Authentik IdP

Einleitung

Single Sign-on (SSO) ist eine Technologie, die es Benutzern ermöglicht, sich nur einmal anzumelden und dann ohne erneute Authentifizierung auf mehrere Anwendungen/Dienste zuzugreifen.

SSO wird immer durch den gemeinsamen Betrieb zweier Anwendungen gewährleistet: eines Identitätsanbieters und eines Dienstanbieters (auch „IdP“ und „SP“ genannt). ONLYOFFICE SSO implementiert nur den SP. Viele verschiedene Anbieter können als IdP fungieren, dieser Artikel betrachtet jedoch die Authentik-Implementierung.

Erstellen eines IdP in Authentik

1. Melden Sie sich beim Authentik-Admin-Panel an (https://authentik.yourdomain.com/if/admin/).
2. Gehen Sie zu Anpassung -> Eigenschaftszuordnungen.
3. Klicken Sie auf Erstellen -> Eigenschaftszuordnung des SAML-Anbieters.
4. Erstellen Sie auf diese Weise 3 Property Mappings mit den folgenden Parametern:

   Name	SAML-Attributname	Ausdruck
   SAML givenName Mapping	givenName	return user.attributes["first_name"]
   SAML sn Mapping	sn	return user.attributes["last_name"]
   SAML mail Mapping	mail	return user.email

   Diese Eigenschaftszuordnung muss konfiguriert werden, wenn Benutzer in Authentik Attribute angegeben haben. Wenn die Attribute unterschiedlich sind, ersetzen Sie sie durch die erforderlichen. Wenn keine Attribute vorhanden sind, ist keine Konfiguration erforderlich.

   
5. Gehen Sie zu Anbieter -> Erstellen.
6. Wählen Sie den SAML-Typ aus.
   
7. Füllen Sie die folgenden Felder aus:

   Name	Docspace SAML
   Authorization flow	default-provider-authorization-implicit-consent (Authorize Application)
   ACS URL	https://docspace.example.com/sso/acs
   Issuer	https://docspace.example.com/sso/metadata
   Service Provider Binding	POST
   Sign assertions	true
   Sign responses	true
   Signing Certificate	Zum ersten Mal können Sie authentik Self-signed Certificate angeben oder durch Ihr eigenes Zertifikat ersetzen
   Property mappings	Wenn Sie in Schritt 4 Attribute konfiguriert haben, müssen Sie diese aus der linken Spalte in die rechte Spalte einfügen, indem Sie den rechten Pfeil auswählen und anklicken.

   
   
8. Klicken Sie auf Fertig.
9. Gehen Sie zu Anwendungen -> Erstellen.
10. Füllen Sie die folgenden Felder aus:

    Name	Docspace SAML
    Slug	docspace
    Provider	Select Docspace SAML
    Policy engine mode	any

11. Klicken Sie auf Erstellen.
    
12. Gehen Sie zum erstellten SAML-Anbieter.
13. Suchen Sie den Metadaten-URL-Link (normalerweise ist dies https://authentik.example.com/application/saml/docspace/metadata.xml)
14. Kopieren Sie diesen Link oder laden Sie die XML herunter.
    

ONLYOFFICE SP konfigurieren

Stellen Sie sicher, dass Sie als Administrator bei Ihrem ONLYOFFICE DocSpace angemeldet sind, gehen Sie zum Menü Einstellungen, wählen Sie den Abschnitt Integration und öffnen Sie die Registerkarte Single Sign-On.

1. Aktivieren Sie SSO mit dem Schalter Single Sign-On-Authentifizierung aktivieren und fügen Sie den kopierten Link in das Feld URL zu IDP-Metadaten-XML ein.
2. Drücken Sie die Schaltfläche mit dem Aufwärtspfeil, um die IdP-Metadaten zu laden. Das ONLYOFFICE SP-Einstellungsformular wird automatisch mit Ihren Daten vom Authentik IdP ausgefüllt.
3. Wenn für Benutzer keine Attribute konfiguriert sind und Schritt 4 des Abschnitts „Erstellen eines IDP in Authentik“ nicht ausgeführt wurde, müssen die folgenden Parameter in der Attributzuordnung angegeben werden:

   First Name	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
   Last Name	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
   Email	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

   
4. Erstellen Sie im Bereich SP-Zertifikate ein Zertifikat. Klicken Sie dazu im entsprechenden Bereich auf die Schaltfläche Zertifikat hinzufügen.
   
5. Klicken Sie im geöffneten modalen Fenster auf den Link Neues selbstsigniertes Zertifikat generieren und wählen Sie in der Liste Verwenden für die Option Signieren und verschlüsseln. Kopieren Sie vor dem Speichern des Zertifikats den Text des Öffentlichen Zertifikats in die Zwischenablage und speichern Sie ihn in einer Datei (dies wird für Authentik benötigt). Klicken Sie anschließend auf die Schaltfläche OK.
   
   
6. Klicken Sie auf die Schaltfläche Speichern.
7. Der Abschnitt ONLYOFFICE SP-Metadaten mit der Schaltfläche SP-Metadaten-XML herunterladen sollte geöffnet werden.
   
8. Kehren Sie zu Authentik zurück, um das kopierte Zertifikat hinzuzufügen. Gehen Sie zu System -> Zertifikate -> Erstellen.
9. Geben Sie einen beliebigen Namen ein und fügen Sie das kopierte Zertifikat ein.
   
10. Geben Sie dieses Zertifikat in den Providereinstellungen an.
    

    Wenn eine Verschlüsselung erforderlich ist, müssen Sie in Schritt 8 ein Zertifikat mit einem privaten Schlüssel erstellen und dieses Zertifikat im Feld Verschlüsselungszertifikat angeben.

Überprüfen der Arbeit von ONLYOFFICE SP mit dem Authentik IdP

1. Gehen Sie zur ONLYOFFICE DocSpace-Authentifizierungsseite (z. B. https://myportal-address.com/login).
   
2. Klicken Sie auf die Schaltfläche Single Sign-on. Wenn die Schaltfläche fehlt, bedeutet dies, dass SSO nicht aktiviert ist.
3. Wenn alle SP- und IdP-Parameter korrekt eingestellt sind, werden wir zum Authentik IdP-Anmeldeformular weitergeleitet.
4. Geben Sie den Benutzernamen und das Passwort des Authentik-Benutzers ein und klicken Sie auf die Schaltfläche Anmelden.
5. Wenn die Anmeldeinformationen korrekt sind, werden wir auf die Hauptseite des Portals weitergeleitet (der Benutzer wird automatisch erstellt, wenn er fehlt, oder die Daten werden aktualisiert, wenn sie im IDP geändert wurden).