Konfigurieren von ONLYOFFICE SP und Shibboleth IdP

Einleitung

Single Sign-on (SSO) ist eine Technologie, die es Benutzern ermöglicht, sich nur einmal anzumelden und dann ohne erneute Authentifizierung auf mehrere Anwendungen/Dienste zuzugreifen.

SSO wird immer durch den gemeinsamen Betrieb zweier Anwendungen gewährleistet: eines Identitätsanbieters und eines Dienstanbieters (im Folgenden aufgrund ihrer englischen Bezeichnungen als „IdP“ und „SP“ bezeichnet). ONLYOFFICE SSO implementiert nur den SP. Viele verschiedene Anbieter können als IdP fungieren, dieser Artikel befasst sich jedoch mit der Shibboleth-Implementierung.

ONLYOFFICE Workspace für die SSO-Einrichtung vorbereiten

1. Installieren Sie ONLYOFFICE Workspace v. 11.0.0 für Docker oder eine spätere Version mit SSO-Unterstützung.
2. Fügen Sie einen Domänennamen hinzu, z. B. meineportaladresse.com.
3. Gehen Sie auf Ihrem Portal zur Systemsteuerung -> HTTPS, erstellen und wenden Sie das letsencrypt-Zertifikat für die Verkehrsverschlüsselung an (um HTTPS auf Ihrem Portal zu aktivieren).

Shibboleth-IdP erstellen

Anforderungen

• Zum Bereitstellen von Shibboleth IDP ist ein sauberer CentOS 7-Hostcomputer erforderlich.
• Die Uhrzeit muss korrekt eingestellt sein und der Zeitsynchronisierungsdienst muss auf dem Hostcomputer für IDP installiert sein:

  timedatectl  status
  yum install ntp
  systemctl enable ntpd.service
  ntpdate time.apple.com

• Das Paket unzip muss auf dem Computer installiert sein:

  yum install unzip

• Docker und Docker Compose müssen auf der Maschine installiert werden.
• Dem Computer muss ein Domänenname zugeordnet sein (z. B. your-idp-domain.com)

Shibboleth-IdP erstellen

Um Shibboleth IDP zu erstellen, zu konfigurieren und zu starten, laden Sie das Skript install.sh herunter und führen Sie es aus.

Das Skript führt folgende Aktionen aus:

• Es lädt Docker-Dateien zum Erstellen von Shibboleth-IDP-Images und -Containern von github herunter.
• Es ändert die Standarddomäne idptestbed.edu in den Konfigurationsdateien in die Domäne, die bei der Ausführung des Skripts angegeben wurde.
• Es fügt den Zugriff über das SAML-Protokoll für die angegebene ONLYOFFICE SP-Domäne hinzu.
• Es gibt an, welche Attribute erforderlich sind, damit ONLYOFFICE SP Informationen über Benutzer von Shibboleth IDP ausgibt (die Einstellung Attributzuordnung).
• Es erstellt und konfiguriert LDAP und erstellt Benutzer für die Ausgabe.
• Es ermöglicht das dynamische Laden von Metadaten von ONLYOFFICE SP in Shibboleth IDP.
• Es aktiviert Shibboleth SLO, falls erforderlich.

1. Laden Sie das Skript install.sh herunter:

   curl -L https://help.onlyoffice.co/Products/Files/HttpHandlers/filehandler.ashx?action=download&fileid=6875651&doc=MW9QWHdCQU9HOTN5dlpBWVQxTGtOem55SjJaNWx4L1ZIdTNkQk53QnpDYz0_IjY4NzU2NTEi0 -o install.sh

2. Machen Sie das Skript ausführbar:

   chmod +x install.sh

3. Führen Sie das Skript aus und ersetzen Sie die Parameter durch Ihre eigenen:

   ./install.sh -id your-idp-domain.com -sd myportal-address.com --no_slo

   Skriptparameter:

   • -id - ein Domänenname der aktuellen Maschine für Shibboleth IDP.
   • -sd - ein Domänenname, unter dem ONLYOFFICE SP bereitgestellt wird.
   • --no_slo - deaktiviert Single Logout im Shibboleth IDP (optionaler Parameter).
4. Warten Sie, bis Shibboleth IDP nach der Ausführung des Skripts startet.
5. Um zu überprüfen, ob Shibboleth IDP korrekt gestartet wurde, öffnen Sie den Link https://your-idp-domain.com/idp/shibboleth in Ihrem Browser. Eine XML-Datei sollte angezeigt werden.
6. Kopieren Sie den Link https://{Ihre_IDP-Domäne}/idp/shibboleth (z. B. https://Ihre-IDP-Domäne.com/idp/shibboleth) und melden Sie sich als Administrator beim ONLYOFFICE-Portal an. Öffnen Sie die Seite Systemsteuerung -> SSO.

ONLYOFFICE SP konfigurieren

1. Stellen Sie sicher, dass Sie als Administrator bei Ihrer ONLYOFFICE-Systemsteuerung angemeldet sind, und klicken Sie in der linken Seitenleiste im Abschnitt PORTALEINSTELLUNGEN auf die Registerkarte SSO.
   Sie können im ONLYOFFICE-Portal nur einen Enterprise-Identitätsanbieter (IdP) für Ihre Organisation registrieren.
   
2. Aktivieren Sie SSO mit dem Umschalter Single Sign-On-Authentifizierung aktivieren und fügen Sie den aus Shibboleth kopierten Link in das Feld URL-Adresse zur IdP Metadaten-XML-Datei ein.
   
3. Drücken Sie die Schaltfläche mit dem Aufwärtspfeil, um die IdP-Metadaten zu laden. Das Formular ONLYOFFICE SP-Einstellungen wird automatisch mit Ihren Daten vom Shibboleth IdP ausgefüllt.

   Da wir SLO beim Ausführen des Skripts install.sh durch Angabe des Parameters --no_slo deaktiviert haben, ist das Feld IdP Single Logout Endpoint URL leer.

4. Sobald die IdP-Metadaten geladen sind, werden im Abschnitt Öffentliche IdP-Zertifikate zwei Zertifikate hinzugefügt. Außerdem wird ein Popup-Fenster mit folgendem Text angezeigt: „Mehrere IdP-Verifizierungszertifikate werden nicht unterstützt. Bitte nur das primäre Zertifikat beibehalten.“ ('Multiple Idp verification certificates are not supported. Please leave only Primary certificate').

   Sie müssen das zweite Zertifikat in der Liste löschen und nur das erste Zertifikat, das primäre Zertifikat, beibehalten. Verwenden Sie den Link Löschen neben dem zweiten Zertifikat, um es zu entfernen. Wenn Sie das Zertifikat nicht entfernen, können Sie die Einstellungen nicht speichern.

5. Im Feld Benutzerdefinierte Beschriftung des Login-Buttons können Sie anstelle des Standardtextes (Single Sign-on) einen beliebigen Text eingeben. Dieser Text wird auf der Schaltfläche angezeigt, mit der Sie sich mit dem Single Sign-on-Dienst auf der ONLYOFFICE-Authentifizierungsseite beim Portal anmelden können.
   
6. Jetzt müssen Sie selbstsignierte Zertifikate erstellen oder andere Zertifikate im Abschnitt SP-Zertifikate hinzufügen.
   Wichtig!Wählen Sie in der Liste Nutzen Sie für die Option Signieren und verschlüsseln, da Ihr Shibboleth-IdP automatisch mit dem Skript install.sh konfiguriert wird, um zu überprüfen, ob die Daten digital signiert und verschlüsselt sind.
   

   Sie sollten fast das gleiche Ergebnis erhalten:

   
7. Legen Sie im Abschnitt Attributzuordnung die Entsprechung der Felder im ONLYOFFICE Personenmodul zu den Benutzerattributen fest, die vom Shibboleth-IdP zurückgegeben werden.

   First Name / Vorname	urn:oid:2.5.4.42
   Last Name / Nachname	urn:oid:2.5.4.4
   Email / E-Mail	urn:oid:0.9.2342.19200300.100.1.3
   Location / Standort	urn:oid:2.5.4.7
   Title / Titel	urn:oid:2.5.4.12
   Phone / Telefonnummer	urn:oid:0.9.2342.19200300.100.1.41

   

   Im Abschnitt Erweiterte Einstellungen können Sie die Option Authentifizierungsseite ausblenden aktivieren, um die Standardauthentifizierungsseite auszublenden und automatisch zum SSO-Dienst umzuleiten.

   WichtigWenn Sie die Standardauthentifizierungsseite wiederherstellen müssen (um bei einem Ausfall Ihres IDP-Servers auf das Portal zugreifen zu können), können Sie den Schlüssel /Auth.aspx?skipssoredirect=true nach dem Domänennamen Ihres Portals in der Adressleiste des Browsers hinzufügen.
8. Klicken Sie auf die Schaltfläche Speichern.
9. Der Abschnitt ONLYOFFICE SP-Metadaten sollte geöffnet sein.
10. Überprüfen Sie, ob unsere Einstellungen öffentlich verfügbar sind, indem Sie auf die Schaltfläche SP-Metadaten-XML herunterladen klicken. Der Inhalt der XML-Datei sollte angezeigt werden.
    

    Diese XML-Datei wird normalerweise zum Konfigurieren von Shibboleth IDP verwendet, aber da das Skript install.sh DynamicHTTPMetadataProvider aktiviert, müssen wir das nicht tun (Shibboleth IDP lädt diese XML-Datei bei der ersten Anforderung für die Anmeldung herunter).

Überprüfen der Arbeit des ONLYOFFICE SP mit dem Shibboleth IdP

Das Skript install.sh hat 4 Benutzer erstellt, die zum Testen der Arbeit des ONLYOFFICE SP mit dem Shibboleth IdP verwendet werden können.

Anmelden bei ONLYOFFICE auf der SP-Seite

1. Gehen Sie zur ONLYOFFICE-Authentifizierungsseite (z. B. https://myportal-address.com/Auth.aspx).
2. Klicken Sie auf die Schaltfläche Single Sign-On (die Beschriftung kann abweichen, wenn Sie bei der Konfiguration von ONLYOFFICE SP einen eigenen Text angegeben haben). Wenn die Schaltfläche fehlt, bedeutet dies, dass SSO nicht aktiviert ist.
   
3. Wenn alle SP- und IdP-Parameter korrekt eingestellt sind, werden wir zum Shibboleth IdP-Anmeldeformular weitergeleitet:
   
4. Geben Sie den Benutzernamen und das Passwort des Shibboleth-IdP-Kontos ein (Benutzername: student1, Passwort: password) und aktivieren Sie das Kontrollkästchen Anmeldedaten vergessen.
5. Wenn die Anmeldeinformationen korrekt sind, öffnet sich ein neues Fenster. Erlauben Sie die Bereitstellung von Informationen an den Dienst, indem Sie auf die Schaltfläche Akzeptieren klicken.
   
6. Wenn alles korrekt ist, werden wir auf die Hauptseite des Portals weitergeleitet (der Benutzer wird automatisch erstellt, falls er fehlt, oder die Daten werden aktualisiert, falls sie im IDP geändert wurden).
   

Profile für Benutzer, die mit SSO-Authentifizierung hinzugefügt wurden

Die Möglichkeit, mit der SSO-Authentifizierung erstellte Benutzerprofile zu bearbeiten, ist eingeschränkt. Die vom IdP erhaltenen Benutzerprofilfelder (z. B. Vorname, Nachname, E-Mail, Titel und Standort) sind für die Bearbeitung deaktiviert. Sie können diese Felder nur von Ihrem IdP-Konto aus bearbeiten.

Die folgende Abbildung zeigt das Aktionsmenü für einen SSO-Benutzer:

Die folgende Abbildung zeigt ein zur Bearbeitung geöffnetes SSO-Benutzerprofil:

Die mit der SSO-Authentifizierung angelegten Benutzer sind in der Benutzerliste für die Portaladministratoren mit dem SSO-Symbol gekennzeichnet:

Um sich vom Shibboleth-IdP abzumelden (wenn Sie beim Anmelden das Kontrollkästchen Anmeldedaten vergessen nicht aktiviert haben), folgen Sie dem Link, der wie folgt aussieht: https://{shibboleth-idp-domain}/idp/profile/Logout