Disponible ONLYOFFICE Docs 9.3: edición de PDF mejorada y más opciones de firma, vista multipágina para documentos, Solver en hojas de cálculo, reproducción de GIF en modo presentación de diapositivas, actualizaciones basadas en IA y mucho más
Disponible ONLYOFFICE Docs 9.3
Este artículo está traducido por IA

Inicio de sesión único

Introducción

La sección de Inicio de sesión único permite habilitar la autenticación de terceros usando SAML, proporcionando así una forma más rápida, fácil y segura de acceder a DocSpace para los usuarios.

En la versión SaaS, esta es una función de pago (disponible solo para el plan Business de pago).

En general, la tecnología de Inicio de sesión único permite a los usuarios iniciar sesión solo una vez y luego obtener acceso a múltiples aplicaciones/servicios sin necesidad de autenticación adicional. Por ejemplo, si un portal web incluye varias secciones grandes e independientes (foro, chat, blogs, etc.), un usuario puede realizar el procedimiento de autenticación en uno de los servicios y obtener automáticamente acceso a todos los demás servicios sin ingresar credenciales varias veces.

Un Proveedor de Identidad (IdP) es un servicio que crea, mantiene y gestiona la información de identidad del usuario y proporciona autenticación de usuario a otros Proveedores de Servicios dentro de una federación. Servicios como OneLogin, ADFS, etc., actúan como Proveedores de Identidad. Un Proveedor de Servicios (SP) es una entidad que proporciona servicios web y confía en un Proveedor de Identidad de confianza para la autenticación de usuarios. En nuestro caso, el Proveedor de Servicios es ONLYOFFICE.

Puede habilitar SSO basado en SAML para el intercambio de datos de autenticación/autorización entre un Proveedor de Identidad y un Proveedor de Servicios:

  • SAML (Security Assertion Markup Language) - un estándar XML que permite transmitir datos de autenticación/autorización de usuario entre un proveedor de identidad y un proveedor de servicios a través de tokens de seguridad que contienen afirmaciones.

La seguridad mejorada se habilita mediante el hecho de que ONLYOFFICE no almacena las contraseñas de los usuarios, sino que utiliza los resultados de la autenticación en el lado del Proveedor de Identidad. Toda la información necesaria del usuario se transmite a través de un token de autenticación. Si la información del usuario cambia en el lado del Proveedor de Identidad, se actualizará automáticamente en DocSpace durante la próxima autenticación SSO (tenga en cuenta que los datos solo pueden sincronizarse en una dirección: del Proveedor de Identidad a ONLYOFFICE).

Después de que el Proveedor de Identidad y ONLYOFFICE estén configurados mutuamente para garantizar SSO, el proceso de autenticación SSO del usuario se realizará en el lado del Proveedor de Identidad. ONLYOFFICE recibirá un token de autenticación (SAML) del Proveedor de Identidad. Una vez que el token sea validado (utilizando firmas digitales y el tiempo de vida del token), ONLYOFFICE permitirá al usuario acceder a DocSpace.

Habilitar SSO

Para habilitar y configurar la autenticación SSO para su DocSpace, proceda de la siguiente manera:

Verifique la configuración del Proveedor de Identidad antes de ajustar el Proveedor de Servicios.

  1. Use el menú Icono de opciones en la esquina inferior izquierda y seleccione la opción Configuración.
  2. En la Configuración de DocSpace, abra la sección Integración a la izquierda.
  3. Cambie a la pestaña Inicio de sesión único.
  4. Active el interruptor Habilitar autenticación de inicio de sesión único.
  5. En la sección Configuración de SP de ONLYOFFICE, haga clic en Mostrar y complete los campos requeridos. La información necesaria se puede especificar de varias maneras diferentes:
    • Ingrese la dirección URL al archivo de metadatos. Si los metadatos de su IdP son accesibles desde el exterior mediante un enlace, inserte el enlace en el campo URL a XML de metadatos de IdP y haga clic en el botón Icono de flecha para cargar los datos. Cuando los datos se carguen, todos los parámetros requeridos se mostrarán automáticamente en el formulario extendido.
    • Cargue el archivo de metadatos. Si su IdP proporciona un archivo de metadatos, use el botón Seleccionar archivo para buscar el archivo almacenado en su máquina local. Cuando se cargue el archivo, todos los parámetros requeridos se mostrarán automáticamente en el formulario extendido.
    • Especifique los parámetros requeridos manualmente. Si el archivo de metadatos no está disponible, ingrese los parámetros necesarios manualmente. Para obtener los valores necesarios, comuníquese con el administrador de su IdP.
Habilitar Inicio de sesión único en DocSpace Habilitar Inicio de sesión único en DocSpace

Los siguientes parámetros están disponibles:

  • IdP Entity Id (campo obligatorio) - el identificador del Proveedor de Identidad o dirección URL que será utilizado por el Proveedor de Servicios para identificar inequívocamente al IdP.
    https://example.com/idp/shibboleth

    donde example.com es el nombre de dominio de su servicio SSO

  • URL del punto de acceso de inicio de sesión único de IdP (campo obligatorio) - la URL utilizada para el inicio de sesión único en el lado del Proveedor de Identidad. Es la dirección del punto de acceso en su IdP al que el SP envía solicitudes de autenticación.

    Establezca el tipo de Binding necesario seleccionando uno de los botones de opción correspondientes. Los bindings especifican la forma en que las solicitudes y respuestas de autenticación se transmiten entre el IdP y el SP sobre el protocolo de transporte subyacente: utilizando el binding HTTP POST o HTTP Redirect.

  • URL del punto de acceso de cierre de sesión único de IdP - la URL utilizada para el cierre de sesión único en el lado del Proveedor de Servicios. Es la dirección del punto de acceso en su IdP al que el SP envía solicitudes/respuestas de cierre de sesión.

    Establezca el tipo de Binding necesario seleccionando uno de los botones de opción correspondientes. Los bindings especifican la forma en que las solicitudes y respuestas de cierre de sesión se transmiten entre el IdP y el SP sobre el protocolo de transporte subyacente: utilizando el binding HTTP POST o HTTP Redirect.

  • Formato de NameId - el parámetro NameID permite al SP identificar a un usuario. Seleccione uno de los formatos disponibles de la lista.
Habilitar Inicio de sesión único en DocSpace Habilitar Inicio de sesión único en DocSpace
Es posible personalizar el botón utilizado para iniciar sesión en DocSpace con el servicio de Inicio de sesión único en la página de autenticación de ONLYOFFICE. Puede hacerlo utilizando el campo Texto personalizado del botón de inicio de sesión en la sección Configuración de SP de ONLYOFFICE.

También puede agregar los certificados de IdP y SP.

Certificados Públicos de IdP

Certificados Públicos de IdP - esta sección le permite agregar los certificados públicos del Proveedor de Identidad utilizados por el SP para verificar las solicitudes y respuestas del IdP.

Si ha cargado los metadatos de IdP, estos certificados se agregarán automáticamente a su DocSpace. De lo contrario, los certificados se pueden encontrar en su cuenta de IdP. Para agregar un certificado manualmente, haga clic en el botón Agregar certificado. Se abrirá la ventana de Nuevo Certificado. Ingrese el certificado en el campo Certificado Público y haga clic en el botón OK.

Habilitar Inicio de sesión único en DocSpace Habilitar Inicio de sesión único en DocSpace

Establezca parámetros adicionales para los certificados marcando las casillas correspondientes.

Especifique qué firmas de solicitudes/respuestas enviadas del IdP al SP deben ser verificadas:

  • Verificar firma de respuestas de autenticación - para verificar las firmas de las respuestas de autenticación SAML enviadas al SP.
  • Verificar firma de solicitudes de cierre de sesión - para verificar las firmas de las solicitudes de cierre de sesión SAML enviadas al SP.
  • Verificar firma de respuestas de cierre de sesión - para verificar las firmas de las respuestas de cierre de sesión SAML enviadas al SP.

Seleccione el algoritmo necesario de la lista Algoritmo de verificación de firma predeterminado: rsa-sha1, rsa-sha256 o rsa-sha512.

Las configuraciones predeterminadas se utilizan solo en casos en los que los metadatos de IdP no especifican qué algoritmo debe usarse.

Puede editar o eliminar los certificados agregados utilizando el enlace correspondiente.

Certificados de SP

Certificados de SP - esta sección le permite agregar los certificados del Proveedor de Servicios utilizados para firmar y cifrar las solicitudes y respuestas del SP.

Si su IdP requiere que los datos de entrada estén firmados y/o cifrados, cree o agregue los certificados correspondientes en esta sección.

Habilitar Inicio de sesión único en DocSpace Habilitar Inicio de sesión único en DocSpace

Haga clic en el botón Agregar certificado. Se abrirá la ventana de Nuevo Certificado. Puede generar un certificado autofirmado o agregar un certificado existente en el campo Certificado Público y la clave privada correspondiente en el campo Clave Privada. En la lista Usar para, seleccione una de las opciones disponibles: firmar, cifrar, firmar y cifrar. Cuando esté listo, haga clic en el botón OK.

Dependiendo del propósito del certificado seleccionado en la lista Usar para al cargar/generar el certificado, se especifican los parámetros adicionales del certificado. Los siguientes parámetros definen qué solicitudes/respuestas enviadas desde SP a IdP deben ser firmadas:

  • Firmar solicitudes de autenticación - para que el SP firme las solicitudes de autenticación SAML enviadas a IdP.
  • Firmar solicitudes de cierre de sesión - para que el SP firme las solicitudes de cierre de sesión SAML enviadas a IdP.
  • Firmar respuestas de cierre de sesión - para que el SP firme las respuestas de cierre de sesión SAML enviadas a IdP.

Si has seleccionado la opción encriptar o firmar y encriptar en la lista Usar para, también se verifica el parámetro Descifrar Aserciones. El descifrado se realiza utilizando la Clave Privada correspondiente.

Selecciona los algoritmos necesarios de las listas:

  • Algoritmo de Firma: rsa-sha1, rsa-sha256 o rsa-sha512.
  • Algoritmo de Descifrado Predeterminado: aes128-cbc, aes256-cbc o tripledes-cbc.

Puedes editar o eliminar los certificados añadidos utilizando el enlace correspondiente.

Mapeo de Atributos

Mapeo de Atributos - esta sección te permite establecer la correspondencia de los campos en la sección Cuentas con los atributos de usuario que serán devueltos desde el IdP. Cuando un usuario inicia sesión en el SP de ONLYOFFICE utilizando las credenciales de SSO, el SP de ONLYOFFICE recibe los atributos requeridos y completa los campos de nombre completo y dirección de correo electrónico en la cuenta de usuario con los valores recibidos del IdP. Si el usuario no existe en la sección Cuentas, se creará automáticamente. Si la información del usuario ha sido cambiada en el lado del IdP, también se actualizará en el SP.

Habilitando el inicio de sesión único en DocSpace Habilitando el inicio de sesión único en DocSpace

Los atributos disponibles son:

  • Nombre (campo obligatorio) - un atributo en un registro de usuario que corresponde al nombre del usuario.
  • Apellido (campo obligatorio) - un atributo en un registro de usuario que corresponde al segundo nombre del usuario.
  • Email (campo obligatorio) - un atributo en un registro de usuario que corresponde a la dirección de correo electrónico del usuario.
Tipo de Usuario

Todos los usuarios se añadirán a DocSpace con el tipo seleccionado (usuario, administrador de sala, administrador de DocSpace). El tipo Usuario se selecciona por defecto. Los usuarios solo pueden acceder a las salas a las que son invitados por los administradores y no pueden crear sus propias salas, carpetas o archivos. Selecciona otro tipo para proporcionar más permisos. De lo contrario, puedes cambiar el tipo manualmente en la sección Contactos.

Configuración Avanzada

La opción Ocultar página de autenticación te permite ocultar la página de autenticación predeterminada y redirigir automáticamente al servicio de SSO.

ImportanteSi necesitas restaurar la página de autenticación predeterminada (para poder acceder a DocSpace si tu servidor IdP falla), puedes añadir la clave /login?skipssoredirect=true después del nombre de dominio de tu DocSpace en la barra de direcciones del navegador.

Marca la casilla Desactivar verificación de correo electrónico si deseas desactivar la activación por correo electrónico para los usuarios de SSO. Si esta casilla está marcada, los usuarios de SSO no necesitarán verificar su correo electrónico después de la primera autorización en DocSpace.

Cuando todas las configuraciones estén especificadas en tu DocSpace, haz clic en el botón Guardar. Se abrirá la sección Metadatos de ONLYOFFICE SP.

Registrar ONLYOFFICE como un Proveedor de Servicios de confianza en tu Proveedor de Identidad

Ahora necesitas añadir ONLYOFFICE como un Proveedor de Servicios de confianza en tu cuenta IdP especificando los metadatos de ONLYOFFICE SP en el IdP.

Para recibir los datos necesarios, consulta la sección Metadatos de ONLYOFFICE SP de la página Inicio de Sesión Único. Verifica que los datos del SP sean accesibles públicamente. Para hacerlo, haz clic en el botón Descargar XML de Metadatos de SP. El contenido del archivo XML se mostrará en una nueva pestaña del navegador. Guarda los datos como un archivo XML para poder cargarlos en el IdP.

Alternativamente, puedes copiar manualmente parámetros separados haciendo clic en el botón Icono de copiar en los campos correspondientes.

Habilitando el inicio de sesión único en DocSpace Habilitando el inicio de sesión único en DocSpace

Los siguientes parámetros están disponibles:

  • ID de Entidad SP (enlace al XML de metadatos) - la dirección URL del XML del Proveedor de Servicios que puede ser descargada y utilizada por el Proveedor de Identidad para identificar inequívocamente al SP. Por defecto, el archivo se encuentra en la siguiente dirección: http://example.com/sso/metadata donde example.com es el nombre de dominio de tu ONLYOFFICE DocSpace o IP pública.
  • URL de Consumidor de Aserciones SP (soporte para enlace POST y Redirección) - la dirección URL del Proveedor de Servicios donde recibe y procesa aserciones del Proveedor de Identidad. Por defecto, se utiliza la siguiente dirección: http://example.com/sso/acs donde example.com es el nombre de dominio de tu ONLYOFFICE DocSpace o IP pública.
  • URL de Cierre de Sesión Único SP (soporte para enlace POST y Redirección) - la URL utilizada para el cierre de sesión único en el lado del Proveedor de Identidad. Es la dirección del punto final en tu SP donde recibe y procesa solicitudes/respuestas de cierre de sesión del Proveedor de Identidad. Por defecto, se utiliza la siguiente dirección: http://example.com/sso/slo/callback donde example.com es el nombre de dominio de tu ONLYOFFICE DocSpace o IP pública.
Estos parámetros y el contenido del XML difieren dependiendo de la configuración de tu DocSpace, por ejemplo, si especificas un nombre de dominio, los parámetros también cambiarán y necesitarás reconfigurar tu IdP.

Iniciar sesión en el SP de ONLYOFFICE

Después de que el SSO esté habilitado y configurado, el proceso de inicio de sesión se realiza de la siguiente manera:

  1. Un usuario solicita acceso a ONLYOFFICE haciendo clic en el botón Inicio de Sesión Único (el texto puede diferir si has especificado tu propio texto al configurar el SP de ONLYOFFICE) en la página de Autenticación de ONLYOFFICE DocSpace (SSO iniciado por SP).
  2. Si todas las configuraciones de IdP y SP están configuradas correctamente, ONLYOFFICE envía la solicitud de autenticación al IdP y redirige al usuario a la página del IdP donde se le solicita las credenciales.
  3. Si el usuario no ha iniciado sesión en el IdP, proporciona las credenciales en el IdP.
  4. El IdP crea la respuesta de autenticación que contiene los datos del usuario y la envía a ONLYOFFICE.
  5. ONLYOFFICE recibe la respuesta de autenticación del Proveedor de Identidad y la valida.
  6. Si la respuesta es validada, ONLYOFFICE permite al usuario iniciar sesión (el usuario se creará automáticamente si falta, o los datos se actualizarán si han cambiado en el IdP).

También es posible utilizar la página de inicio de sesión en el lado del Proveedor de Identidad (SSO iniciado por IdP), ingresar las credenciales y luego acceder a ONLYOFFICE DocSpace sin necesidad de reautenticación.

Cerrar sesión del SP de ONLYOFFICE

El cierre de sesión se puede realizar de 2 maneras disponibles:

  1. Desde ONLYOFFICE DocSpace utilizando el menú Cerrar Sesión (en este caso, la solicitud se enviará desde IdP para cerrar sesión). El usuario también debería ser automáticamente desconectado del IdP en caso de que haya cerrado sesión en todas las demás aplicaciones previamente accedidas mediante autenticación SSO.
  2. Desde la página de cierre de sesión del IdP.

Editando perfiles de usuario creados usando SSO

Los usuarios creados utilizando la autenticación SSO están marcados con el icono SSO en la lista de usuarios para el administrador de DocSpace.

La posibilidad de editar dichos perfiles de usuario en la sección Cuentas está restringida. Los campos del perfil de usuario que han sido creados utilizando la autenticación SSO están deshabilitados para edición desde la sección Cuentas. Los datos del usuario solo pueden ser cambiados en el lado del IdP.

Artículos con etiqueta:
Ver todas las etiquetas