OneLogin IdP

Einleitung

Single Sign-on (SSO) ist eine Technologie, die es Benutzern ermöglicht, sich nur einmal anzumelden und dann ohne erneute Authentifizierung auf mehrere Anwendungen/Dienste zuzugreifen.

SSO wird immer durch den gemeinsamen Betrieb zweier Anwendungen gewährleistet: eines Identitätsanbieters und eines Dienstanbieters (auch „IdP“ und „SP“ genannt). ONLYOFFICE SSO implementiert nur den SP. Viele verschiedene Anbieter können als IdP fungieren, aber dieser Artikel betrachtet die OneLogin-Implementierung.

Erstellen eines IdP in OneLogin

1. Melden Sie sich für OneLogin an, falls Sie noch nicht registriert sind.
2. Melden Sie sich als Administrator bei OneLogin an.
3. Gehen Sie zum Menü Anwendungen -> Anwendungen -> App hinzufügen.
   
4. Geben Sie im Suchfeld Anwendung suchen den folgenden Text ein: SAML Custom Connector (Advanced):
   
5. Wählen Sie die gefundene Option aus.
6. Geben Sie in einem neuen Fenster, das geöffnet wird, einen beliebigen Anzeigenamen ein, zum Beispiel „IDP OneLogin DocSpace“, um diese Anwendung von anderen zu unterscheiden, und klicken Sie auf die Schaltfläche Speichern.
   
7. Gehen Sie zum Untermenü Konfiguration und füllen Sie die Felder gemäß der folgenden Tabelle aus:
   Bitte geben Sie Ihren eigenen Domänennamen oder Ihre öffentliche IP an, unter der Ihr ONLYOFFICE SP gehostet wird, statt myportal-address.com.

   Anwendungsdetails
   RelayState	https://myportal-address.com
   Audience (EntityID)	https://myportal-address.com/sso/
   Recipient (Empfänger)	https://myportal-address.com/sso/acs
   ACS (Consumer) URL Validator*	^https:\/\/myportal-address\.com\/sso\/acs\/$
   ACS (Consumer) URL*	https://myportal-address.com/sso/acs
   Single Logout URL	https://myportal-address.com/sso/slo/callback
   SAML initiator	Service Provider
   SAML nameID format	Email
   SAML issuer type (SAML-Ausstellertyp)	Specific
   SAML signature element (SAML-Signaturelement)	Assertion
   Encrypt assertion (Assertion verschlüsseln)	(check this box)
   SAML encryption method (SAML-Verschlüsselungsmethode)	AES-128-CBC
   Sign SLO Request	(check this box)
   Sign SLO Response	(check this box)

   
   
   
8. Klicken Sie auf die Schaltfläche Speichern und gehen Sie zum Untermenü Parameter.
   
9. Verwenden Sie den Link Parameter hinzufügen, um 3 Parameter (givenName, sn, mail) zu erstellen. Aktivieren Sie die Option In SAML-Assertion einbeziehen und geben Sie für alle Parameter einen Wert aus der Liste Wert an, der für die Ausgabe aus dem Feldkatalog des LDAP-Verzeichnisses geeignet ist:
   
10. Sobald Sie alle erforderlichen Felder für SAML-Assertion-Attribute im IdP ausgefüllt haben, sollten Sie nahezu dasselbe Ergebnis wie in der folgenden Abbildung erhalten. Klicken Sie auf die Schaltfläche Speichern.
    
11. Gehen Sie zum Untermenü SSO. Wählen Sie ein gültiges Zertifikat aus der Zertifikatsliste aus, indem Sie auf den Link Ändern klicken, falls Sie mehrere Zertifikate haben. Lassen Sie im Feld SAML-Signaturalgorithmus die Option SHA-1 stehen und klicken Sie auf die Schaltfläche Speichern:
    
12. Kopieren Sie den Link aus dem Feld Aussteller-URL (z. B. https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) und melden Sie sich als Administrator beim ONLYOFFICE-Portal an. Öffnen Sie die Seite Einstellungen -> Integration -> Single Sign-On.

ONLYOFFICE SP konfigurieren

1. 
   Aktivieren Sie SSO mit dem Umschalter Single Sign-On-Authentifizierung aktivieren und fügen Sie den aus der OneLogin-Aussteller-URL kopierten Link in das Feld URL zu IDP-Metadaten-XML ein.
   
2. Drücken Sie die Schaltfläche mit dem Aufwärtspfeil, um die IdP-Metadaten zu laden. Das Formular ONLYOFFICE SP-Einstellungen wird automatisch mit Ihren Daten vom OneLogin IdP ausgefüllt.
   
   
   
3. Nun müssen Sie im Bereich SP-Zertifikate ein Zertifikat erstellen. Klicken Sie dazu im entsprechenden Bereich auf die Schaltfläche Zertifikat hinzufügen.
   
4. Klicken Sie im geöffneten modalen Fenster auf den Link Neues selbstsigniertes Zertifikat generieren und wählen Sie in der Liste Verwenden für die Option Signierung und Verschlüsselung. Kopieren Sie vor dem Speichern des Zertifikats den Text des Öffentlichen Zertifikats in die Zwischenablage (dies wird für OneLogin benötigt) und klicken Sie anschließend auf die Schaltfläche OK.
   
   
5. Klicken Sie auf die Schaltfläche Speichern.
6. Der Abschnitt ONLYOFFICE SP-Metadaten sollte geöffnet sein.
   
7. Kehren Sie zu OneLogin zurück, um die Verschlüsselung einzurichten. Öffnen Sie Ihre Anwendung und gehen Sie zu den Einstellungen Konfiguration. Scrollen Sie auf der Seite nach unten – das neue Feld SAML-Verschlüsselung zur Eingabe eines Verschlüsselungsschlüssels sollte erscheinen. Fügen Sie den kopierten Text des Öffentlichen Zertifikats aus Schritt 4 dieser Anleitung in dieses Feld ein und klicken Sie auf die Schaltfläche Speichern:
   

Benutzer in OneLogin erstellen und ihnen Zugriff auf ONLYOFFICE gewähren

Um Benutzer in OneLogin zu erstellen und ihnen Zugriff auf unser ONLYOFFICE SP zu gewähren, führen Sie die folgenden Schritte aus:

1. gehen Sie zur OneLogin-Seite Benutzer und melden Sie sich als Administrator an,
   
2. einen neuen Benutzer erstellen oder einen bestehenden bearbeiten,
3. gehen Sie zum Untermenü Anwendungen und klicken Sie auf die Schaltfläche +,
4. wählen Sie unsere neu erstellte Anwendung aus der Liste aus und klicken Sie auf Weiter,
   
5. geben Sie in einem neuen Fenster die fehlenden Daten ein und klicken Sie auf die Schaltfläche SPEICHERN,
6. jetzt kann der Benutzer in ONLYOFFICE SP arbeiten.

Überprüfen der Arbeit des ONLYOFFICE SP mit dem OneLogin IdP

Anmelden bei ONLYOFFICE auf der SP-Seite

1. Gehen Sie zur ONLYOFFICE-Authentifizierungsseite (z. B. https://myportal-address.com/Auth.aspx).
2. Klicken Sie auf die Schaltfläche Single Sign-On. Wenn die Schaltfläche fehlt, bedeutet dies, dass SSO nicht aktiviert ist.
   
3. Wenn alle SP- und IdP-Parameter richtig eingestellt sind, werden wir zum OneLogin IdP-Anmeldeformular weitergeleitet:
   
4. Geben Sie den Benutzernamen und das Passwort des Benutzers ein, dem Zugriff auf ONLYOFFICE SP gewährt wurde, und klicken Sie auf die Schaltfläche ANMELDEN.
5. Wenn die Anmeldeinformationen korrekt sind, werden wir auf die Hauptseite des Portals weitergeleitet (der Benutzer wird automatisch erstellt, wenn er fehlt, oder die Daten werden aktualisiert, wenn sie im IDP geändert wurden).