Konfigurieren von ONLYOFFICE SP und AD FS IdP

Einleitung

Single Sign-on (SSO) ist eine Technologie, die es Benutzern ermöglicht, sich nur einmal anzumelden und dann ohne erneute Authentifizierung auf mehrere Anwendungen/Dienste zuzugreifen.

Wenn ein Webportal mehrere große unabhängige Bereiche (Forum, Chat, Blogs usw.) umfasst, kann ein Benutzer das Authentifizierungsverfahren innerhalb eines der Dienste durchlaufen und erhält automatisch Zugriff auf alle anderen Dienste, ohne seine Anmeldeinformationen mehrmals eingeben zu müssen.

SSO wird immer durch den gemeinsamen Betrieb zweier Anwendungen gewährleistet: eines Identitätsanbieters und eines Dienstanbieters (im Folgenden aufgrund ihrer englischen Bezeichnungen als „IdP“ und „SP“ bezeichnet). ONLYOFFICE SSO implementiert nur den SP. Viele verschiedene Anbieter können als IdP fungieren, dieser Artikel befasst sich jedoch mit der Implementierung von Active Directory Federation Services (AD FS).

Wenn Sie SSO beim Verbinden von ONLYOFFICE Desktop-Editoren mit Ihrem ONLYOFFICE Workspace verwenden möchten, deaktivieren Sie Private Räume in der Systemsteuerung.
Systemanforderungen

Zu den Systemanforderungen gehört die folgende Software, die getestet wurde und nachweislich ordnungsgemäß mit ONLYOFFICE SSO funktioniert:

  • Windows Server 2008 R2, Windows Server 2016;
  • AD FS Version 3.0 oder später.

ONLYOFFICE Workspace für die SSO-Einrichtung vorbereiten

  1. Installieren Sie ONLYOFFICE Workspace für Docker oder eine spätere Version mit SSO-Unterstützung (AD FS wird ab Community Server v9.5 unterstützt).
  2. Fügen Sie einen Domänennamen hinzu, z. B. meineportaladresse.com.
  3. Gehen Sie auf Ihrem Portal zur Systemsteuerung -> HTTPS, erstellen und wenden Sie das letsencrypt-Zertifikat für die Verkehrsverschlüsselung an (um HTTPS auf Ihrem Portal zu aktivieren).

Vorbereiten von AD FS für die SSO-Einrichtung

  1. Installieren Sie die neueste AD DS-Version (Active Directory Domain Service) mit allen offiziellen Updates und Patches.
  2. Installieren Sie die neueste AD FS-Version mit allen offiziellen Updates und Patches.
    Um AD FS von Grund auf neu bereitzustellen, können Sie die folgenden Anweisungen verwenden.
  3. Überprüfen Sie, ob der Link zu den AD FS-Metadaten öffentlich verfügbar ist. Gehen Sie dazu wie folgt vor:
    1. Öffnen Sie Server-Manager -> Tools -> AD FS-Verwaltung.
    2. Gehen Sie zu AD FS \ Service \ Endpoints.
    3. Suchen Sie in der Tabelle nach der Zeile mit dem Typ Federation Metadata. Der Link zu den IdP-Metadaten wird nach folgendem Schema erstellt:
      https://{ad-fs-domain}/{path-to-FederationMetadata.xml}
      How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

      Alternativ können Sie den folgenden PowerShell-Befehl verwenden:

      PS C:\Users\Administrator> (Get-ADFSEndpoint | Where {$_.Protocol -eq "FederationMetadata" -or $_.Protocol -eq "Federation Metadata"}).FullUrl.ToString()

      Als Ergebnis sollten Sie einen Link erhalten, der wie folgt aussieht:

      https://onlyofficevm.northeurope.cloudapp.azure.com/FederationMetadata/2007-06/FederationMetadata.xml
    4. Um zu überprüfen, ob AD FS korrekt gestartet wurde, öffnen Sie den erhaltenen Link in einem Webbrowser. Die XML-Datei sollte angezeigt oder heruntergeladen werden. Kopieren Sie den Link zur Metadaten-XML. Er wird im nächsten Schritt benötigt.

ONLYOFFICE SP konfigurieren

  1. Stellen Sie sicher, dass Sie als Administrator bei Ihrer ONLYOFFICE-Systemsteuerung angemeldet sind, und klicken Sie in der linken Seitenleiste im Abschnitt PORTALEINSTELLUNGEN auf die Registerkarte SSO.
    Sie können im ONLYOFFICE-Portal nur einen Enterprise-Identitätsanbieter (IdP) für Ihre Organisation registrieren.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  2. Aktivieren Sie SSO mit dem Umschalter Single Sign-On-Authentifizierung aktivieren und fügen Sie den aus AD FS kopierten Link in das Feld URL-Adresse zur IdP Metadaten-XML-Datei ein.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

    Drücken Sie die Schaltfläche mit dem Aufwärtspfeil, um die IdP-Metadaten zu laden. Das Formular ONLYOFFICE SP-Einstellungen wird automatisch mit Ihren Daten vom AD FS IdP ausgefüllt.

  3. Im Feld Benutzerdefinierte Beschriftung des Login-Buttons können Sie anstelle des Standardtextes (Single Sign-on) einen beliebigen Text eingeben. Dieser Text wird auf der Schaltfläche angezeigt, mit der Sie sich mit dem Single Sign-on-Dienst auf der ONLYOFFICE-Authentifizierungsseite beim Portal anmelden können.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  4. Wählen Sie im Selektor NameID-Format den folgenden Wert aus: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  5. Deaktivieren Sie im Abschnitt Öffentliches Zertifikat des Identity-Providers \ Erweiterte Einstellungen die Option Signatur der Abmelde-Response prüfen, da AD FS dies standardmäßig nicht erfordert.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  6. Fügen Sie nun Zertifikate zum Abschnitt SP-Zertifikate hinzu. Sie können selbstsignierte Zertifikate generieren oder andere Zertifikate hinzufügen.
    Stellen Sie im Fenster Neues Zertifikat den Selektor Nutzen Sie für auf die Option Signieren und Verschlüsseln, da AD FS IdP automatisch so konfiguriert ist, dass digitale Signaturen überprüft und Daten verschlüsselt werden.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

    Sie sollten fast das gleiche Ergebnis erhalten:

    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  7. Deaktivieren Sie in den SP-Zertifikaten\Erweiterten Einstellungen die Option Abmelde-Responses signieren, da AD FS dies standardmäßig nicht erfordert.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
    Es ist nicht notwendig, das Formular Attributzuordnung anzupassen, da wir diese Parameter später im AD FS-IdP festlegen. Im Abschnitt Erweiterte Einstellungen können Sie die Option Anmeldeseite ausblenden aktivieren, um die Standardauthentifizierungsseite auszublenden und automatisch zum SSO-Dienst umzuleiten.
    WichtigWenn Sie die Standardauthentifizierungsseite wiederherstellen müssen (um bei einem Ausfall Ihres IDP-Servers auf das Portal zugreifen zu können), können Sie den Schlüssel /Auth.aspx?skipssoredirect=true nach dem Domänennamen Ihres Portals in der Adressleiste des Browsers hinzufügen.
  8. Klicken Sie auf die Schaltfläche Speichern. Der Abschnitt ONLYOFFICE SP-Metadaten sollte geöffnet werden.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

    Überprüfen Sie, ob unsere Einstellungen öffentlich verfügbar sind, indem Sie auf die Schaltfläche SP-Metadaten-XML herunterladen klicken. Der Inhalt der XML-Datei sollte angezeigt werden.

  9. Kopieren Sie den Link zu den ONLYOFFICE SP-Metadaten aus dem Feld SP-Entitäts ID (Link zu Metadaten der XML-Datei) und gehen Sie zu dem Computer, auf dem AD FS installiert ist.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

Konfigurieren des AD FS-IdP

  1. Aktivieren Sie eine starke Authentifizierung für .NET-Anwendungen.

    Die .NET Framework 3.5/4.0/4.5.x-Anwendungen können das Standardprotokoll auf TLS 1.2 umstellen, indem sie den Registrierungsschlüssel SchUseStrongCrypto aktivieren. Dieser Registrierungsschlüssel erzwingt die Verwendung von TLS 1.2 in .NET-Anwendungen.

    Für AD FS unter Windows Server 2016 und Windows Server 2012 R2 müssen Sie den Schlüssel .NET Framework 4.0/4.5.x verwenden: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

    Für das .NET Framework 3.5 verwenden Sie den folgenden Registrierungsschlüssel:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727] "SchUseStrongCrypto"=dword:00000001

    Für das .NET Framework 4.0/4.5.x verwenden Sie den folgenden Registrierungsschlüssel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 "SchUseStrongCrypto"=dword:00000001
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

    Alternativ können Sie den folgenden PowerShell-Befehl verwenden:

    New-ItemProperty -path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null

    Weitere Einzelheiten finden Sie in diesem Artikel.

  2. Öffnen Sie Server-Manager -> Tools -> AD FS-Verwaltung.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  3. Wählen Sie im Bereich AD FS-Verwaltung die Option Vertrauensstellungen > Vertrauensstellungen der vertrauenden Seite (Trust Relationships > Relying Party Trusts). Klicken Sie rechts auf die Option Vertrauensstellung der vertrauenden Seite hinzufügen... (Add Relying Party Trust...). Der Assistent zum Hinzufügen einer Vertrauensstellung der vertrauenden Seite (Add Relying Party Trust Wizard) wird geöffnet.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  4. Wählen Sie im Assistentenfenster das Optionsfeld Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Partei importieren (Import data about the relying party published online or on a local network) aus, fügen Sie den zuvor kopierten Link zu den ONLYOFFICE SP-Metadaten in das Feld Adresse der Federation-Metadaten (Hostname oder URL) (Federation metadata address (host name or URL)) ein und klicken Sie auf die Schaltfläche Weiter.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  5. Geben Sie im Feld Anzeigename einen beliebigen Namen ein und klicken Sie auf die Schaltfläche Weiter.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  6. Wählen Sie die Option Ich möchte derzeit keine Multi-Faktor-Authentifizierungseinstellungen für diese Vertrauensstellung der vertrauenden Seite konfigurieren (I do not want to configure multi-factor authentication settings for this relying party trust at this time) und klicken Sie auf die Schaltfläche Weiter.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  7. Wählen Sie die Option Allen Benutzern den Zugriff auf diese vertrauende Seite gestatten (Permit all users to access this relying party) und klicken Sie auf die Schaltfläche Weiter.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  8. Überprüfen Sie die resultierenden Einstellungen und klicken Sie auf die Schaltfläche Weiter.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  9. Lassen Sie die Standardoption unverändert und klicken Sie auf die Schaltfläche Schließen.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  10. Ein neues Fenster wird geöffnet. Klicken Sie auf der Registerkarte Ausgabetransformationsregeln (Issuance Transform Rules) auf die Schaltfläche Regel hinzufügen... (Add Rule).
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  11. Wählen Sie die Option LDAP-Attribute als Ansprüche senden (Send LDAP Attributes as Claims) aus der Liste Anspruchsregelvorlage (Claim rule template) und klicken Sie auf die Schaltfläche Weiter.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  12. Geben Sie im Feld Name der Anspruchsregel (Claim rule name) einen beliebigen Namen ein. Wählen Sie in der Liste Attributspeicher die Option Active Directory aus und füllen Sie das Formular Zuordnung von LDAP-Attributen zu ausgehenden Anspruchstypen gemäß der folgenden Tabelle aus. Klicken Sie anschließend auf Fertig.
    LDAP-Attribut (Auswählen oder eingeben, um weitere hinzuzufügen)Art des ausgehenden Anspruchs (Auswählen oder eingeben, um weitere hinzuzufügen)
    Given-NamegivenName
    Surnamesn
    E-Mail-Addressesmail
    Telephone-Numbermobile
    Titletitle
    physicalDeliveryOfficeNamel
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  13. Klicken Sie im Fenster Anspruchsregeln bearbeiten erneut auf die Schaltfläche Regel hinzufügen..., wählen Sie die Option Einen eingehenden Anspruch umwandeln aus der Liste Anspruchsregelvorlage und klicken Sie auf die Schaltfläche Weiter.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  14. Geben Sie im Feld Name der Anspruchsregel einen beliebigen Namen ein und wählen Sie die folgenden Optionen aus den Listen aus:
    • Eingehender Anspruchstyp (Incoming claim type): mail,
    • Ausgehender Anspruchstyp (Outgoing claim type): Name ID,
    • Format der ausgehenden Namens-ID (Outgoing name ID format): Email
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

    Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Fertig.

    Sie sollten fast das gleiche Ergebnis erhalten:

    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

    Wenn die Abmeldung von AD FS nicht funktioniert, wird empfohlen, eine benutzerdefinierte Anspruchsregel hinzuzufügen, indem Sie {portal-domain} durch Ihre SP-Domäne ersetzen und {ad-fs-domain} in Ihre IdP-Domäne ändern:

    c:[Type == "mail"]=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://{ad-fs-domain}/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://{portal-domain}/sso/metadata");
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  15. Klicken Sie auf die Schaltfläche OK.
  16. Damit SSO vom Intranet aus funktioniert, müssen Sie die Option Formularauthentifizierung (Forms Authentication) im Kontextmenü Globale Authentifizierungsrichtlinie bearbeiten (Edit Global Authentication Policy) aktivieren (Kontextmenü AD FS / Authentifizierungsrichtlinien (Authentication Policies)).
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  17. Öffnen Sie die Eigenschaften des erstellten Relying Party Trusts und wechseln Sie zur Registerkarte Erweitert.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

    Wählen Sie die Option SHA-1 in der Liste Sicherer Hash-Algorithmus (Secure hash algorithm).

    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

Überprüfen der Arbeit des ONLYOFFICE SP mit dem AD FS IdP

Anmelden bei ONLYOFFICE auf der SP-Seite
  1. Gehen Sie zur ONLYOFFICE-Authentifizierungsseite (z. B. https://myportal-address.com/auth.aspx).
  2. Klicken Sie auf die Schaltfläche Single Sign-On (die Beschriftung kann abweichen, wenn Sie bei der Konfiguration von ONLYOFFICE SP einen eigenen Text angegeben haben). Wenn die Schaltfläche fehlt, bedeutet dies, dass SSO nicht aktiviert ist.
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  3. Wenn alle SP- und IdP-Parameter richtig eingestellt sind, werden wir zum AD FS IdP-Anmeldeformular weitergeleitet:
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  4. Geben Sie den Benutzernamen und das Kennwort des AD FS-IdP-Kontos ein und klicken Sie auf die Schaltfläche Anmelden.
  5. Wenn die Anmeldeinformationen korrekt sind, werden wir auf die Hauptseite des Portals weitergeleitet (der Benutzer wird automatisch erstellt, wenn er fehlt, oder die Daten werden aktualisiert, wenn sie im IDP geändert wurden).
Profile für Benutzer, die mit SSO-Authentifizierung hinzugefügt wurden

Die Möglichkeit, mit der SSO-Authentifizierung erstellte Benutzerprofile zu bearbeiten, ist eingeschränkt. Die vom IdP erhaltenen Benutzerprofilfelder (z. B. Vorname, Nachname, E-Mail, Titel und Standort) sind für die Bearbeitung deaktiviert. Sie können diese Felder nur von Ihrem IdP-Konto aus bearbeiten.

Die folgende Abbildung zeigt das Aktionsmenü für einen SSO-Benutzer:

How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

Die folgende Abbildung zeigt ein zur Bearbeitung geöffnetes SSO-Benutzerprofil:

How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

Die mit der SSO-Authentifizierung angelegten Benutzer sind in der Benutzerliste für die Portaladministratoren mit dem SSO-Symbol gekennzeichnet:

How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

Hosten Sie ONLYOFFICE Workspace auf Ihrem eigenen Server

Artikel zum Thema:
Alle Schlagwörter