Einleitung
Im Abschnitt Single Sign-On können Sie die Authentifizierung durch Drittanbieter mithilfe von SAML aktivieren und so Benutzern eine schnellere, einfachere und sicherere Möglichkeit bieten, auf DocSpace zuzugreifen.
Dies ist eine kostenpflichtige Funktion (nur für den kostenpflichtigen Business-Tarif verfügbar).
Im Allgemeinen ermöglicht die Single-Sign-On-Technologie Benutzern, sich nur einmal anzumelden und dann ohne erneute Authentifizierung Zugriff auf mehrere Anwendungen/Dienste zu erhalten. Z.B. Wenn ein Webportal mehrere große unabhängige Bereiche (Forum, Chat, Blogs usw.) umfasst, kann ein Benutzer das Authentifizierungsverfahren innerhalb eines der Dienste durchlaufen und automatisch Zugang zu allen anderen Diensten erhalten, ohne mehrmals Zugangsdaten eingeben zu müssen.
Ein Identity Provider (IdP) ist ein Dienst, der Benutzeridentitätsinformationen erstellt, pflegt und verwaltet und anderen Dienstanbietern innerhalb einer Föderation eine Benutzerauthentifizierung bereitstellt. Solche Dienste wie OneLogin, ADFS usw. fungieren als Identity Provider. Ein Service Provider (SP) ist eine Entität, die Webdienste bereitstellt und sich für die Benutzerauthentifizierung auf einen vertrauenswürdigen Identitätsanbieter verlässt. In unserem Fall ist der Service Provider ONLYOFFICE.
Sie können SSO auf der Basis von SAML für den Authentifizierungs-/Autorisierungsdatenaustausch zwischen einem Identity Provider und einem Service Provider aktivieren:
- SAML (Security Assertion Markup Language): Ein XML-Standard, der es ermöglicht, Benutzerauthentifizierungs-/Autorisierungsdaten zwischen einem Identity Provider und einem Service Provider durch Sicherheitstoken zu übertragen, die Behauptungen enthalten.
Erhöhte Sicherheit wird dadurch ermöglicht, dass ONLYOFFICE keine Benutzerkennwörter speichert, sondern die Ergebnisse der Authentifizierung auf Seiten des Identity Providers verwendet. Alle notwendigen Benutzerinformationen werden über ein Authentifizierungstoken übertragen. Wenn sich die Benutzerinformationen auf der Seite des Identity Providers ändern, werden sie bei der nächsten SSO-Authentifizierung automatisch in DocSpace aktualisiert (beachten Sie, dass die Daten nur in eine Richtung synchronisiert werden können: vom Identity Provider zu ONLYOFFICE).
Nachdem der Identity Provider und ONLYOFFICE gemeinsam konfiguriert wurden, um SSO sicherzustellen, wird der SSO-Authentifizierungsprozess für Benutzer auf der Seite des Identity Providers durchgeführt. ONLYOFFICE erhält vom Identity Provider ein Authentifizierungstoken (SAML). Nachdem das Token validiert wurde (durch Verwendung digitaler Signaturen und der Token-Lebensdauer), ermöglicht ONLYOFFICE dem Benutzer den Zugriff auf DocSpace.
SSO aktivieren
Um die SSO-Authentifizierung für Ihren DocSpace zu aktivieren und zu konfigurieren, gehen Sie wie folgt vor:
Überprüfen Sie die Konfiguration des Identity Providers, bevor Sie den Service Provider anpassen.
- Verwenden Sie das Menü
in der unteren linken Ecke und wählen Sie die Option DocSpace-Einstellungen aus.
- Öffnen Sie in den DocSpace-Einstellungen links den Bereich Integration.
- Wechseln Sie zur Registerkarte Single Sign-On.
- Aktivieren Sie den Umschalter Single-Sign-On-Authentifizierung aktivieren.
- Klicken Sie im Abschnitt ONLYOFFICE SP-Einstellungen auf Anzeigen und füllen Sie die erforderlichen Felder aus. Die erforderlichen Informationen können auf verschiedene Arten angegeben werden:
- Die URL-Adresse der Metadatendatei eingeben. Wenn Ihre IdP-Metadaten von außen über den Link zugänglich sind, fügen Sie den Link in das Feld URL zu IdP-Metadaten-XML ein und klicken Sie auf die Schaltfläche
, um Daten zu laden. Beim Laden der Daten werden alle erforderlichen Parameter automatisch in erweiterter Form angezeigt.
- Die Metadatendatei hochladen. Wenn Ihr IdP eine Metadatendatei bereitstellt, verwenden Sie die Schaltfläche Datei auswählen, um nach der Datei zu suchen, die auf Ihrem lokalen Computer gespeichert ist. Wenn die Datei hochgeladen wird, werden alle erforderlichen Parameter automatisch in der erweiterten Form angezeigt.
- Die erforderlichen Parameter manuell angeben. Wenn die Metadatendatei nicht verfügbar ist, geben Sie die erforderlichen Parameter manuell ein. Um die erforderlichen Werte zu erhalten, wenden Sie sich bitte an Ihren IdP-Administrator.
Die folgenden Parameter stehen zur Verfügung:
- ID des Identitätsanbieters (Pflichtfeld) – die ID des Identity Providers oder die URL-Adresse, die vom Service Provider verwendet wird, um den IdP eindeutig zu identifizieren.
https://example.com/idp/shibboleth
wobei example.com der Domänenname Ihres SSO-Dienstes ist
- URL des Single Sign-On Endpunkts vom IdP (Pflichtfeld) - die URL, die für das Single Sign-On auf der Seite des Identity Providers verwendet wird. Sie ist die Endpunktadresse in Ihrem IdP, an den der SP Authentifizierungsanfragen sendet.
Stellen Sie den erforderlichen Bindungstyp ein, indem Sie eines der entsprechenden Optionsfelder auswählen. Bindungen geben an, wie Authentifizierungsanfragen und -antworten zwischen dem IdP und dem SP über das zugrunde liegende Transportprotokoll übertragen werden: Mithilfe der HTTP POST- oder HTTP Redirect-Bindung.
- URL des Single-Logout-Endpunkts vom IdP - die URL, die für das einmalige Abmelden auf der Seite des Service Providers verwendet wird. Sie ist die Endpunktadresse in Ihrem IdP, an die SP Abmeldeanforderungen/Antworten sendet.
Stellen Sie den erforderlichen Bindungstyp ein, indem Sie eines der entsprechenden Optionsfelder auswählen. Bindungen geben an, wie Abmeldeanforderungen und -antworten zwischen dem IdP und dem SP über das zugrunde liegende Transportprotokoll übertragen werden: Mithilfe der HTTP POST- oder HTTP Redirect-Bindung.
- NameId-Format - der Parameter NameID ermöglicht SP, einen Benutzer zu identifizieren. Wählen Sie eines der verfügbaren Formate aus der Liste aus.
Es ist möglich, die Schaltfläche für die Anmeldung bei DocSpace mit dem Single Sign-on-Dienst auf der ONLYOFFICE-Authentifizierungsseite anzupassen. Verwenden Sie dazu das Feld Benutzerdefinierte Beschriftung des Login-Buttons im Abschnitt ONLYOFFICE SP-Einstellungen.
Sie können auch die IdP- und SP-Zertifikate hinzufügen.
Öffentliche IdP-Zertifikate
Öffentliches Zertifikat des Identity-Providers - In diesem Abschnitt können Sie die öffentlichen Zertifikate des Identity Providers hinzufügen, die vom SP verwendet werden, um die Anforderungen und Antworten des IdP zu überprüfen.
Wenn Sie die IdP-Metadaten geladen haben, werden diese Zertifikate automatisch zu Ihrem DocSpace hinzugefügt. Andernfalls finden Sie die Zertifikate in Ihrem IdP-Konto. Um ein Zertifikat manuell hinzuzufügen, klicken Sie auf die Schaltfläche Zertifikat hinzufügen. Das Fenster Neues Zertifikat wird geöffnet. Geben Sie das Zertifikat in das Feld Öffentliches Zertifikat ein und klicken Sie auf die Schaltfläche OK.
Legen Sie zusätzliche Parameter für Zertifikate fest, indem Sie die entsprechenden Kästchen ankreuzen.
Legen Sie zusätzliche Parameter für Zertifikate fest, indem Sie die entsprechenden Kästchen markieren. Geben Sie an, welche Signaturen von Anfragen/Antworten, die vom IdP an den SP gesendet werden, verifiziert werden sollen:
- Signaturen der Authentifizierungsantworten prüfen, um Signaturen der an SP gesendeten SAML-Authentifizierungsantworten zu überprüfen.
- Signatur von Logout-Anfragen prüfen, um Signaturen der an SP gesendeten SAML-Abmeldeanforderungen zu überprüfen.
- Signatur von Logout-Antworten prüfen, um Signaturen der an SP gesendeten SAML-Abmeldeantworten zu überprüfen.
Wählen Sie den erforderlichen Algorithmus aus der Liste Standardmäßiger Algorithmus zur Überprüfung der Unterschrift: rsa-sha1, rsa-sha256 oder rsa-sha512.
Standardeinstellungen werden nur in Fällen verwendet, in denen die IdP-Metadaten nicht angeben, welcher Algorithmus verwendet werden soll.
Über den entsprechenden Link können Sie die hinzugefügten Zertifikate bearbeiten oder löschen.
SP-Zertifikate
SP-Zertifikate: In diesem Abschnitt können Sie die Service-Provider-Zertifikate hinzufügen, die zum Signieren und Verschlüsseln der Anforderungen und Antworten vom SP verwendet werden.
Wenn Ihr IdP verlangt, dass Eingabedaten signiert und/oder verschlüsselt werden, erstellen oder fügen Sie entsprechende Zertifikate in diesem Abschnitt hinzu.
Klicken Sie auf die Schaltfläche Zertifikat hinzufügen. Das Fenster Neues Zertifikat wird geöffnet. Sie können ein selbstsigniertes Zertifikat generieren oder ein vorhandenes Zertifikat im Feld Öffentliches Zertifikat und den entsprechenden privaten Schlüssel im Feld Privater Schlüssel hinzufügen. Wählen Sie in der Liste Nutzen für eine der verfügbaren Optionen aus: signing, encrypt, signing and encrypt. Wenn Sie fertig sind, klicken Sie auf die Schaltfläche OK.
Abhängig vom Zertifikatszweck, der beim Hochladen/Generieren des Zertifikats in der Liste Nutzen für ausgewählt wurde, werden die Zertifikatszusatzparameter angegeben. Die folgenden Parameter definieren, welche Anfragen/Antworten, die vom SP an den IdP gesendet werden, signiert werden sollen:
- Authentifizierungsanfragen unterschreiben, um SP die an IdP gesendeten SAML-Authentifizierungsanfragen signieren zu lassen.
- Logout-Anforderungen unterschreiben, damit SP die an IdP gesendeten SAML-Abmeldeanfragen signiert.
- Abmeldungsantworten unterschreiben, damit SP die an IdP gesendeten SAML-Logout-Antworten signiert.
Wenn Sie die Option encrypt oder signing and encrypt in der Liste Verwenden für ausgewählt haben, ist der Parameter Behauptungen entschlüsseln auch aktiviert. Die Entschlüsselung erfolgt mit dem entsprechenden Privaten Schlüssel.
Wählen Sie die erforderlichen Algorithmen aus den Listen aus:
- Signaturalgorithmus:
rsa-sha1, rsa-sha256 oder rsa-sha512.
- Standardalgorithmus für Entschlüsselung:
aes128-cbc, aes256-cbc oder tripledes-cbc.
Über den entsprechenden Link können Sie die hinzugefügten Zertifikate bearbeiten oder löschen.
Attribut-Mapping
Attribut-Mapping - In diesem Abschnitt können Sie die Übereinstimmung der Felder im Abschnitt Konten mit den Benutzerattributen festlegen, die vom IdP zurückgegeben werden. Wenn sich ein Benutzer mit den SSO-Anmeldeinformationen bei ONLYOFFICE SP anmeldet, erhält ONLYOFFICE SP die erforderlichen Attribute und füllt die vollständigen Namens- und E-Mail-Adressfelder im Benutzerkonto mit den vom IdP erhaltenen Werten. Wenn der Benutzer im Abschnitt Konten nicht vorhanden ist, wird er automatisch erstellt. Wenn die Benutzerinformationen auf der IdP-Seite geändert wurden, werden sie auch im SP aktualisiert.
Die verfügbaren Attribute sind:
- Vorname (Pflichtfeld) - ein Attribut in einem Benutzerdatensatz, das dem Vornamen des Benutzers entspricht.
- Familienname (Pflichtfeld) - ein Attribut in einem Benutzerdatensatz, das dem Nachnamen des Benutzers entspricht.
- E-Mail (Pflichtfeld) - ein Attribut in einem Benutzerdatensatz, das der E-Mail-Adresse des Benutzers entspricht.
Erweiterte Einstellungen
Mit der Option Anmeldeseite ausblenden können Sie die Standard-Authentifizierungsseite ausblenden und automatisch zum SSO-Dienst umleiten.
WichtigWenn Sie die Standardauthentifizierungsseite wiederherstellen müssen (um auf DocSpace zugreifen zu können, wenn Ihr IDP-Server ausfällt), können Sie den Schlüssel /login?skipssoredirect=true nach dem Domänennamen Ihrer DocSpace in der Adressleiste des Browsers hinzufügen.
Wenn alle Einstellungen in Ihrem DocSpace festgelegt sind, klicken Sie auf die Schaltfläche Speichern. Der Abschnitt ONLYOFFICE SP-Metadaten wird geöffnet.
Registrierung von ONLYOFFICE als vertrauenswürdiger Dienstanbieter bei Ihrem Identity Provider
Jetzt müssen Sie ONLYOFFICE als vertrauenswürdigen Dienstanbieter in Ihrem IdP-Konto hinzufügen und die ONLYOFFICE SP-Metadaten im IdP angeben.
Informationen zum Erhalt der erforderlichen Daten finden Sie im Abschnitt ONLYOFFICE SP-Metadaten auf der Seite Single Sign-On. Stellen Sie sicher, dass die SP-Daten öffentlich zugänglich sind. Klicken Sie dazu auf die Schaltfläche SP-Metadaten-XML herunterladen. Der Inhalt der XML-Datei wird in einem neuen Browser-Tab angezeigt. Speichern Sie die Daten als XML-Datei, um sie zum IdP hochladen zu können.
Sie können auch einzelne Parameter manuell kopieren, indem Sie auf die Schaltfläche 
in den entsprechenden Feldern klicken.
Die folgenden Parameter stehen zur Verfügung:
- SP Entity ID (Link zu XML-Metadaten) - die XML-URL-Adresse des Service Providers, die heruntergeladen und vom Identity Provider verwendet werden kann, um den SP eindeutig zu identifizieren. Standardmäßig befindet sich die Datei unter der folgenden Adresse: http://example.com/sso/metadata wobei example.com Ihr ONLYOFFICE DocSpace-Domänenname oder Ihre öffentliche IP-Adresse ist .
- SP Assertion Consumer URL (unterstützt POST und Redirect-Bindung) - die URL-Adresse des Service Providers, an der Assertionen vom Identity Provider empfangen und verarbeitet werden. Standardmäßig wird die folgende Adresse verwendet: http://example.com/sso/acs wobei example.com Ihr ONLYOFFICE DocSpace-Domänenname oder Ihre öffentliche IP-Adresse ist.
- SP Single Logout URL (unterstützt POST und Redirect-Bindung) - die URL, die für das einmalige Abmelden auf der Seite des Identity Providers verwendet wird. Sie ist die Endpunktadresse in Ihrem SP, an der Abmeldeanforderungen/Antworten vom Identity Provider empfangen und verarbeitet werden. Standardmäßig wird die folgende Adresse verwendet: http://example.com/sso/slo/callback wobei example.com Ihr ONLYOFFICE DocSpace-Domänenname oder Ihre öffentliche IP-Adresse ist.
Diese Parameter und XML-Inhalte unterscheiden sich je nach Ihrer DocSpace-Konfiguration, z.B.: Wenn Sie einen Domänennamen angeben, werden die Parameter ebenfalls geändert und Sie müssen Ihren IdP neu konfigurieren.
Anmeldung bei ONLYOFFICE SP
Nachdem SSO aktiviert und konfiguriert wurde, wird der Anmeldevorgang wie folgt durchgeführt:
- Ein Benutzer fordert Zugriff auf ONLYOFFICE an, indem er auf der ONLYOFFICE DocSpace-Authentifizierungsseite (SP-initiiertes SSO) auf die Schaltfläche Single Sign-On klickt (die Beschriftung kann abweichen, wenn Sie bei der Konfiguration von ONLYOFFICE SP Ihren eigenen Text angegeben haben).
- Wenn alle IdP- und SP-Einstellungen korrekt eingestellt sind, sendet ONLYOFFICE die Authentifizierungsanfrage an den IdP und leitet den Benutzer auf die IdP-Seite um, wo er/sie nach Anmeldeinformationen gefragt wird.
- Wenn der Benutzer noch nicht beim IdP angemeldet ist, stellt er/sie Anmeldeinformationen beim IdP bereit.
- IdP erstellt die Authentifizierungsantwort, die Benutzerdaten enthält, und sendet sie an ONLYOFFICE.
- ONLYOFFICE empfängt die Authentifizierungsantwort vom Identity Provider und validiert sie.
- Wenn die Antwort validiert ist, erlaubt ONLYOFFICE dem Benutzer, sich anzumelden (der Benutzer wird automatisch erstellt, wenn er fehlt, oder die Daten werden aktualisiert, wenn sie im IdP geändert werden).
Es ist auch möglich, die Anmeldeseite auf der Seite des Identity Providers (IdP-initiiertes SSO) zu verwenden, Anmeldeinformationen einzugeben und dann ohne erneute Authentifizierung auf den ONLYOFFICE DocSpace zuzugreifen.
Abmelden von ONLYOFFICE SP
Die Abmeldung kann auf zwei verfügbare Arten erfolgen:
- Von ONLYOFFICE DocSpace über das Menü Abmelden (in diesem Fall wird die Anfrage vom IdP zum Abmelden gesendet). Der Benutzer sollte auch automatisch vom IdP abgemeldet werden, falls er/sie von allen anderen Anwendungen abgemeldet wird, auf die zuvor über die SSO-Authentifizierung zugegriffen wurde.
- Von der IdP-Abmeldeseite.
Bearbeiten von Benutzerprofilen, die mit SSO erstellt wurden
Die mit der SSO-Authentifizierung erstellten Benutzer sind in der Benutzerliste für den DocSpace-Administrator mit dem Symbol SSO gekennzeichnet.
Die Möglichkeit, solche Benutzerprofile im Bereich Konten zu bearbeiten, ist eingeschränkt. Die Benutzerprofilfelder, die mit der SSO-Authentifizierung erstellt wurden, sind für die Bearbeitung im Abschnitt „Konten“ deaktiviert. Die Benutzerdaten können nur auf IdP-Seite geändert werden.