OneLogin IdP

Introducción

Single Sign-on (SSO) es una tecnología que permite a los usuarios iniciar sesión solo una vez y luego acceder a múltiples aplicaciones/servicios sin necesidad de autenticarse nuevamente.

SSO siempre se garantiza mediante la operación conjunta de dos aplicaciones: un Proveedor de Identidad y un Proveedor de Servicios (también llamados "IdP" y "SP"). ONLYOFFICE SSO implementa solo el SP. Muchos proveedores diferentes pueden actuar como IdP, pero este artículo considera la implementación de OneLogin.

Creación de un IdP en OneLogin

1. Regístrate en OneLogin, si aún no lo has hecho.
2. Inicia sesión en OneLogin como administrador.
3. Ve al menú Applications -> Applications -> Add App.
   
4. En el campo de búsqueda Find Application, escribe el siguiente texto: SAML Custom Connector (Advanced):
   
5. Selecciona la opción encontrada.
6. En una nueva ventana que se abre, introduce cualquier Display Name, por ejemplo, "IDP OneLogin DocSpace", para distinguir esta aplicación de otras, y haz clic en el botón Save.
   
7. Ve al submenú Configuration y completa los campos de acuerdo con la tabla a continuación:
   Por favor, especifica tu propio nombre de dominio o IP pública donde está alojado tu ONLYOFFICE SP en lugar de myportal-address.com.

   Detalles de la aplicación
   RelayState	https://myportal-address.com
   Audience (EntityID)	https://myportal-address.com/sso/
   Recipient	https://myportal-address.com/sso/acs
   ACS (Consumer) URL Validator*	^https:\/\/myportal-address\.com\/sso\/acs\/$
   ACS (Consumer) URL*	https://myportal-address.com/sso/acs
   Single Logout URL	https://myportal-address.com/sso/slo/callback
   Iniciador SAML	Proveedor de Servicios
   Formato de nameID SAML	Email
   Tipo de emisor SAML	Específico
   Elemento de firma SAML	Assertion
   Cifrar assertion	(marca esta casilla)
   Método de cifrado SAML	AES-128-CBC
   Firmar solicitud SLO	(marca esta casilla)
   Firmar respuesta SLO	(marca esta casilla)

   
   
   
8. Haz clic en el botón Save y ve al submenú Parameters.
   
9. Usa el enlace Add parameter para crear 3 parámetros (givenName, sn, mail). Marca la opción Include in SAML assertion y especifica un valor desde el Value lista, adecuada para emitir desde el catálogo de campo del directorio LDAP, para todos ellos:
   
10. Una vez que completes todos los campos necesarios para los atributos de aserción SAML en el IdP, deberías obtener un resultado casi idéntico al mostrado en la figura a continuación. Haz clic en el botón Guardar.
    
11. Ve al submenú SSO. Elige un certificado válido de la lista de certificados haciendo clic en el enlace Cambiar, si tienes varios certificados. En el campo Algoritmo de Firma SAML, deja la opción SHA-1 y haz clic en el botón Guardar:
    
12. Copia el enlace del campo URL del Emisor (por ejemplo, https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) y ve al portal de ONLYOFFICE iniciando sesión como administrador. Abre la página Configuración -> Integración -> Inicio de Sesión Único.

Configuración de ONLYOFFICE SP

1. 
   Activa SSO utilizando el interruptor Habilitar Autenticación de Inicio de Sesión Único y pega el enlace copiado de la URL del emisor de OneLogin en el campo URL al XML de Metadatos IdP.
   
2. Presiona el botón con la flecha hacia arriba para cargar los metadatos del IdP. El formulario de Configuración de ONLYOFFICE SP se completará automáticamente con tus datos del IdP de OneLogin.
   
   
   
3. Ahora necesitas crear un certificado en la sección Certificados SP. Para hacerlo, haz clic en el botón Agregar certificado en la sección correspondiente.
   
4. En la ventana modal que se abre, haz clic en el enlace Generar Nuevo Certificado Autogenerado, elige la opción Firma y cifrado en la lista Usar para. Antes de guardar el certificado, copia el texto del Certificado Público al portapapeles (será necesario para OneLogin), luego haz clic en el botón OK.
   
   
5. Haz clic en el botón Guardar.
6. La sección Metadatos de ONLYOFFICE SP debería abrirse.
   
7. Regresa a OneLogin para configurar el cifrado, abre tu aplicación y ve a la configuración de Configuración. Desplázate hacia abajo en la página: debería aparecer el nuevo campo Cifrado SAML para ingresar una clave de cifrado. Pega el texto del Certificado Público copiado del paso 4 de esta instrucción en este campo y haz clic en el botón Guardar:
   

Creación de usuarios en OneLogin y otorgándoles acceso a ONLYOFFICE

Para crear usuarios en OneLogin y proporcionarles acceso a nuestro SP de ONLYOFFICE, realice los siguientes pasos:

1. vaya a la página de Usuarios de OneLogin iniciando sesión como administrador,
   
2. cree un nuevo usuario o edite uno existente,
3. vaya al submenú de Aplicaciones y haga clic en el botón +,
4. seleccione nuestra aplicación recién creada de la lista y haga clic en Continuar,
   
5. en una nueva ventana que se abre, añada los datos que faltan y haga clic en el botón GUARDAR,
6. ahora el usuario puede trabajar en el SP de ONLYOFFICE.

Verificación del funcionamiento del SP de ONLYOFFICE con el IdP de OneLogin

Iniciando sesión en ONLYOFFICE desde el lado del SP

1. Vaya a la página de Autenticación de ONLYOFFICE (por ejemplo, https://myportal-address.com/Auth.aspx).
2. Haga clic en el botón de Inicio de sesión único. Si el botón no está presente, significa que el SSO no está habilitado.
   
3. Si todos los parámetros del SP y del IdP están configurados correctamente, seremos redirigidos al formulario de inicio de sesión del IdP de OneLogin:
   
4. Ingrese el usuario y la contraseña del usuario al que se le ha otorgado acceso al SP de ONLYOFFICE y haga clic en el botón INICIAR SESIÓN.
5. Si las credenciales son correctas, seremos redirigidos a la página principal del portal (el usuario se creará automáticamente si falta, o los datos se actualizarán si han cambiado en el IDP).