn
    Email mail
    Location l
    Title title
    Phone mobile

    Im Abschnitt Erweiterte Einstellungen können Sie die Option Authentifizierungsseite ausblenden aktivieren, um die Standardauthentifizierungsseite auszublenden und automatisch zum SSO-Dienst weiterzuleiten.

  8. Klicken Sie auf die Schaltfläche Speichern. Der Abschnitt ONLYOFFICE SP-Metadata sollte geöffnet werden. Überprüfen Sie, ob unsere Einstellungen öffentlich verfügbar sind, indem Sie auf die Schaltfläche Laden Sie SP Metadaten XML herunter klicken. Der Inhalt der XML-Datei sollte angezeigt werden.
  9. Kehren Sie zu OneLogin zurück, um die Verschlüsselung einzurichten, öffnen Sie Ihre Anwendung und gehen Sie zur Seite Configuration. Scrollen Sie auf der Seite nach unten. Das neue Feld SAML Encryption zum Eingeben eines Verschlüsselungsschlüssels sollte erscheinen. Fügen Sie den kopierten Text des öffentlichen Zertifikats aus Schritt 4 dieser Anleitung in dieses Feld ein und klicken Sie auf die Schaltfläche Save:
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren

Benutzer in OneLogin erstellen und ihnen Zugriff auf ONLYOFFICE gewähren

Um Benutzer in OneLogin anzulegen und ihnen Zugang zu unserem ONLYOFFICE SP zu gewähren, führen Sie die folgenden Schritte aus:

  1. öffnen Sie die OneLogin-Seite All Users auf und melden Sie sich als Administrator an,
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  2. erstellen Sie einen neuen Benutzer oder bearbeiten Sie einen bestehenden Benutzer,
  3. öffnen Sie das Untermenü Applications und klicken Sie auf die Schaltfläche +,
  4. wählen Sie unsere neu erstellte Anwendung aus der Liste aus und klicken Sie auf CONTINUE,
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  5. fügen Sie in einem geöffneten Fenster die fehlenden Daten hinzu und klicken Sie auf die Schaltfläche SAVE,
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  6. jetzt kann der Benutzer in ONLYOFFICE SP arbeiten.

Überprüfung der Arbeit des ONLYOFFICE SP mit dem OneLogin IdP

Bei ONLYOFFICE auf der SP-Seite anmelden
  1. Öffnen Sie die ONLYOFFICE-Authentifizierungsseite auf (z. B., https://myportal-address.com/Auth.aspx).
  2. Klicken Sie auf die Schaltfläche Single sign-on (die Beschriftung kann abweichen, wenn Sie bei der Konfiguration von ONLYOFFICE SP einen eigenen Text angegeben haben). Wenn die Schaltfläche fehlt, bedeutet dies, dass SSO nicht aktiviert ist.
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  3. Wenn alle SP- und IdP-Parameter richtig eingestellt sind, werden wir zum OneLogin IdP-Anmeldeformular weitergeleitet:
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  4. Geben Sie den Benutzernamen und das Kennwort des Benutzers ein, dem Zugriff auf ONLYOFFICE SP gewährt wurde, und klicken Sie auf die Schaltfläche ANMELDEN.
  5. Wenn alles korrekt ist, werden wir auf die Hauptseite des Portals weitergeleitet (der Benutzer wird automatisch angelegt, wenn er fehlt, oder die Daten werden aktualisiert, wenn er im IDP geändert wird).
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
Von ONLYOFFICE SP abmelden
  1. Ein SSO-Benutzer kann sich über das Menü Ausloggen vom ONLYOFFICE-Portal abmelden. Der Benutzer sollte auch automatisch vom OneLogin IdP abgemeldet werden, falls er von allen anderen Anwendungen abgemeldet ist, auf die er in OneLogin Zugriff hat und bei denen er sich zuvor angemeldet hat.
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  2. Wenn Sie sich erfolgreich abgemeldet haben, werden Sie zur Portal-Authentifizierungsseite weitergeleitet.
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
  3. Wenn Sie erneut auf die Schaltfläche Single Sign-on klicken, werden Sie wieder auf die OneLogin-Anmeldeseite weitergeleitet (das bedeutet, dass Sie sich erfolgreich vom Portal abgemeldet haben):
    ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren

Profile für Benutzer, die mit SSO-Authentifizierung hinzugefügt wurden

Die Möglichkeit, mit der SSO-Authentifizierung erstellte Benutzerprofile zu bearbeiten, ist eingeschränkt. Die vom IdP erhaltenen Benutzerprofilfelder sind zur Bearbeitung deaktiviert (d.h. First Name, Last Name, Email, Title and Location). Sie können diese Felder nur von Ihrem IdP-Konto aus bearbeiten.

Die folgende Abbildung zeigt das Aktionsmenü für einen SSO-Benutzer:

ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren

Die folgende Abbildung zeigt ein zur Bearbeitung geöffnetes SSO-Benutzerprofil:

ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren

Die mit der SSO-Authentifizierung erstellten Benutzer sind in der Benutzerliste für die Portaladministratoren mit dem SSO-Symbol gekennzeichnet:

ONLYOFFICE SP und OneLogin IdP konfigurieren ONLYOFFICE SP und OneLogin IdP konfigurieren
Herunterladen Auf Ihrem eigenen Server hosten Verfügbar für
Docker, Windows und Linux
Wer sich dafür interessiert hat,
hat auch das Folgende gelesen:
Schließen