Aktivieren von Single Sign-On für die SaaS-Version

Einleitung

Wenn Ihr SaaS-Serviceplan dies vorsieht, können Sie im Abschnitt Single Sign-on die Drittanbieterauthentifizierung mithilfe von SAML aktivieren und Benutzern so einen schnelleren, einfacheren und sichereren Zugriff auf das Portal ermöglichen.

Mit der Single Sign-on-Technologie können Benutzer sich im Allgemeinen nur einmal anmelden und erhalten dann Zugriff auf mehrere Anwendungen/Dienste, ohne sich erneut authentifizieren zu müssen. Wenn ein Webportal beispielsweise mehrere große, unabhängige Bereiche (Forum, Chat, Blogs usw.) umfasst, kann sich ein Benutzer innerhalb eines Dienstes authentifizieren und erhält automatisch Zugriff auf alle anderen Dienste, ohne seine Anmeldeinformationen erneut eingeben zu müssen.

Registrierung Ihres Identity-Providers beim ONLYOFFICE Service-Provider

Ein Identitätsanbieter (Identity Provider, IdP) ist ein Dienst, der Benutzeridentitätsinformationen erstellt, pflegt und verwaltet und die Benutzerauthentifizierung gegenüber anderen Dienstanbietern innerhalb einer Föderation ermöglicht. Dienste wie OneLogin, ADFS usw. fungieren als Identitätsanbieter. Ein Dienstanbieter (Service Provider, SP) ist eine Entität, die Webdienste bereitstellt und sich zur Benutzerauthentifizierung auf einen vertrauenswürdigen Identitätsanbieter verlässt. In unserem Fall ist der Dienstanbieter ONLYOFFICE.

Sie können SSO auf Basis von SAML für den Authentifizierungs-/Autorisierungsdatenaustausch zwischen einem Identitätsanbieter und einem Dienstanbieter aktivieren:

  • SAML (Security Assertion Markup Language) - ein XML-Standard, der die Übertragung von Benutzerauthentifizierungs-/Autorisierungsdaten zwischen einem Identitätsanbieter und einem Dienstanbieter über Sicherheitstoken ermöglicht, die Behauptungen enthalten.

Erhöhte Sicherheit wird dadurch gewährleistet, dass das Online-Büro keine Benutzerkennwörter speichert, sondern stattdessen die Ergebnisse der Authentifizierung des Identitätsanbieters verwendet. Alle erforderlichen Benutzerinformationen werden über ein Authentifizierungstoken übermittelt. Ändern sich die Benutzerinformationen beim Identitätsanbieter, werden sie bei der nächsten SSO-Authentifizierung automatisch im Portal aktualisiert (beachten Sie, dass die Daten nur in eine Richtung synchronisiert werden können: vom Identitätsanbieter zum Online-Büro).

Nachdem der Identitätsanbieter und das Online-Büro gemeinsam für SSO konfiguriert wurden, wird der SSO-Authentifizierungsprozess des Benutzers auf der Seite des Identitätsanbieters durchgeführt. Das Online-Büro erhält vom Identitätsanbieter ein Authentifizierungstoken (SAML). Nach der Validierung des Tokens (mithilfe digitaler Signaturen und der Token-Lebensdauer) ermöglicht das Online-Büro dem Benutzer den Zugriff auf das Portal.

Aktivieren von SSO

Um die SSO-Authentifizierung für Ihr Portal zu aktivieren und zu konfigurieren, gehen Sie wie folgt vor:

Überprüfen Sie die Konfiguration des Identitätsanbieters, bevor Sie den Dienstanbieter anpassen.

  1. Gehen Sie zur Portalseite Einstellungen. Klicken Sie dazu auf das Symbol Settings Icon in der rechten oberen Ecke.
  2. Klicken Sie im Abschnitt Integration in der linken Seitenleiste auf den Link Single Sign-on.
  3. Aktivieren Sie den Umschalter Authentifizierung mit Single Sign-On einschalten unter der Überschrift Single Sign-On.
  4. Füllen Sie die erforderlichen Felder im Abschnitt ONLYOFFICE SP-Einstellungen aus. Die erforderlichen Informationen können auf verschiedene Arten angegeben werden:
    • Die URL-Adresse zur Metadatendatei eingeben. Wenn Ihre IdP-Metadaten über den Link von außen zugänglich sind, fügen Sie den Link in das Feld URL zu IdP-Metadaten-XML ein und klicken Sie auf den Pfeil, um die Daten zu laden. Nach dem Laden werden alle erforderlichen Parameter automatisch im erweiterten Formular angezeigt.
    • Hochladen der Metadatendatei. Wenn Ihr IdP eine Metadatendatei bereitstellt, verwenden Sie die Schaltfläche Datei auswählen, um nach der auf Ihrem lokalen Rechner gespeicherten Datei zu suchen. Beim Hochladen der Datei werden alle erforderlichen Parameter automatisch im erweiterten Formular angezeigt.
    • Die erforderlichen Parameter manuell angeben. Falls die Metadatendatei nicht verfügbar ist, geben Sie die erforderlichen Parameter manuell ein. Wenden Sie sich an Ihren IdP-Administrator, um die erforderlichen Werte zu erhalten.

Folgende Parameter stehen zur Verfügung:

  • IdP Entity Id (Pflichtfeld) - die Identitätsanbieterkennung oder URL-Adresse, die vom Dienstanbieter zur eindeutigen Identifizierung des IdP verwendet wird.
    Z.B. https://example.com/idp/shibboleth

    wobei example.com der Domänenname Ihres SSO-Dienstes ist.

  • IdP Single Sign-On Endpoint URL (Pflichtfeld) - die URL, die für das Single-Sign-on auf der Seite des Identitätsanbieters verwendet wird. Dies ist die Endpunktadresse in Ihrem IdP, an die der SP Authentifizierungsanforderungen sendet.

    Stellen Sie den erforderlichen Bindungstyp ein, indem Sie eines der entsprechenden Optionsfelder auswählen. Bindungen geben die Art und Weise an, in der Authentifizierungsanforderungen und -antworten zwischen IdP und SP über das zugrunde liegende Transportprotokoll übertragen werden: mithilfe der HTTP-Bindung POST oder HTTP-Bindung Redirect.

  • IdP Single Logout Endpoint URL - die URL, die für das Single-Sign-on auf der Seite des Dienstanbieters verwendet wird. Dies ist die Endpunktadresse in Ihrem IdP, an die der SP Abmeldeanforderungen/-antworten sendet.

    Legen Sie den gewünschten Bindungstyp fest, indem Sie eines der entsprechenden Optionsfelder auswählen. Bindungen geben an, wie Abmeldeanfragen und -antworten zwischen IdP und SP über das zugrunde liegende Transportprotokoll übertragen werden: mithilfe der HTTP-Bindung POST oder der HTTP-Bindung Redirect.

  • NameId Format - der Parameter NameID ermöglicht SP die Identifizierung eines Benutzers. Wählen Sie eines der verfügbaren Formate aus der Liste aus.
Sie können die Schaltfläche für die Anmeldung beim Portal mit dem Single Sign-On-Dienst auf der ONLYOFFICE-Authentifizierungsseite anpassen. Verwenden Sie dazu das Feld Benutzerdefinierte Beschriftung des Login-Buttons im Abschnitt ONLYOFFICE SP-Einstellungen.

Sie können auch die IdP- und SP-Zertifikate hinzufügen.

Öffentliche IdP-Zertifikate

Öffentliches Zertifikat des Identity-Providers - in diesem Abschnitt können Sie die öffentlichen Zertifikate des Identitätsanbieters hinzufügen, die vom SP zum Überprüfen der Anfragen und Antworten vom IdP verwendet werden.

Wenn Sie die IdP-Metadaten geladen haben, werden diese Zertifikate automatisch zu Ihrem Portal hinzugefügt. Andernfalls finden Sie die Zertifikate in Ihrem IdP-Konto. Um ein Zertifikat manuell hinzuzufügen, klicken Sie auf die Schaltfläche Zertifikat hinzufügen. Das Fenster Neues Zertifikat wird geöffnet. Geben Sie das Zertifikat in das Feld Öffentliches Zertifikat ein und klicken Sie auf die Schaltfläche OK.

Legen Sie zusätzliche Parameter für Zertifikate fest, indem Sie die entsprechenden Kontrollkästchen aktivieren.

Geben Sie an, welche Signaturen von Anfragen/Antworten, die vom IdP an den SP gesendet werden, überprüft werden sollen:

  • Unterzeichnungen der Authentifizierungsantworten überprüfen - um Signaturen der an SP gesendeten SAML-Authentifizierungsantworten zu überprüfen.
  • Unterzeichnungen der Abmeldeanforderungen überprüfen - um Signaturen der an SP gesendeten SAML-Abmeldeanforderungen zu überprüfen.
  • Unterzeichnungen der Abmeldeantworten überprüfen - um Signaturen der an SP gesendeten SAML-Abmeldeantworten zu überprüfen.

Wählen Sie den erforderlichen Algorithmus aus der Liste Standardalgorithmus für Überprüfung einer Signatur aus: rsa-sha1, rsa-sha256 oder rsa-sha512.

Standardeinstellungen werden nur in Fällen verwendet, in denen die IdP-Metadaten nicht angeben, welcher Algorithmus verwendet werden soll.

Über den entsprechenden Link können Sie die hinzugefügten Zertifikate bearbeiten oder löschen.

SP-Zertifikate

SP-Zertifikate - In diesem Abschnitt können Sie die Service Provider-Zertifikate hinzufügen, die zum Signieren und Verschlüsseln der Anfragen und Antworten vom SP verwendet werden.

Wenn Ihr IdP erfordert, dass Eingabedaten signiert und/oder verschlüsselt werden, erstellen oder fügen Sie in diesem Abschnitt entsprechende Zertifikate hinzu.

Klicken Sie auf die Schaltfläche Zertifikat hinzufügen. Das Fenster Neues Zertifikat wird geöffnet. Sie können ein selbstsigniertes Zertifikat erstellen oder ein vorhandenes Zertifikat im Feld Öffentliches Zertifikat und den zugehörigen privaten Schlüssel im Feld Privater Schlüssel hinzufügen. Wählen Sie in der Liste Verwenden für eine der verfügbaren Optionen: signing, encrypt, signing and encrypt. Klicken Sie anschließend auf die Schaltfläche OK.

Abhängig vom in der Liste Nutzen für beim Hochladen/Erstellen des Zertifikats ausgewählten Zertifikatszweck werden zusätzliche Zertifikatsparameter angegeben. Die folgenden Parameter definieren, welche vom SP an den IdP gesendeten Anfragen/Antworten signiert werden sollen:

  • Authentifizierungsanforderungen unterzeichnen - um den SP die an den IdP gesendeten SAML-Authentifizierungsanforderungen signieren zu lassen.
  • Anmeldeanforderungen signieren - um den SP die an den IdP gesendeten SAML-Abmeldeanforderungen signieren zu lassen.
  • Abmelde-Responses signieren - um den SP die an den IdP gesendeten SAML-Abmeldeantworten signieren zu lassen.

Wenn Sie in der Liste Nutzen für die Option encrypt oder signing and encrypt ausgewählt haben, ist auch der Parameter Aussagen entschlüsseln aktiviert. Die Entschlüsselung erfolgt mit dem entsprechenden Privaten Schlüssel.

Wählen Sie die erforderlichen Algorithmen aus den Listen aus:

  • Signaturalgorithmus: rsa-sha1, rsa-sha256 oder rsa-sha512.
  • Standardalgorithmus für Entschlüsselung: aes128-cbc, aes256-cbc oder tripledes-cbc.

Über den entsprechenden Link können Sie die hinzugefügten Zertifikate bearbeiten oder löschen.

Attributzuordnung

Attributzuordnung - In diesem Abschnitt können Sie die Zuordnung der Felder im ONLYOFFICE-Modul Personen zu den vom IdP zurückgegebenen Benutzerattributen festlegen. Wenn sich ein Benutzer mit den SSO-Anmeldeinformationen bei ONLYOFFICE SP anmeldet, erhält ONLYOFFICE SP die erforderlichen Attribute und füllt die Felder für vollständigen Namen und E-Mail-Adresse im Benutzerkonto mit den vom IdP erhaltenen Werten. Falls der Benutzer im Modul Personen nicht vorhanden ist, wird er automatisch erstellt. Wenn die Benutzerinformationen beim IdP geändert wurden, werden sie auch im SP aktualisiert.

Die verfügbaren Attribute sind:

  • Vorname (Pflichtfeld) - ein Attribut in einem Benutzerdatensatz, das dem Vornamen des Benutzers entspricht.
  • Nachname (Pflichtfeld) - ein Attribut in einem Benutzerdatensatz, das dem zweiten Vornamen des Benutzers entspricht.
  • E-Mail (Pflichtfeld) - ein Attribut in einem Benutzerdatensatz, das der E-Mail-Adresse des Benutzers entspricht.
  • Standort - ein Attribut in einem Benutzerdatensatz, das dem Standort des Benutzers entspricht.
  • Titel - ein Attribut in einem Benutzerdatensatz, das dem Titel des Benutzers entspricht.
  • Telefon - ein Attribut in einem Benutzerdatensatz, das der Telefonnummer des Benutzers entspricht.
Erweiterte Einstellungen

Mit der Option Authentifizierungsseite ausblenden können Sie die Standardauthentifizierungsseite ausblenden und automatisch zum SSO-Dienst umleiten.

Wichtig Wenn Sie die Standardauthentifizierungsseite wiederherstellen müssen (um bei einem Ausfall Ihres IDP-Servers auf das Portal zugreifen zu können), können Sie den Schlüssel /Auth.aspx?skipssoredirect=true nach dem Domänennamen Ihres Portals in der Adressleiste des Browsers hinzufügen.

Wenn alle Einstellungen in Ihrem Portal festgelegt sind, klicken Sie auf die Schaltfläche Speichern. Der Abschnitt ONLYOFFICE SP-Metadaten wird geöffnet.

ONLYOFFICE als vertrauenswürdigen Dienstanbieter bei Ihrem Identitätsanbieter registrieren

Jetzt müssen Sie ONLYOFFICE als vertrauenswürdigen Dienstanbieter in Ihrem IdP-Konto hinzufügen, indem Sie die ONLYOFFICE SP-Metadaten im IdP angeben.

Um die erforderlichen Daten zu erhalten, lesen Sie den Abschnitt ONLYOFFICE SP-Metadaten auf der SSO-Seite. Stellen Sie sicher, dass die SP-Daten öffentlich zugänglich sind. Klicken Sie dazu auf die Schaltfläche SP-Metadaten-XML herunterladen. Der Inhalt der XML-Datei wird in einem neuen Browser-Tab angezeigt. Speichern Sie die Daten als XML-Datei, um sie zum IdP hochladen zu können.

Alternativ können Sie einzelne Parameter manuell kopieren, indem Sie in den entsprechenden Feldern auf die Schaltfläche In die Zwischenablage kopieren klicken.

Folgende Parameter stehen zur Verfügung:

  • SP-Entitäts ID (Link zu Metadaten der XML-Datei) - die XML-URL-Adresse des Dienstanbieters, die vom Identitätsanbieter heruntergeladen und zur eindeutigen Identifizierung des Dienstanbieters verwendet werden kann. Standardmäßig befindet sich die Datei unter der folgenden Adresse: http://example.com/sso/metadata, wobei example.com der Domänenname oder die öffentliche IP-Adresse Ihres ONLYOFFICE-Portals ist.
  • SP Assertion-Verbrauch-URL (unterstützt POST und Umleitungsbindung) - die URL-Adresse des Dienstanbieters, unter der er Assertionen vom Identitätsanbieter empfängt und verarbeitet. Standardmäßig wird die folgende Adresse verwendet: http://example.com/sso/acs, wobei example.com Ihr ONLYOFFICE-Portaldomänenname oder Ihre öffentliche IP ist.
  • SP Einmalanmeldung-URL (unterstützt POST und Umleitungsbindung) - die URL, die für die einmalige Abmeldung auf der Seite des Identitätsanbieters verwendet wird. Dies ist die Endpunktadresse in Ihrem SP, unter der Abmeldeanfragen/-antworten vom Identitätsanbieter empfangen und verarbeitet werden. Standardmäßig wird die folgende Adresse verwendet: http://example.com/sso/slo/callback, wobei example.com der Domänenname oder die öffentliche IP-Adresse Ihres ONLYOFFICE-Portals ist.
Diese Parameter und XML-Inhalte unterscheiden sich je nach Ihrer Portalkonfiguration. Wenn Sie beispielsweise Ihr Portal auf HTTPS umstellen oder einen Domänennamen angeben, werden auch die Parameter geändert und Sie müssen Ihren IdP neu konfigurieren.

Anmelden bei ONLYOFFICE SP

Nachdem SSO aktiviert und konfiguriert wurde, wird der Anmeldevorgang folgendermaßen durchgeführt:

  1. Ein Benutzer fordert Zugriff auf ONLYOFFICE an, indem er auf der Authentifizierungsseite des ONLYOFFICE-Portals (SP-initiiertes SSO) auf die Schaltfläche Single Sign-on klickt (die Beschriftung kann abweichen, wenn Sie bei der Konfiguration von ONLYOFFICE SP Ihren eigenen Text angegeben haben).
  2. Wenn alle IdP- und SP-Einstellungen korrekt sind, sendet ONLYOFFICE die Authentifizierungsanforderung an den IdP und leitet den Benutzer auf die IdP-Seite weiter, wo er/sie nach Anmeldeinformationen gefragt wird.
  3. Wenn der Benutzer noch nicht beim IdP angemeldet ist, gibt er/sie seine Anmeldeinformationen beim IdP ein.
  4. IdP erstellt die Authentifizierungsantwort, die Benutzerdaten enthält, und sendet sie an ONLYOFFICE.
  5. ONLYOFFICE empfängt die Authentifizierungsantwort vom Identitätsanbieter und validiert sie.
  6. Wenn die Antwort validiert wird, ermöglicht ONLYOFFICE dem Benutzer die Anmeldung (der Benutzer wird automatisch erstellt, wenn er fehlt, oder die Daten werden aktualisiert, wenn sie im IdP geändert werden).

Es ist auch möglich, die Anmeldeseite auf der Seite des Identitätsanbieters (IdP-initiiertes SSO) zu verwenden, Anmeldeinformationen einzugeben und dann ohne erneute Authentifizierung auf das ONLYOFFICE-Portal zuzugreifen.

Abmelden vom ONLYOFFICE SP

Die Abmeldung kann auf zwei Arten erfolgen:

  1. Vom ONLYOFFICE-Portal aus über das Menü Abmelden (in diesem Fall wird die Anfrage zur Abmeldung vom IdP gesendet). Der Benutzer sollte auch automatisch vom IdP abgemeldet werden, falls er von allen anderen Anwendungen abgemeldet ist, auf die zuvor über die SSO-Authentifizierung zugegriffen wurde.
  2. Von der IdP-Abmeldeseite.

Bearbeiten von mit SSO erstellten Benutzerprofilen

Die mit der SSO-Authentifizierung erstellten Benutzer werden in der Benutzerliste für den Portaladministrator mit dem Symbol SSO gekennzeichnet.

Die Möglichkeit, solche Benutzerprofile im Modul „Personen“ zu bearbeiten, ist eingeschränkt. Die mit der SSO-Authentifizierung erstellten Benutzerprofilfelder sind für die Bearbeitung im Modul „Personen“ deaktiviert. Die Benutzerdaten können nur auf der IdP-Seite geändert werden.

Hosten Sie ONLYOFFICE Workspace auf Ihrem eigenen Server

Download
Artikel zum Thema:
Alle Schlagwörter