Authentik IdP

Introducción

Inicio de sesión único (SSO) es una tecnología que permite a los usuarios iniciar sesión solo una vez y luego obtener acceso a múltiples aplicaciones/servicios sin necesidad de autenticarse nuevamente.

El SSO siempre se garantiza mediante la operación conjunta de dos aplicaciones: un Proveedor de Identidad y un Proveedor de Servicios (también llamados "IdP" y "SP"). ONLYOFFICE SSO implementa solo el SP. Muchos proveedores diferentes pueden actuar como IdP, pero este artículo considera la implementación de Authentik.

Creación de un IdP en Authentik

1. Regístrese en el panel de administración de Authentik (https://authentik.yourdomain.com/if/admin/).
2. Vaya a Personalización -> Mapeo de Propiedades.
3. Haga clic en Crear -> Mapeo de Propiedades del Proveedor SAML.
4. De esta manera, cree 3 Mapeos de Propiedades con los siguientes parámetros:

   Nombre	Nombre del Atributo SAML	Expresión
   Mapeo SAML givenName	givenName	return user.attributes["first_name"]
   Mapeo SAML sn	sn	return user.attributes["last_name"]
   Mapeo SAML mail	mail	return user.email

   Este mapeo de propiedades debe configurarse si los usuarios tienen atributos especificados en Authentik. Si los atributos son diferentes, reemplácelos por los necesarios; si no hay atributos, no se necesita configuración.

   
5. Vaya a Proveedores -> Crear.
6. Seleccione el tipo SAML.
   
7. Complete los siguientes campos:

   Nombre	Docspace SAML
   Flujo de autorización	default-provider-authorization-implicit-consent (Autorizar Aplicación)
   URL ACS	https://docspace.example.com/sso/acs
   Emisor	https://docspace.example.com/sso/metadata
   Vinculación del Proveedor de Servicios	POST
   Firmar afirmaciones	true
   Firmar respuestas	true
   Certificado de Firma	Por primera vez, puede especificar Certificado Autenticado Autogenerado o reemplazarlo con su propio certificado
   Mapeo de propiedades	Si configuró atributos en paso 4, debe agregarlos de la columna izquierda a la derecha seleccionándolos y haciendo clic en la flecha derecha

   
   
8. Haga clic en Finalizar.
9. Vaya a Aplicaciones -> Crear.
10. Complete los siguientes campos:

    Nombre	Docspace SAML
    Slug	docspace
    Proveedor	Seleccione Docspace SAML
    Modo del motor de políticas	cualquiera

11. Haga clic en Crear.
    
12. Vaya al Proveedor SAML creado.
13. Encuentre el enlace de URL de Metadatos (generalmente es https://authentik.example.com/application/saml/docspace/metadata.xml)
14. Copie este enlace o descargue el XML.
    

Configuración de ONLYOFFICE SP

Asegúrese de haber iniciado sesión como Administrador en su ONLYOFFICE DocSpace y vaya al menú de Configuración, seleccione la sección de Integración y abra la pestaña de Inicio de sesión único.

1. Habilite SSO usando el interruptor Habilitar Autenticación de Inicio de Sesión Único y pegue el enlace copiado en el campo URL al XML de Metadatos del IdP.
2. Presione el botón con la flecha hacia arriba para cargar los metadatos del IdP. El formulario de Configuración de ONLYOFFICE SP se completará automáticamente con sus datos del IdP de Authentik.
3. Si los usuarios no tienen atributos configurados y no se realizó el paso 4 de la sección Creación de un IDP en Authentik, entonces deben especificarse los siguientes parámetros en Mapeo de Atributos:

   Nombre	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
   Apellido	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
   Correo electrónico	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

   
4. Crear un certificado en la sección Certificados SP. Para hacerlo, haga clic en el botón Agregar certificado en la sección correspondiente.
   
5. En la ventana modal que se abre, haga clic en el enlace Generar nuevo certificado autofirmado y elija la opción firmar y cifrar en la lista Usar para. Antes de guardar el certificado, copie el texto del Certificado Público al portapapeles y guárdelo en un archivo (será necesario para Authentik), luego haga clic en el botón OK.
   
   
6. Haga clic en el botón Guardar.
7. Se debe abrir la sección Metadatos SP de ONLYOFFICE con el botón Descargar XML de Metadatos SP.
   
8. Regrese a Authentik para agregar el certificado copiado. Vaya a Sistema -> Certificados -> Crear.
9. Escriba un nombre arbitrario y pegue el certificado copiado.
   
10. Especifique este certificado en la configuración del proveedor.
    

    Si se requiere cifrado, entonces en el paso 8 necesita crear un certificado con una clave privada y especificar este certificado en el campo Certificado de Cifrado.

Comprobando el funcionamiento de ONLYOFFICE SP con Authentik IdP

1. Vaya a la página de autenticación de ONLYOFFICE DocSpace (por ejemplo, https://myportal-address.com/login).
   
2. Haga clic en el botón Inicio de sesión único. Si falta el botón, esto significa que SSO no está habilitado.
3. Si todos los parámetros de SP e IdP están configurados correctamente, seremos redirigidos al formulario de inicio de sesión de Authentik IdP.
4. Ingrese el usuario y la contraseña del usuario de Authentik y haga clic en el botón Iniciar sesión.
5. Si las credenciales son correctas, seremos redirigidos a la página principal del portal (el usuario se creará automáticamente si falta, o los datos se actualizarán si se cambiaron en el IDP).