Artículos con :
Cerrar
Changelog
Cerrar
Centro de ayuda
Control Panel

Cómo configurar Shibboleth v2.x - 3.x IdP y ONLYOFFICE SP

Control Panelv.2.7 Control Panel changelog

Version 2.7

Release date: 04/25/2019

LDAP

  • Added more fields mapped for the users loaded via LDAP: user photo, birthday, contacts, primary phone number;
  • Added the setting to autosync LDAP on schedule;
  • Added the possibility to give administrator rights to the user group at the portal via LDAP;
  • Updated the rules for LDAP users.

Version 2.5.1

Release date: 04/07/2018

LDAP

  • Fixed the Server internal error error when using the groups enclosed inside each other in the AD (bug #37414).

Single Sign-on

  • Fixed the issue when the user data between the Service Provider and the portal was transferred via HTTP only, even when HTTPS was enabled.

Version 2.4.0

Release date: 01/13/2018

Single Sign-on

  • Fixed the Invalid ssoConfig error which occurred when the link to the IdP contained the question mark '?', e.g.: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
  • Fixed the Invalid authentication token error which prevented from adding a user to the portal using the AD FS, in case the + or - characters were present when sending the encrypted data.

Version 2.3.0

Release date: 12/15/2017

General

  • Added the changelog for Control Panel and link to it;
  • Fixed the bug when JWT parameters were not sent when updating Document Server(bug #36270);
  • Fixed the bug when Audit Trail heading was present at the login history page (bug #36026);
  • The current machine is now checked for being linked with the domain name for multiple portals.

LDAP

  • Fixed the bug with the LDAP Domain not found error which occurred if the DN record had no DC records (the users with Sun/Oracle DS were affected); now if the LDAP domain could not be specified, the LDAP domain will acquire the unknown value or the ldap.domain value from the web.appsettings.config configuration file;
  • Fixed the bug with the Sizelimit Exceeded error when trying to get more than 1000 users from the Active Directory;
  • Increased the login speed with the Group Membership setting enabled;
  • Added additional logging;
  • Fixed the bug with LDAP operation hanging when using Mono v5.2.0 and older;
  • Fixed the bug with the error when trying to login using the email address entered in the fields different from the Mail Attribute;
  • Fixed the bug occurring in the enclosed groups, when the users were displayed not in all groups.

Version 2.2.0

Release date: 10/31/2017

General

  • Added the documentserver-prepare4shutdown.sh script launch when updating the document-server for the correct edited document saving.

LDAP

  • Dramatically changed LDAP integration, migrated to the single library for the work with LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
  • Login and email are now split into two separate fields;
  • Added the support for big data;
  • Increased the work speed via the LDAP protocol (the connection to the server and receiving the data is now made once per session, added the limits when only a certain number of results is necessary, fixed the slow login for bit data, removed the sorting out used to find the SID parameter);
  • Fixed the user re-creation issue;
  • Fixed the duplicate username issue;
  • Fixed the already existing email issue;
  • Replaced the LDAP user deletion with account deactivation (for further data migration and data safety);
  • Instead of re-creating a user with an unknown SID but an existing email the data is updated;
  • Added the attempt to save the correct UserName/Login in case a similar one is already taken on the portal.

Single Sign-on

  • Added the AD FS support;
  • Replaced the Single Sign-on link at the authorization page with the customizable button, added the button customization to the SSO setting of the Control Panel.

Version 2.1.0

Release date: 07/03/2017

HTTPS

  • Added the support of letsencrypt service for the domain certificate generation.

Single Sign-on

  • Added the new sso.auth service;
  • Added the new SSO settings page;
  • Added the support for Shibboleth.

Version 2.0.0

Release date: 05/25/2017

General

  • The Control Panel migrated from MVC to Node.js.

Version 1.6.0

Release date: 12/05/2016

LDAP

  • Added LDAP synchronization for users and groups when saving the settings, after login and using the Sync button;
  • Changed email formation for LDAP users;
  • Fixed the problem of creation of users with invalid emails;
  • Fixed the problem of duplicate users;
  • Added icons and hints to the users in the list for the admin;
  • Blocked for editing the user profile fields imported using LDAP;
  • Added the real LDAP password saving to the database during login in case LDAP Auth is disabled, now the LDAP users will become common portal users when LDAP Auth is disabled;
  • Added new API Settings method - Sync LDAP;
  • Added new translations;
  • Bug fixes.

Version for Windows

  • Made changes at the Update page for the Control Panel for Windows;
  • Updates are performed using the downloaded installation packages for each module.
  • The current installed component version numbers are obtained via API request to the Community Server.
  • The new versions available for download are obtained via the request to the https://download.onlyoffice.com/install/windows/updates.txt file, where all the latest component version numbers and links for their download are stored in the JSON format.

Introducción

Usted puede configurar Shibboleth 2.x - 3.x como su Proveedor de Identidad (IDP) para cuentas corporativas en ONLYOFFICE. El proceso de configuración incluye dos pasos principales: registro de su Proveedor de Identidad en la sección SSO del Panel de Control de ONLYOFFICE y registro de ONLYOFFICE SP en el Proveedor de Identidad de Shibboleth.

ONLYOFFICE SP soporta el flujo de los atributos givenName, sn, title, locality, mobile y mail de la cuenta corporativa del Proveedor de Identidad corporativo. Cuando un usuario inicia la sesión usando una cuenta corporativa, y si ONLYOFFICE SP recibe los atributos con nombres givenName, sn y mail (atributos obligatorios), ONLYOFFICE SP rellena el nombre completo y dirección de correo electrónico de la cuenta de usuario con los valores recibidos del Proveedor de Identidad.

Registro del Shibboleth como un Proveedor de Identidad corporativo en ONLYOFFICE SP

  1. Asegúrese de que se ha registrado como Administrador en el Panel de Control de su ONLYOFFICE y haga clic en la pestaña SSO.
    How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP
    Usted puede registrar sólo un proveedor de identidad corporativo para su organización en el portal ONLYOFFICE.
  2. Active SSO usando el conmutador Activar Autenticación Single Sign-on.
    How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP
  3. Introduzca metadatos del Proveedor de Identidad usando una de las tres maneras siguientes:
    • Usando el enlace (CARGAR DATOS) – si los metadatos del Shibboleth IdP son accesibles desde fuera siguiendo el enlace (por ejemplo, https://{shibboleth-idp-domain}/idp/shibboleth), inserte el enlace en el campo URL al XML Metadatos Idp y pulse el botón con la flecha hacia arriba. Luego todos los parámetros requeridos se mostrarán en la forma ampliada.
    • Archivo (SELECCIONAR ARCHIVO) – de forma predeterminada, Shibboleth proporciona el archivo con metadatos IdP en SHIBBOLETH_HOME/metadata. Si el archivo con metadatos está disponible, cárguelo usando el botón SELECCIONAR ARCHIVO y seleccionando el archivo SHIBBOLETH_HOME/metadata/idp-metadata.xml almacenado en su máquina local. Luego todos los parámetros requeridos se mostrarán en la forma ampliada.
    • Parámetros – si el archivo con metadatos no es accesible, introduzca valores manualmente y especifique los parámetros requeridos: ID de Entidad de IdP, URL del punto final de Single Sign-On de IdP, URL del punto final de Single Logout de IdP, certificados de firma etc. Para obtener estos valores póngase en contacto con su Administrador de Shibboleth.
  4. En el campo Texto personalizado para botón de acceso Usted puede introducir cualquier texto en vez del estándar (Single Sign-on). Este texto se mostrará en el botón usado para acceso al portal con el servicio Single Sign-on en la página de autenticación de ONLYOFFICE.
    How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP
  5. Si su Shibboleth IdP requiere que datos de entrada sean firmados y/o cifrados, Usted necesita crear/añadir certificados para este fin en la sección Certificados de SP. En los ajustes avanzados Usted también puede indicar qué solicitudes deben ser firmadas, especificar si es necesario descifrar datos o no, y seleccionar los algoritmos de firma y descifrado correspondientes.
    How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP
  6. En la sección Mapeo de Atributos indique la correspondencia de los campos en el módulo Personas ONLYOFFICE para los atributos de usuario que serán devueltos del Shibboleth IdP.
    How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP
  7. Haga clic en el botón Guardar.
  8. La sección Metadatos de ONLYOFFICE SP debe abrirse.
  9. Verifique que nuestros ajustes están disponibles al público pulsando el botón Descargar XML de Metadatos de SP. El contenido del archivo XML debe ser mostrado.
    How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP

Registro de ONLYOFFICE como un Proveedor de Servicios de confianza en el Shibboleth IdP

  1. Configure ONLYOFFICE SP como una parte que confía en Shibboleth.
    1. Obtenga el archivo con metadatos de su portal ONLYOFFICE y guárdelo como un archivo XML. Para recibir el archivo con metadatos regístrese en el Panel de Control de ONLYOFFICE como un Administrador y haga clic en la pestaña SSO. Pulse el botón DESCARGAR XML DE METADATOS DE SP y guarde los datos como el archivo sp-ONLYOFFICE.xml.
    2. Añada ONLYOFFICE como un Proveedor de Servicios de confianza en Shibboleth especificando un elemento nuevo MetadataProvider en el archivo SHIBBOLETH_HOME/conf/metadata-providers.xml. Para hacerlo, añada el siguiente fragmento del código al elemento raíz MetadataProvider. Proporciona la ruta al archivo XML con metadatos de su organización (archivo que Usted ha guardado en el paso anterior a:
    <MetadataProvider id="ONLYOFFICESP"  xsi:type="FilesystemMetadataProvider" metadataFile="<PATH_TO_THE_SAVED_METADATA>/metadata/sp-ONLYOFFICE.xml"/>
  2. Configure atributos de usuario que serán devueltos del Shibboleth IdP.
    1. Edite el archivo SHIBBOLETH_HOME/conf/attribute-resolver.xml. Comente o elimine todas las definiciones existentes de los atributos y conectores de datos.
    2. Añada la siguiente entrada de atributos a la sección resolver:AttributeResolver.
    <resolver:AttributeResolver
      xmlns:resolver="urn:mace:shibboleth:2.0:resolver"
      xmlns:pc="urn:mace:shibboleth:2.0:resolver:pc"
      xmlns:ad="urn:mace:shibboleth:2.0:resolver:ad"
      xmlns:dc="urn:mace:shibboleth:2.0:resolver:dc"
      xmlns:enc="urn:mace:shibboleth:2.0:attribute:encoder"
      xmlns:sec="urn:mace:shibboleth:2.0:security"
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
      xsi:schemaLocation="urn:mace:shibboleth:2.0:resolver http://shibboleth.net/schema/idp/shibboleth-attribute-resolver.xsd
      urn:mace:shibboleth:2.0:resolver:pc http://shibboleth.net/schema/idp/shibboleth-attribute-resolver-pc.xsd
      urn:mace:shibboleth:2.0:resolver:ad http://shibboleth.net/schema/idp/shibboleth-attribute-resolver-ad.xsd
      urn:mace:shibboleth:2.0:resolver:dc http://shibboleth.net/schema/idp/shibboleth-attribute-resolver-dc.xsd
      urn:mace:shibboleth:2.0:attribute:encoder http://shibboleth.net/schema/idp/shibboleth-attribute-encoder.xsd
      urn:mace:shibboleth:2.0:security http://shibboleth.net/schema/idp/shibboleth-security.xsd">
      <!-- ========================================== -->
      <!--          Attribute Definitions             -->
      <!-- ========================================== -->
      <!-- Schema: Core schema attributes-->
      <resolver:AttributeDefinition id="email" xsi:type="ad:Simple" sourceAttributeID="mail">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:mail" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:0.9.2342.19200300.100.1.3" friendlyName="mail" encodeType="false" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="mobileNumber" sourceAttributeID="mobile">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:mobile" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:0.9.2342.19200300.100.1.41" friendlyName="mobile" encodeType="false" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="surname" sourceAttributeID="sn">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:sn" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:2.5.4.4" friendlyName="sn" encodeType="false" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="locality" sourceAttributeID="l">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:l" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:2.5.4.7" friendlyName="l" encodeType="false" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="title" sourceAttributeID="title">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:title" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:2.5.4.12" friendlyName="title" encodeType="false" />
      </resolver:AttributeDefinition>
      <resolver:AttributeDefinition xsi:type="ad:Simple" id="givenName" sourceAttributeID="givenName">
        <resolver:Dependency ref="myLDAP" />
        <resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:givenName" encodeType="false" />
        <resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:2.5.4.42" friendlyName="givenName" encodeType="false" />
      </resolver:AttributeDefinition>
    </resolver:AttributeResolver>
    1. Configure los atributos para incluir en el Proveedor de Servicios. Edite el archivo SHIBBOLETH_HOME/conf/attribute-filter.xml y añada el siguiente código:
    <AttributeFilterPolicyGroup id="ShibbolethFilterPolicy"
      xmlns="urn:mace:shibboleth:2.0:afp"
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
      xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd">
      <!-- Release some attributes to an SP. -->
      <AttributeFilterPolicy id="ONLYOFFICESP">
        <PolicyRequirementRule xsi:type="OR">
          <Rule xsi:type="Requester" value="https://{portal-domain}/sso/metadata" />
        </PolicyRequirementRule>
        <AttributeRule attributeID="mail">
          <PermitValueRule xsi:type="ANY" />
        </AttributeRule>
        <AttributeRule attributeID="surname">
          <PermitValueRule xsi:type="ANY" />
        </AttributeRule>
        <AttributeRule attributeID="givenName">
          <PermitValueRule xsi:type="ANY" />
        </AttributeRule>
        <AttributeRule attributeID="mobileNumber">
          <PermitValueRule xsi:type="ANY" />
        </AttributeRule>
        <AttributeRule attributeID="title">
          <PermitValueRule xsi:type="ANY" />
        </AttributeRule>
        <AttributeRule attributeID="locality">
          <PermitValueRule xsi:type="ANY" />
        </AttributeRule>      
      </AttributeFilterPolicy>
    </AttributeFilterPolicyGroup>
    Reemplace {portal-domain} por el nombre de dominio de su portal.
  3. Edite el archivo SHIBBOLETH_HOME/conf/relying-party.xml.
    1. Copie el siguiente código y péguelo en los elementos shibboleth.RelyingPartyOverrides para sobrescribir los ajustes predeterminados para el Shibboleth IdP:
    <util:list id="shibboleth.RelyingPartyOverrides">
      <bean parent="RelyingPartyByName" c:relyingPartyIds="https://{portal-domain}/sso/metadata">
        <property name="profileConfigurations">
          <list>
            <bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
            <bean parent="SAML2.SSO" p:encryptAssertions="true" p:postAuthenticationFlows="attribute-release" />
            <bean parent="SAML2.Logout" />
          </list>
        </property>
      </bean>
    Reemplace {portal-domain} por el nombre de dominio de su portal.
  4. Reinicie el agente de programa (Linux) o servicio (Windows) de Shibboleth.

Verificación del funcionamiento del ONLYOFFICE SP con el Shibboleth IdP

Acceso al ONLYOFFICE en el lado de SP
  1. Vaya a la página de Autenticación de ONLYOFFICE (por ejemplo, https://myportal-address.com/auth.aspx).
  2. Haga clic en el botón Single sign-on (el nombre del botón puede variar si Usted ha especificado su propio texto al configurar ONLYOFFICE SP). Si el botón está desaparecido, esto significa que SSO no está activado.
    How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP
  3. Si todos los parámetros de SP y IdP están correctamente configurados, nos redirigirá al formulario de acceso en Shibboleth IdP:
    How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP
  4. Introduzca el login y la contraseña de la cuenta en Shibboleth IdP y marque la casilla Don't Remember Login.
  5. Si las credenciales son correctas, se abrirá la nueva ventana. Permita la prestación de información al servicio haciendo clic en el botón Accept.
    How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP
  6. Si todo es correcto, nos redirigirá a la página principal del portal (si no hay tal usuario en el portal, él se creará automáticamente, o si los datos han sido modificados en el IDP, ellos se actualizarán).
Perfiles de usuarios añadidos con autenticación SSO

La posibilidad de editar perfiles de usuarios creados usando la autenticación SSO está restringida. Los campos del perfil de usuario recibidos del IdP están desactivados para edición (como Nombre, Apellido, Correo, Posición y Ubicación). Usted puede editar estos campos sólo en su cuenta IdP.

La imagen debajo muestra el menú "Acciones" para un usuario SSO:

How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP

La imagen siguiente muestra el perfil de un usuario SSO abierto para edición:

How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP

Los usuarios creados usando la autenticación SSO están marcados con el icono SSO en la lista de usuarios para los administradores del portal:

How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP How to configure Shibboleth v2.x - 3.x IdP and ONLYOFFICE SP

Para desconectarse del Shibboleth IdP (si Usted no ha marcado la casilla Don't Remember Login al iniciar la sesión), siga el enlace que tiene el siguiente aspecto: https://{shibboleth-idp-domain}/idp/profile/Logout

Download Host on your own server Available for
Docker, Windows and Linux
También le podría gustar:
Cerrar