ONLYOFFICE Single Sign-on-Übersicht für die Serverversion

Einleitung

Mit der Funktion Single Sign-On der Systemsteuerung können Sie die Authentifizierung durch Drittanbieter mithilfe der installierten SSO-Dienste (Shibboleth, OneLogin oder Active Directory Federation Services) aktivieren.

Die Single Sign-On-Technologie ermöglicht Benutzern, sich nur einmal anzumelden und dann auf mehrere autorisierte (d.h. in einen Identitätsanbieter integrierte) Anwendungen/Dienste zuzugreifen, ohne bei jedem Zugriff auf eine andere Anwendung ihre Anmeldeinformationen eingeben zu müssen.

SSO wird immer durch die gemeinsame Arbeit von zwei Anwendungen sichergestellt: einem Identitätsanbieter und einem Dienstanbieter (im Folgenden als "IdP" und "SP" bezeichnet).

ONLYOFFICE SSO implementiert nur den SP. Viele verschiedene Anbieter können als IdP funktionieren, aber ONLYOFFICE wurde nur mit den folgenden Diensten getestet: Shibboleth, OneLogin und AD FS.

Mit der SSO-Authentifizierung erhalten Sie:

  • Bessere Bequemlichkeit. Benutzer erhalten eine schnellere und einfachere Möglichkeit, auf das Portal zuzugreifen, ohne sich mehrere Kennwörter und Anmeldungen merken zu müssen.
  • Verbesserte Sicherheit. ONLYOFFICE speichert keine Benutzerkennwörter in irgendeiner Form, sondern verwendet stattdessen die Ergebnisse der Authentifizierung auf der Seite des Identitätsanbieters.
  • Einfache Verwaltung. Alle erforderlichen Benutzerinformationen werden über ein Authentifizierungstoken übertragen. Wenn sich die Benutzerinformationen auf der Seite des Identitätsanbieters ändern, werden sie bei der nächsten SSO-Authentifizierung automatisch im Portal aktualisiert. Wenn im Portal kein Benutzerprofil vorhanden ist, wird es automatisch erstellt, wenn sich der Benutzer zum ersten Mal mit den SSO-Anmeldeinformationen beim Portal anmeldet.

In ONLYOFFICE wird die SSO-Authentifizierung auf der Basis des sicheren und häufig verwendeten SAML-Standards implementiert. SAML (Security Assertion Markup Language) ist ein XML-Standard, mit dem Benutzerauthentifizierungs-/Autorisierungsdaten zwischen einem Identitätsanbieter und einem Dienstanbieter über Sicherheitstoken übertragen werden können, die Zusicherungen enthalten.

Dieser Artikel beschreibt den Prozess des Aktivierens von SSO im Allgemeinen. Wenn Sie nach bestimmten Einstellungen/Beispielen für bestimmte IdPs suchen, lesen Sie bitte unsere Artikel zum Konfigurieren von ONLYOFFICE SP und Shibboleth, OneLogin oder AD FS-IdPs.

Aktivieren von SSO: Serverversion

Um die SSO-Authentifizierung für Ihr Portal zu aktivieren und zu konfigurieren, müssen Sie die folgenden zwei Hauptschritte ausführen:

  1. Registrieren Sie Ihren Identitätsanbieter auf der Seite ONLYOFFICE Systemsteuerung -> SSO. Die Informationen, die Sie angeben sollten, finden Sie in Ihrem Identity Provider-Konto.
    Wenn Sie SSO verwenden möchten, wenn Sie ONLYOFFICE Desktop-Editoren mit Ihrem ONLYOFFICE Workspace verbinden, deaktivieren Sie Private Räume in der Systemsteuerung.
  2. Registrieren Sie ONLYOFFICE als vertrauenswürdigen Dienstanbieter in Ihrem Konto als Identitätsanbieter. Dieses Verfahren unterscheidet sich je nach ausgewähltem Identitätsanbieter.
Jedes Portal kann gleichzeitig nur mit einem Identitätsanbieter integriert werden.

Ihren Identitätsanbieter beim ONLYOFFICE-Dienstanbieter registrieren

Um Ihren IdP in ONLYOFFICE SP zu registrieren, verwenden Sie den Abschnitt ONLYOFFICE SP-Einstellungen auf der Seite SSO.

  1. Gehen Sie in Ihrem ONLYOFFICE-Portal zur Systemsteuerung und öffnen Sie die Seite SSO im Abschnitt PORTALEINSTELLUNGEN in der linken Seitenleiste.
  2. Klicken Sie auf den Umschalter Single Sign-On-Authentifizierung aktivieren.
  3. Füllen Sie die erforderlichen Felder im Abschnitt ONLYOFFICE SP-Einstellungen aus. Die erforderlichen Informationen können auf verschiedene Arten angegeben werden:
    • Geben Sie die URL-Adresse der Metadatendatei ein. Wenn Ihre IdP-Metadaten über den Link von außen zugänglich sind, fügen Sie den Link in das Feld URL zu IdP-Metadaten-XML ein und klicken Sie auf die Schaltfläche Daten laden. Beim Laden der Daten werden alle erforderlichen Parameter automatisch im erweiterten Formular angezeigt.
    • Laden Sie die Metadatendatei hoch. Wenn Ihr IdP eine Metadatendatei bereitstellt, verwenden Sie die Schaltfläche Datei auswählen, um nach der auf Ihrem lokalen Computer gespeicherten Datei zu suchen. Beim Hochladen der Datei werden alle erforderlichen Parameter automatisch im erweiterten Formular angezeigt.
    • Geben Sie die erforderlichen Parameter manuell an. Wenn die Metadatendatei nicht verfügbar ist, geben Sie die erforderlichen Parameter manuell ein. Um die erforderlichen Werte zu erhalten, wenden Sie sich bitte an Ihren IdP-Administrator.

Folgende Parameter stehen zur Verfügung:

  • Identity-Provider (IdP) Entitäts-ID (Pflichtfeld): Die Kennung des Identitätsanbieters oder die URL-Adresse, die vom Dienstanbieter zur eindeutigen Identifizierung des IdP verwendet wird.
    https://example.com/idp/shibboleth

    wobei example.com Ihr SSO-Dienstdomänenname ist

  • Einmalanmeldung-URL des Endpunkts von IdP (Pflichtfeld): Die URL, die für die einmalige Anmeldung auf der Seite des Identitätsanbieters verwendet wird. Dies ist die Endpunktadresse in Ihrem IdP, an die der Dienstleister Authentifizierungsanforderungen sendet.

    Stellen Sie den erforderlichen Bindungstyp ein, indem Sie eines der entsprechenden Optionsfelder auswählen. Bindungen geben an, wie Authentifizierungsanforderungen und -antworten zwischen dem IdP und SP über das zugrunde liegende Transportprotokoll übertragen werden: mithilfe der HTTP-POST- oder HTTP-Redirect-Bindung.

  • Einzel-Abmeldung-URL des Endpunkts von IdP: Die URL, die für die einmalige Abmeldung auf der Seite des Dienstanbieters verwendet wird. Dies ist die Endpunktadresse in Ihrem IdP, an die der Dienstleister Abmeldeanforderungen/-antworten sendet.

    Stellen Sie den erforderlichen Bindungstyp ein, indem Sie eines der entsprechenden Optionsfelder auswählen. Bindungen geben an, wie Authentifizierungsanforderungen und -antworten zwischen dem IdP und SP über das zugrunde liegende Transportprotokoll übertragen werden: mithilfe der HTTP-POST- oder HTTP-Redirect-Bindung.

  • NameID-Format: Mit dem Parameter NameID kann der Dienstleister einen Benutzer identifizieren. Wählen Sie eines der verfügbaren Formate aus der Liste aus.
Es ist möglich, die Schaltfläche zum Anmelden am Portal mit dem Single Sign-On-Dienst auf der ONLYOFFICE-Authentifizierungsseite anzupassen. Sie können dies über das Feld Benutzerdefinierte Beschriftung des Login-Buttons im Abschnitt ONLYOFFICE SP-Einstellungen anpassen.

Sie können auch die IdP- und SP-Zertifikate hinzufügen.

Öffentliche Zertifikate des Identity-Providers

Öffentliche IdP-Zertifikate – In diesem Abschnitt können Sie die öffentlichen Zertifikate des Identitätsanbieters hinzufügen, die vom SP zum Überprüfen der Anfragen und Antworten des IdP verwendet werden.

Wenn Sie die IdP-Metadaten geladen haben, werden diese Zertifikate automatisch zur Systemsteuerung hinzugefügt. Andernfalls finden Sie die Zertifikate in Ihrem IdP-Konto. Um ein Zertifikat manuell hinzuzufügen, klicken Sie auf die Schaltfläche Zertifikat hinzufügen. Das Fenster Neues Zertifikat wird geöffnet. Geben Sie das Zertifikat in das Feld Öffentliches Zertifikat ein und klicken Sie auf die Schaltfläche OK.

Legen Sie zusätzliche Parameter für Zertifikate fest, indem Sie die entsprechenden Kontrollkästchen aktivieren.

Geben Sie an, welche Signaturen von Anfragen/Antworten, die vom IdP an den SP gesendet werden, überprüft werden sollen:

  • Signatur der Antwort-Authentifikation prüfen - um die Signaturen der an SP gesendeten SAML-Authentifizierungsantworten zu überprüfen.
  • Signatur der Abmeldeanfrage prüfen - um die Signaturen der an SP gesendeten SAML-Abmeldeanforderungen zu überprüfen.
  • Signatur der Abmelde-Response prüfen - um die Signaturen der an SP gesendeten SAML-Abmeldeantworten zu überprüfen.

Wählen Sie den erforderlichen Algorithmus aus der Liste Standardalgorithmus zur Signaturüberprüfung aus: rsa-sha1, rsa-sha256 oder rsa-sha512.

Standardeinstellungen werden nur in Fällen verwendet, in denen die IdP-Metadaten nicht angeben, welcher Algorithmus verwendet werden soll.

Über den entsprechenden Link können Sie die hinzugefügten Zertifikate bearbeiten oder löschen.

SP-Zertifikate

SP-Zertifikate: In diesem Abschnitt können Sie die Service-Provider-Zertifikate hinzufügen, mit denen die Anforderungen und Antworten des Dienstleisters signiert und verschlüsselt werden.

Wenn Ihr IdP erfordert, dass Eingabedaten signiert und/oder verschlüsselt sind, erstellen oder fügen Sie in diesem Abschnitt entsprechende Zertifikate hinzu.

Klicken Sie auf die Schaltfläche Zertifikat hinzufügen. Das Fenster Neues Zertifikat wird geöffnet. Sie können ein selbstsigniertes Zertifikat erstellen oder ein vorhandenes Zertifikat im Feld Öffentliches Zertifikat und den entsprechenden Privaten Schlüssel im Feld Privater Schlüssel hinzufügen. Wählen Sie in der Liste Nutzen für eine der verfügbaren Optionen aus: signing, encrypt, signing and encrypt. Wenn Sie bereit sind, klicken Sie auf die Schaltfläche OK.

Abhängig von dem Zertifikatszweck, der beim Hochladen/Generieren des Zertifikats in der Liste Nutzen für ausgewählt wurde, werden die zusätzlichen Parameter des Zertifikats angegeben. Die folgenden Parameter definieren, welche von SP an IdP gesendeten Anforderungen/Antworten signiert werden sollen:

  • Authentifizierungsanforderungen signieren - um den SP die an den IdP gesendeten SAML-Authentifizierungsanforderungen signieren zu lassen.
  • Anmeldeanforderungen signieren - um den SP die an den IdP gesendeten SAML-Abmeldeanforderungen signieren zu lassen.
  • Abmelde-Responses signieren - um den SP die an den IdP gesendeten SAML-Abmeldeantworten signieren zu lassen.

Wenn Sie in der Liste Verwenden für die Option verschlüsseln oder signieren und verschlüsseln ausgewählt haben, ist auch der Parameter Assertions entschlüsseln aktiviert. Die Entschlüsselung erfolgt mit dem entsprechenden Privaten Schlüssel.

Wählen Sie die erforderlichen Algorithmen aus den Listen aus:

  • Signaturalgorithmus: rsa-sha1, rsa-sha256 or rsa-sha512.
  • Standard Entschlüsselungsalgorithmus: aes128-cbc, aes256-cbc oder tripledes-cbc.

Über den entsprechenden Link können Sie die hinzugefügten Zertifikate bearbeiten oder löschen.

Attributzuordnung

Attributzuordnung: In diesem Abschnitt können Sie die Verbindung der Felder im ONLYOFFICE Modul Personen zu den Benutzerattributen festlegen, die vom IdP zurückgegeben werden. Wenn sich ein Benutzer mit den SSO-Anmeldeinformationen bei ONLYOFFICE SP anmeldet, empfängt ONLYOFFICE SP die erforderlichen Attribute und füllt die Felder für den vollständigen Namen und die E-Mail-Adresse im Benutzerkonto mit den vom IdP empfangenen Werten aus. Wenn der Benutzer im Modul Personen nicht vorhanden ist, wird er automatisch erstellt. Wenn die Benutzerinformationen auf der IdP-Seite geändert wurden, werden sie auch in SP aktualisiert.

Die verfügbaren Attribute sind:

  • Vorname (ein Attribut in einem Benutzerdatensatz, das dem Vornamen des Benutzers entspricht)
  • Nachname (ein Attribut in einem Benutzerdatensatz, das dem Nachnamen des Benutzers entspricht)
  • E-Mail (ein Attribut in einem Benutzerdatensatz, das der E-Mail-Adresse des Benutzers entspricht)
  • Standort (ein Attribut in einem Benutzerdatensatz, das dem Standort des Benutzers entspricht)
  • Titel (ein Attribut in einem Benutzerdatensatz, das dem Titel des Benutzers entspricht)
  • Telefon (ein Attribut in einem Benutzerdatensatz, das der Mobiltelefonnummer des Benutzers entspricht)
Erweiterte Einstellungen

Mit der Option Authentifizierungsseite ausblenden können Sie die Standardauthentifizierungsseite ausblenden und automatisch zum SSO-Dienst umleiten.

Wichtig Wenn Sie die Standardauthentifizierungsseite wiederherstellen müssen (um bei einem Ausfall Ihres IDP-Servers auf das Portal zugreifen zu können), können Sie den Schlüssel /Auth.aspx?skipssoredirect=true nach dem Domänennamen Ihres Portals in der Adressleiste des Browsers hinzufügen.

Wenn alle Einstellungen in der Systemsteuerung festgelegt sind, klicken Sie auf die Schaltfläche Speichern. Der Abschnitt ONLYOFFICE SP-Metadaten wird geöffnet.

ONLYOFFICE als vertrauenswürdigen Dienstanbieter in Ihrem Identitätsanbieter registrieren

Jetzt sollen Sie ONLYOFFICE als vertrauenswürdigen Dienstanbieter Ihrem IdP-Konto hinzufügen und die ONLYOFFICE SP-Metadaten im IdP angeben.

Informationen zum Empfangen der erforderlichen Daten finden Sie im Abschnitt ONLYOFFICE SP-Metadaten auf der SSO-Seite. Stellen Sie sicher, dass die SP-Daten öffentlich zugänglich sind. Klicken Sie dazu auf die Schaltfläche SP Metadaten XML herunterladen. Der Inhalt der XML-Datei wird in einem neuen Browser-Tab angezeigt. Speichern Sie die Daten als XML-Datei, um sie auf den IdP hochladen zu können.

Sie können auch individuelle Parameter manuell kopieren, indem Sie in den entsprechenden Feldern auf die Schaltfläche In Zwischenablage kopieren klicken.

Die folgenden Parameter stehen zur Verfügung:

  • SP-Entitäts ID (Link zu Metadaten der XML-Datei): Die XML-URL-Adresse des Dienstanbieters, die heruntergeladen und vom Identitätsanbieter verwendet werden kann, um den SP eindeutig zu identifizieren. Standardmäßig befindet sich die Datei unter der folgenden Adresse: http://example.com/sso/metadata, wobei example.com der Domainname oder die öffentliche IP-Adresse Ihres ONLYOFFICE-Portals ist.
  • SP Assertion-Verbrauch-URL (unterstützt POST und Umleitungsbindung): Die URL-Adresse des Dienstanbieters, an der er Zusicherungen vom Identitätsanbieter empfängt und verarbeitet. Standardmäßig wird die folgende Adresse verwendet: http://example.com/sso/acs, wobei example.com Ihr ONLYOFFICE-Portal-Domainname oder Ihre öffentliche IP-Adresse ist.
  • SP Einmalanmeldung-URL (unterstützt POST und Umleitungsbindung): Die URL, die für die einzelne Abmeldung auf der Seite des Identitätsanbieters verwendet wird. Dies ist die Endpunktadresse in Ihrem SP, an der Abmeldeanforderungen/-antworten vom Identitätsanbieter empfangen und verarbeitet werden. Standardmäßig wird die folgende Adresse verwendet: http://example.com/sso/slo/callback, wobei example.com der Domainname oder die öffentliche IP-Adresse Ihres ONLYOFFICE-Portals ist.
Diese Parameter und XML-Inhalte unterscheiden sich abhängig von Ihrer Portalkonfiguration, z.B. wenn Sie Ihr Portal auf HTTPS umstellen oder einen Domainnamen angeben, werden auch die Parameter geändert und Sie müssen Ihren IdP neu konfigurieren.

Anmelden bei ONLYOFFICE SP

Nachdem das SSO aktiviert und konfiguriert wurde, wird der Anmeldevorgang folgendermaßen ausgeführt:

  1. Ein Benutzer fordert den Zugriff auf ONLYOFFICE an, indem er/sie auf der ONLYOFFICE-Portalauthentifizierungsseite (SP-initiiertes SSO) auf die Schaltfläche Single Sign-On klickt (die Beschriftung kann abweichen, wenn Sie bei der Konfiguration von ONLYOFFICE SP Ihren eigenen Text angegeben haben).
  2. Wenn alle IdP- und SP-Einstellungen korrekt eingestellt sind, sendet ONLYOFFICE die Authentifizierungsanforderung an den IdP und leitet den Benutzer zur IdP-Seite weiter, auf der er/sie nach Anmeldeinformationen gefragt wird.
  3. Wenn der Benutzer noch nicht beim IdP angemeldet ist, gibt er/sie Anmeldeinformationen im IdP an.
  4. IdP erstellt die Authentifizierungsantwort, die Benutzerdaten enthält, und sendet sie an ONLYOFFICE.
  5. ONLYOFFICE empfängt die Authentifizierungsantwort vom Identitätsanbieter und validiert sie.
  6. Wenn die Antwort validiert ist, kann sich der Benutzer mit ONLYOFFICE anmelden (der Benutzer wird automatisch erstellt, wenn er/sie fehlt, oder die Daten werden aktualisiert, wenn sie im IdP geändert wird).

Es ist auch möglich, die Anmeldeseite auf der Seite des Identitätsanbieters (von IdP initiiertes SSO) zu verwenden, Anmeldeinformationen einzugeben und dann ohne erneute Authentifizierung auf das ONLYOFFICE-Portal zuzugreifen.

Abmelden vom ONLYOFFICE SP

Die Abmeldung kann auf zwei Arten erfolgen:

  1. Im ONLYOFFICE-Portal über das Menü Ausloggen (in diesem Fall wird die Anforderung von IdP an die Abmeldung gesendet). Der Benutzer sollte auch automatisch vom IdP abgemeldet werden, falls er/sie von allen anderen Anwendungen abgemeldet wird, auf die zuvor über die SSO-Authentifizierung zugegriffen wurde.
  2. Auf der IdP-Abmeldeseite.

Bearbeiten von Benutzerprofilen, die mit SSO erstellt wurden

Die mit der SSO-Authentifizierung erstellten Benutzer werden in der Benutzerliste für den Portaladministrator mit dem Symbol SSO gekennzeichnet.

Die Möglichkeit, solche Benutzerprofile im Modul „Personen“ zu bearbeiten, ist eingeschränkt. Die Benutzerprofilfelder, die mit der SSO-Authentifizierung erstellt wurden, sind für die Bearbeitung im Modul „Personen“ deaktiviert. Die Benutzerdaten können nur auf der IdP-Seite geändert werden.

Hosten Sie ONLYOFFICE Workspace auf Ihrem eigenen Server

Download
Artikel zum Thema:
Alle Schlagwörter