Konfigurieren von ONLYOFFICE SP und OneLogin IdP

Einleitung

Single Sign-on (SSO) ist eine Technologie, die es Benutzern ermöglicht, sich nur einmal anzumelden und dann ohne erneute Authentifizierung auf mehrere Anwendungen/Dienste zuzugreifen.

SSO wird immer durch den gemeinsamen Betrieb zweier Anwendungen gewährleistet: eines Identitätsanbieters und eines Dienstanbieters (im Folgenden aufgrund ihrer englischen Bezeichnungen als „IdP“ und „SP“ bezeichnet). ONLYOFFICE SSO implementiert nur SP. Viele verschiedene Anbieter können als IdP fungieren, dieser Artikel betrachtet jedoch die OneLogin-Implementierung.

ONLYOFFICE Workspace für die SSO-Einrichtung vorbereiten

1. Installieren Sie ONLYOFFICE Workspace v. 11.0.0 für Docker oder eine spätere Version mit SSO-Unterstützung.
2. Fügen Sie einen Domänennamen hinzu, z. B. meineportaladresse.com.
3. Gehen Sie auf Ihrem Portal zur Systemsteuerung -> HTTPS, erstellen und wenden Sie das letsencrypt-Zertifikat für die Verkehrsverschlüsselung an (um HTTPS auf Ihrem Portal zu aktivieren).

Erstellen eines IdP in OneLogin

1. Melden Sie sich für OneLogin an, falls Sie noch nicht registriert sind.
2. Melden Sie sich als Administrator bei OneLogin an.
3. Gehen Sie zum Abschnitt Verwaltung.
4. Klicken Sie auf das Menü Anwendungen. Klicken Sie auf die Schaltfläche App hinzufügen.
   
5. Geben Sie im Suchfeld Anwendung suchen den folgenden Text ein: SAML Custom Connector (Advanced):
   
6. Wählen Sie die gefundene Option aus.
7. Geben Sie in einem neuen Fenster, das sich öffnet, einen beliebigen Anzeigenamen ein, zum Beispiel "IDP OneLogin Onlyoffice v11 Test", um diese Anwendung von anderen zu unterscheiden, ersetzen Sie die Symbole durch Ihre eigenen und klicken Sie auf die Schaltfläche Speichern.
   
8. Gehen Sie zum Untermenü Konfiguration und füllen Sie die Felder gemäß der folgenden Tabelle aus:
   Bitte geben Sie Ihren eigenen Domänennamen oder Ihre öffentliche IP an, unter der Ihr ONLYOFFICE SP gehostet wird, anstelle von meineportaladresse.com.
   

   Anwendungsdetails
   RelayState	https://myportal-address.com
   Audience (EntityID)	https://myportal-address.com/sso/
   Recipient	https://myportal-address.com/sso/acs
   ACS (Consumer) URL Validator*	^https:\/\/myportal-address\.com\/sso\/acs\/$
   ACS (Consumer) URL*	https://myportal-address.com/sso/acs
   Single Logout URL	https://myportal-address.com/sso/slo/callback
   SAML initiator	Service Provider
   SAML nameID format	Email
   SAML issuer type	Specific
   SAML signature element	Assertion
   Encrypt assertion	(Aktivieren Sie dieses Kontrollkästchen)
   SAML encryption method	AES-128-CBC
   Sign SLO Request	(Aktivieren Sie dieses Kontrollkästchen)
   Sign SLO Response	(Aktivieren Sie dieses Kontrollkästchen)

   
9. Klicken Sie auf die Schaltfläche Speichern und gehen Sie zum Untermenü Parameter.
   
10. Erstellen Sie mit der Schaltfläche + fünf Parameter (givenName, sn, mail, title, mobile). Aktivieren Sie die Option In SAML-Assertion einbeziehen (Include in SAML assertion) und geben Sie für alle Parameter einen Wert aus der Liste Wert an, der für die Ausgabe aus dem Feldkatalog des LDAP-Verzeichnisses geeignet ist:
    
11. Sobald Sie alle erforderlichen Felder für SAML-Assertion-Attribute im IdP ausgefüllt haben, sollten Sie nahezu das gleiche Ergebnis wie in der folgenden Abbildung erhalten. Klicken Sie auf die Schaltfläche Speichern.
    
12. Gehen Sie zum Untermenü SSO. Wählen Sie ein gültiges Zertifikat aus der Zertifikatsliste aus, indem Sie auf den Link Ändern klicken, falls Sie mehrere Zertifikate haben. Belassen Sie im Feld SAML-Signaturalgorithmus die Option SHA-1 und klicken Sie auf die Schaltfläche Speichern:
    
13. Kopieren Sie den Link aus dem Feld Aussteller-URL (z. B. https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) und rufen Sie das ONLYOFFICE-Portal auf. Melden Sie sich als Administrator an. Öffnen Sie die Seite Systemsteuerung -> SSO.

ONLYOFFICE SP konfigurieren

1. Stellen Sie sicher, dass Sie als Administrator bei Ihrer ONLYOFFICE-Systemsteuerung angemeldet sind, und klicken Sie in der linken Seitenleiste im Abschnitt PORTALEINSTELLUNGEN auf die Registerkarte SSO.
   Sie können im ONLYOFFICE-Portal nur einen Enterprise-Identitätsanbieter (IdP) für Ihre Organisation registrieren.
   
2. Aktivieren Sie SSO mit dem Umschalter Single Sign-On-Authentifizierung aktivieren und fügen Sie den aus OneLogin kopierten Link in das Feld URL-Adresse zur IdP Metadaten-XML-Datei ein.
   

   Klicken Sie die Schaltfläche mit dem Aufwärtspfeil, um die IdP-Metadaten zu laden. Das Formular ONLYOFFICE SP-Einstellungen wird automatisch mit Ihren Daten vom OneLogin IdP ausgefüllt.

3. Im Feld Benutzerdefinierte Beschriftung des Login-Buttons können Sie anstelle des Standardtextes (Single Sign-on) einen beliebigen Text eingeben. Dieser Text wird auf der Schaltfläche angezeigt, mit der Sie sich mit dem Single Sign-on-Dienst auf der ONLYOFFICE-Authentifizierungsseite beim Portal anmelden können.
   
4. Nun müssen Sie im Bereich SP-Zertifikate ein Zertifikat erstellen. Klicken Sie dazu im entsprechenden Bereich auf die Schaltfläche Zertifikat hinzufügen.
   
5. Klicken Sie im geöffneten modalen Fenster auf den Link Neues selbstsigniertes Zertifikat generieren und wählen Sie in der Liste Nutzen Sie für die Option Signieren und verschlüsseln. Kopieren Sie vor dem Speichern des Zertifikats den Text des Öffentlichen Zertifikats in die Zwischenablage (dies wird für OneLogin benötigt) und klicken Sie anschließend auf OK.
   
6. Sie sollten fast das gleiche Ergebnis erhalten:
   
7. Es ist nicht notwendig, das Formular Attributzuordnung anzupassen, da wir beim Erstellen des OneLogin IdP dieselben Parameter angegeben haben. Die folgenden Werte werden verwendet:

   First Name / Vorname	givenName
   Last Name / Nachname	sn
   Email / E-Mail	mail
   Location / Standort	l
   Title / Titel	title
   Phone / Telefonnummer	mobile

   Im Abschnitt Erweiterte Einstellungen können Sie die Option Authentifizierungsseite ausblenden aktivieren, um die Standardauthentifizierungsseite auszublenden und automatisch zum SSO-Dienst umzuleiten.

   WichtigWenn Sie die Standardauthentifizierungsseite wiederherstellen müssen (um bei einem Ausfall Ihres IDP-Servers auf das Portal zugreifen zu können), können Sie den Schlüssel /Auth.aspx?skipssoredirect=true nach dem Domänennamen Ihres Portals in der Adressleiste des Browsers hinzufügen.
8. Klicken Sie auf die Schaltfläche Speichern. Der Bereich ONLYOFFICE SP-Metadaten sollte geöffnet werden. Überprüfen Sie, ob Ihre Einstellungen öffentlich verfügbar sind, indem Sie auf die Schaltfläche SP-Metadaten-XML herunterladen klicken. Der Inhalt der XML-Datei sollte angezeigt werden.
9. Kehren Sie zu OneLogin zurück, um die Verschlüsselung einzurichten. Öffnen Sie Ihre Anwendung und gehen Sie zu den Einstellungen Konfiguration. Scrollen Sie auf der Seite nach unten – das neue Feld SAML-Verschlüsselung zur Eingabe eines Verschlüsselungsschlüssels sollte erscheinen. Fügen Sie den kopierten Text des Öffentlichen Zertifikats aus Schritt 4 dieser Anleitung in dieses Feld ein und klicken Sie auf die Schaltfläche Speichern:
   

Erstellen von Benutzern in OneLogin und Gewähren des Zugriffs auf ONLYOFFICE

Um Benutzer in OneLogin zu erstellen und ihnen Zugriff auf unser ONLYOFFICE SP zu gewähren, führen Sie die folgenden Schritte aus:

1. Gehen Sie zur OneLogin-Seite Alle Benutzer und melden Sie sich als Administrator an.
   
2. Legen Sie einen neuen Benutzer an oder bearbeiten Sie einen bestehenden.
3. Gehen Sie zum Untermenü Anwendungen und klicken Sie auf die Schaltfläche +.
4. Wählen Sie unsere neu erstellte Anwendung aus der Liste aus und klicken Sie auf WEITER.
   
5. Geben Sie in einem neuen Fenster die fehlenden Daten ein und klicken Sie auf die Schaltfläche SPEICHERN.
   
6. Jetzt kann der Benutzer in ONLYOFFICE SP arbeiten.

Überprüfen der Arbeit des ONLYOFFICE SP mit dem OneLogin IdP

Anmelden bei ONLYOFFICE auf der SP-Seite

1. Gehen Sie zur ONLYOFFICE-Authentifizierungsseite (z. B. https://myportal-address.com/Auth.aspx).
2. Klicken Sie auf die Schaltfläche Single Sign-On (die Beschriftung kann abweichen, wenn Sie bei der Konfiguration von ONLYOFFICE SP einen eigenen Text angegeben haben). Wenn die Schaltfläche fehlt, bedeutet dies, dass SSO nicht aktiviert ist.
   
3. Wenn alle SP- und IdP-Parameter korrekt eingestellt sind, werden wir zum OneLogin IdP-Anmeldeformular weitergeleitet:
   
4. Geben Sie den Benutzernamen und das Passwort des Benutzers ein, dem Zugriff auf ONLYOFFICE SP gewährt wurde, und klicken Sie auf die Schaltfläche ANMELDEN.
5. Wenn die Anmeldeinformationen korrekt sind, werden wir auf die Hauptseite des Portals weitergeleitet (der Benutzer wird automatisch erstellt, wenn er fehlt, oder die Daten werden aktualisiert, wenn sie im IDP geändert wurden).
   

Abmelden von ONLYOFFICE SP

1. Ein SSO-Benutzer kann sich über das Menü Abmelden vom ONLYOFFICE-Portal abmelden. Der Benutzer sollte auch automatisch vom OneLogin-IdP abgemeldet werden, falls er von allen anderen Anwendungen abgemeldet ist, auf die er in OneLogin Zugriff hat und bei denen er sich zuvor angemeldet hat.
   
2. Wenn Sie sich erfolgreich abgemeldet haben, werden Sie zur Authentifizierungsseite des Portals weitergeleitet.
   
3. Wenn Sie erneut auf die Schaltfläche Single Sign-on klicken, werden Sie erneut zur Anmeldeseite von OneLogin weitergeleitet (das bedeutet, dass Sie sich erfolgreich vom Portal abgemeldet haben):
   

Profile für Benutzer, die mit SSO-Authentifizierung hinzugefügt wurden

Die Möglichkeit, mit der SSO-Authentifizierung erstellte Benutzerprofile zu bearbeiten, ist eingeschränkt. Die vom IdP erhaltenen Benutzerprofilfelder (z. B. Vorname, Nachname, E-Mail, Titel und Standort) sind für die Bearbeitung deaktiviert. Sie können diese Felder nur von Ihrem IdP-Konto aus bearbeiten.

Die folgende Abbildung zeigt das Aktionsmenü für einen SSO-Benutzer:

Die folgende Abbildung zeigt ein zur Bearbeitung geöffnetes SSO-Benutzerprofil:

Die mit der SSO-Authentifizierung angelegten Benutzer sind in der Benutzerliste für die Portaladministratoren mit dem SSO-Symbol gekennzeichnet: