Okta IdP

Einleitung

Single Sign-on (SSO) ist eine Technologie, die es Benutzern ermöglicht, sich nur einmal anzumelden und dann ohne erneute Authentifizierung auf mehrere Anwendungen/Dienste zuzugreifen.

SSO wird immer durch den gemeinsamen Betrieb zweier Anwendungen gewährleistet: eines Identitätsanbieters und eines Dienstanbieters (auch „IdP“ und „SP“ genannt). ONLYOFFICE SSO implementiert nur den SP. Viele verschiedene Anbieter können als IdP fungieren, aber dieser Artikel betrachtet die Okta-Implementierung.

Erstellen eines IdP in Okta

1. Registrieren Sie sich bei Okta.
2. Gehen Sie zum Menü Anwendungen -> Anwendungen.
   
3. Klicken Sie auf die Schaltfläche App-Integration erstellen:
   
4. Wählen Sie die Option SAML 2.0 und klicken Sie auf die Schaltfläche Weiter.
   
5. Geben Sie im Feld App-Name einen beliebigen Namen ein, beispielsweise „IDP Okta DocSpace“, um diese Anwendung von anderen zu unterscheiden, und klicken Sie auf die Schaltfläche Weiter.
   
6. Füllen Sie die Felder gemäß der folgenden Tabelle aus:
   Bitte geben Sie Ihren eigenen Domänennamen oder Ihre öffentliche IP an, unter der Ihr ONLYOFFICE SP gehostet wird, statt myportal-address.com.

   Anwendungsdetails
   Single sign-on URL	https://myportal-address.com/sso/acs
   Audience URI (SP Entity ID)	https://myportal-address.com/sso/
   Default RelayState	https://myportal-address.com
   Name ID format (Namens-ID-Format)	EmailAddress
   Application username (Anwendungsbenutzername)	Email
   Update application username on (Den Anwendungsbenutzernamen aktualisieren auf)	Create and Update
   Response (Antwort)	Signed
   Assertion Signature (Assertionssignatur)	Signed
   Signature Algorithm (Signaturalgorithmus)	RSA-SHA256
   Digest Algorithm (Digest-Algorithmus)	SHA256
   Assertion Encryption (Assertionsverschlüsselung)	Encrypted
   Encryption Algorithm (Verschlüsselungsalgorithmus)	AES128-CBC
   Key Transport Algorithm (Schlüsseltransportalgorithmus)	RSA-OAEP
   Authentication context class (Authentifizierungskontextklasse)	X.509 Certificate

   
   
   
7. Klicken Sie im Formular Attributanweisungen auf Weitere hinzufügen und erstellen Sie 3 Parameter (givenName, sn, mail), die einen Wert aus der Liste Wert angeben, der für die Ausgabe aus dem Feldkatalog des LDAP-Verzeichnisses geeignet ist.
   
8. Gehen Sie zum ONLYOFFICE-Portal und melden Sie sich als Administrator an. Öffnen Sie die Seite Einstellungen -> Integration -> Single Sign-On.
9. Aktivieren Sie SSO mit dem Umschalter Single Sign-On-Authentifizierung aktivieren.
10. Nun müssen Sie im Bereich SP-Zertifikate ein Zertifikat erstellen. Klicken Sie dazu im entsprechenden Bereich auf die Schaltfläche Zertifikat hinzufügen.
    
11. Klicken Sie im geöffneten modalen Fenster auf den Link Neues selbstsigniertes Zertifikat generieren und wählen Sie in der Liste Verwenden für die Option Signierung und Verschlüsselung. Kopieren Sie vor dem Speichern des Zertifikats den Text des Öffentlichen Zertifikats in die Zwischenablage (dies ist für Okta erforderlich) und klicken Sie anschließend auf die Schaltfläche OK.
    
12. Öffnen Sie einen beliebigen Editor, fügen Sie den kopierten Text ein und speichern Sie die Datei mit der Erweiterung .pem.
    
13. Kehren Sie zum Formular zur Okta-Anwendungserstellung zurück. Wählen Sie im Feld Verschlüsselungszertifikat den neu erstellten öffentlichen Schlüssel aus.
    
14. Klicken Sie am Ende des Formulars auf die Schaltfläche Weiter.
    
15. Klicken Sie auf die Schaltfläche Fertig.
    
16. Kopieren Sie in der sich öffnenden Anwendungsbeschreibung den Link aus dem Feld Metadaten-URL.
    
17. Kehren Sie zur Seite Single Sign-On im ONLYOFFICE-Portal zurück. Fügen Sie den kopierten Link in das Feld zum Hochladen der Metadaten-XML ein.
    

    Geben Sie die Beschriftung der Anmeldeschaltfläche an.

    
18. Klicken Sie auf die Schaltfläche Speichern.
19. Der Abschnitt ONLYOFFICE SP-Metadaten sollte mit der Schaltfläche SP-Metadaten-XML herunterladen geöffnet werden.
    
20. Um die Abmeldung zu konfigurieren, kehren Sie zu den Okta-Einstellungen zurück. Geben Sie im Feld Signaturzertifikat ein Zertifikat an, beispielsweise aus Schritt 12. Füllen Sie die Felder Single Logout URL und SP Issuer gemäß dem unten stehenden Beispiel aus.
    
21. Um Benutzer in Okta zu erstellen und ihnen Zugriff auf unser ONLYOFFICE SP zu gewähren, führen Sie die folgenden Schritte aus:
    1. Gehen Sie zum Okta-Untermenü Verzeichnis -> Personen.
       
    2. Klicken Sie auf die Schaltfläche Person hinzufügen.
       
    3. Füllen Sie das Formular aus und klicken Sie auf Speichern.
       
    4. Gehen Sie zum Menü Anwendungen -> Anwendungen und klicken Sie auf die erstellte Anwendung.
       
    5. Klicken Sie auf Zuweisen -> Personen zuweisen. Wählen Sie im geöffneten Fenster die gewünschten Benutzer aus und klicken Sie auf Zuweisen. Schließen Sie das Fenster mit einem Klick auf Fertig.
       

Überprüfen der Arbeit des ONLYOFFICE SP mit dem Okta IdP

Anmelden bei ONLYOFFICE auf der SP-Seite

1. Gehen Sie zur ONLYOFFICE-Authentifizierungsseite (z. B. https://myportal-address.com/Auth.aspx).
2. Klicken Sie auf die Schaltfläche Single Sign-On. Wenn die Schaltfläche fehlt, bedeutet dies, dass SSO nicht aktiviert ist.
   
3. Wenn alle SP- und IdP-Parameter richtig eingestellt sind, werden wir zum Okta IdP-Anmeldeformular weitergeleitet:
   
4. Geben Sie den Benutzernamen und das Passwort des Benutzers ein, dem Zugriff auf ONLYOFFICE SP gewährt wurde, und klicken Sie auf die Schaltfläche ANMELDEN.
5. Wenn die Anmeldeinformationen korrekt sind, werden wir auf die Hauptseite des Portals weitergeleitet (der Benutzer wird automatisch erstellt, wenn er fehlt, oder die Daten werden aktualisiert, wenn sie im IDP geändert wurden).