Artículos con :
Cerrar
Changelog
Cerrar
Centro de ayuda
Control Panel

Descripción de la función Single Sign-on de ONLYOFFICE

Control Panelv.2.7 Control Panel changelog

Version 2.7

Release date: 04/25/2019

LDAP

  • Added more fields mapped for the users loaded via LDAP: user photo, birthday, contacts, primary phone number;
  • Added the setting to autosync LDAP on schedule;
  • Added the possibility to give administrator rights to the user group at the portal via LDAP;
  • Updated the rules for LDAP users.

Version 2.5.1

Release date: 04/07/2018

LDAP

  • Fixed the Server internal error error when using the groups enclosed inside each other in the AD (bug #37414).

Single Sign-on

  • Fixed the issue when the user data between the Service Provider and the portal was transferred via HTTP only, even when HTTPS was enabled.

Version 2.4.0

Release date: 01/13/2018

Single Sign-on

  • Fixed the Invalid ssoConfig error which occurred when the link to the IdP contained the question mark '?', e.g.: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
  • Fixed the Invalid authentication token error which prevented from adding a user to the portal using the AD FS, in case the + or - characters were present when sending the encrypted data.

Version 2.3.0

Release date: 12/15/2017

General

  • Added the changelog for Control Panel and link to it;
  • Fixed the bug when JWT parameters were not sent when updating Document Server(bug #36270);
  • Fixed the bug when Audit Trail heading was present at the login history page (bug #36026);
  • The current machine is now checked for being linked with the domain name for multiple portals.

LDAP

  • Fixed the bug with the LDAP Domain not found error which occurred if the DN record had no DC records (the users with Sun/Oracle DS were affected); now if the LDAP domain could not be specified, the LDAP domain will acquire the unknown value or the ldap.domain value from the web.appsettings.config configuration file;
  • Fixed the bug with the Sizelimit Exceeded error when trying to get more than 1000 users from the Active Directory;
  • Increased the login speed with the Group Membership setting enabled;
  • Added additional logging;
  • Fixed the bug with LDAP operation hanging when using Mono v5.2.0 and older;
  • Fixed the bug with the error when trying to login using the email address entered in the fields different from the Mail Attribute;
  • Fixed the bug occurring in the enclosed groups, when the users were displayed not in all groups.

Version 2.2.0

Release date: 10/31/2017

General

  • Added the documentserver-prepare4shutdown.sh script launch when updating the document-server for the correct edited document saving.

LDAP

  • Dramatically changed LDAP integration, migrated to the single library for the work with LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
  • Login and email are now split into two separate fields;
  • Added the support for big data;
  • Increased the work speed via the LDAP protocol (the connection to the server and receiving the data is now made once per session, added the limits when only a certain number of results is necessary, fixed the slow login for bit data, removed the sorting out used to find the SID parameter);
  • Fixed the user re-creation issue;
  • Fixed the duplicate username issue;
  • Fixed the already existing email issue;
  • Replaced the LDAP user deletion with account deactivation (for further data migration and data safety);
  • Instead of re-creating a user with an unknown SID but an existing email the data is updated;
  • Added the attempt to save the correct UserName/Login in case a similar one is already taken on the portal.

Single Sign-on

  • Added the AD FS support;
  • Replaced the Single Sign-on link at the authorization page with the customizable button, added the button customization to the SSO setting of the Control Panel.

Version 2.1.0

Release date: 07/03/2017

HTTPS

  • Added the support of letsencrypt service for the domain certificate generation.

Single Sign-on

  • Added the new sso.auth service;
  • Added the new SSO settings page;
  • Added the support for Shibboleth.

Version 2.0.0

Release date: 05/25/2017

General

  • The Control Panel migrated from MVC to Node.js.

Version 1.6.0

Release date: 12/05/2016

LDAP

  • Added LDAP synchronization for users and groups when saving the settings, after login and using the Sync button;
  • Changed email formation for LDAP users;
  • Fixed the problem of creation of users with invalid emails;
  • Fixed the problem of duplicate users;
  • Added icons and hints to the users in the list for the admin;
  • Blocked for editing the user profile fields imported using LDAP;
  • Added the real LDAP password saving to the database during login in case LDAP Auth is disabled, now the LDAP users will become common portal users when LDAP Auth is disabled;
  • Added new API Settings method - Sync LDAP;
  • Added new translations;
  • Bug fixes.

Version for Windows

  • Made changes at the Update page for the Control Panel for Windows;
  • Updates are performed using the downloaded installation packages for each module.
  • The current installed component version numbers are obtained via API request to the Community Server.
  • The new versions available for download are obtained via the request to the https://download.onlyoffice.com/install/windows/updates.txt file, where all the latest component version numbers and links for their download are stored in the JSON format.

Introducción

La función Single Sign-on proporcionada por el Panel de Control le permite activar la autenticación de terceras partes usando los servicios SSO instalados (Shibboleth, OneLogin o Active Directory Federation Services).

En general, la tecnología Single Sign-on permite a los usuarios ingresar en el sistema sólo una vez y luego obtener acceso a múltiples aplicaciones/servicios sin re-autenticación. Por ejemplo, si un portal web incluye varias secciones amplias e independientes (foros, chat, blogs etc.), un usuario puede someterse a un procedimiento de autenticación en uno de los servicios y automáticamente obtener acceso a todos los demás servicios sin tener que ingresar las credenciales vaias veces.

SSO es siempre una operación conjunta de dos aplicaciones: un Proveedor de Identidad y un Proveedor de Servicios (en lo sucesivo denominados "IdP" y "SP").

ONLYOFFICE SSO aplica sólo SP. Diferentes proveedores pueden actuar como IdP, pero ONLYOFFICE se ha probado solo con los siguientes servicios: Shibboleth, OneLogin y AD FS.

Con la autenticación SSO Usted obtendrá los siguientes beneficios principales:

  • Una mayor comodidad. Usuarios obtienen un modo más fácil y rápido de acceder al portal sin necesidad de memorizar varios logins y contraseñas.
  • Seguridad mejorada. ONLYOFFICE no almacena las contraseñas de usuarios en cualquier forma, en lugar de esto ONLYOFFICE usa los resultados de la autenticación en el lado del Proveedor de Identidad.
  • Administración sencilla. Toda la información necesaria sobre un usuario se transmite a través de un token de autenticación. Si se modifica la información sobre un usuario en el lado del Proveedor de Identidad, los datos se actualizarán automáticamente en el portal durante la siguiente autenticación SSO. Si un perfil de usuario no existe en el portal, se creará automáticamente cuando el usuario ingrese en el portal usando las credenciales SSO por primera vez.

En ONLYOFFICE la autenticación SSO se implementa en la base del estándar SAML seguro y de uso general. SAML (Security Assertion Markup Language, El Lenguaje de Marcado para Confirmaciones de Seguridad) es un estándar XML que permite transmitir los datos de autenticación/autorización entre un Proveedor de Identidad y un Proveedor de Servicios a través de tokens de seguridad que contienen confirmaciones.

Este artículo describe el proceso de activación de SSO en general. Si busca configuraciones específicas/ejemplos para ciertos IdPs, por favor, consulte nuestros artículos sobre cómo configurar ONLYOFFICE SP e IdPs de Shibboleth, OneLogin o AD FS.

Activación de SSO

Para activar y configurar la autenticación SSO para su portal Usted necesita realizar los dos pasos siguientes principales:

  1. Registrar su Proveedor de Identidad en el Panel de Control de ONLYOFFICE -> la página SSO. La información que debe especificar se puede encontrar en la cuenta de su Proveedor de Identidad.
  2. Registrar ONLYOFFICE como un Proveedor de Servicios de confianza en la cuenta de su Proveedor de Identidad. Este procedimiento difiere dependiendo del Proveedor de Identidad seleccionado.
Cada portal se puede integrar solo con un Proveedor de Identidad al mismo tiempo.

Registro de su Proveedor de Identidad en el Proveedor de Servicios de ONLYOFFICE

Para registrar su IdP en ONLYOFFICE SP use la sección Ajustes de ONLYOFFICE SP en la página SSO.

  1. En su portal ONLYOFFICE vaya al Panel de Control y abra la página SSO.
  2. Haga clic en el conmutador Activar Autenticación Single Sign-on.
  3. Complete los campos requeridos en la sección Ajustes de ONLYOFFICE SP. Se puede especificar la información necesaria en diferentes formas:
    • Introduzca la dirección URL del archivo con metadatos. Si metadatos del IdP son accesibles desde el exterior por el enlace, inserte el enlace en el campo URL al XML Metadatos Idp y pulse el botón Cargar datos. Después de cargar los datos, todos los parámetros requeridos se visualizarán automáticamente en la forma ampliada.
    • Cargue el archivo con metadatos. Si su IdP proporciona un archivo con metadatos, use el botón Seleccionar archivo para buscar el archivo almacenado en su máquina local. Después de cargar el archivo, todos los parámetros requeridos se visualizarán automáticamente en la forma ampliada.
    • Especifique los parámetros requeridos manualmente. Si el archivo con metadatos no está disponible, introduzca los parámetros necesarios manualmente. Para obtener los valores necesarios, por favor, póngase en contacto con el administrador de su IdP.

Los siguientes parámetros están disponibles:

  • ID de la entidad del IdP (campo obligatorio) - el identificador del Proveedor de Identidad o la dirección URL que será usado por el Proveedor de Servicios para identificar inequívocamente el IdP.
    https://example.com/idp/shibboleth

    donde example.com es el nombre de dominio de su servicio SSO

  • URL del punto final de Single Sign-On del IdP (campo obligatorio) - la dirección URL usada para single sign-on en el lado del Proveedor de Identidad. Es la dirección del punto final en su IdP a la que SP envía solicitudes de autenticación.

    Establezca el tipo necesario de Vinculante seleccionando uno de los botones de radio. Vinculantes especifican la forma en que solicitudes de autenticación y respuestas se transmiten entre IdP y SP sobre el protocolo de transporte subyacente: usando los vinculantes HTTP POST o HTTP Redirect.

  • URL del punto final de Single Logout del IdP - la dirección URL usada para single logout en el lado del Proveedor de Servicios. Es la dirección del punto final en su IdP a la que SP envía solicitudes/respuestas de logout (cierre de sesión).

    Establezca el tipo necesario de Vinculante seleccionando uno de los botones de radio. Vinculantes especifican la forma en que solicitudes y respuestas logout se transmiten entre IdP y SP sobre el protocolo de transporte subyacente: usando los vinculantes HTTP POST o HTTP Redirect.

  • Formato NameId - el parámetro NameID permite al SP identificar un usuario. Seleccione uno de los formatos disponibles de la lista.
Es posible personalizar el botón que se usa para acceder al portal con el servicio Single Sign-on en la página de autenticación de ONLYOFFICE. Usted puede hacerlo usando el campo Texto personalizado para botón de acceso en la sección Ajustes de ONLYOFFICE SP.

También se puede añadir los certificados de IdP y SP.

Certificados públicos del IdP

Certificados públicos del IdP - esta sección le permite añadir los certificados públicos del Proveedor de Identidad usados por el SP para verificar las solicitudes y respuestas del IdP.

Si Usted ha cargado los metadatos de IdP, estos certificados se añadirán al Panel de Control automáticamente. De lo contrario, los certificados se pueden encontrar en la cuenta de su IdP. Para añadir un certificado manualmente pulse el botón Añadir certificado. Se abrirá la ventana Nuevo certificado. Introduzca el certificado en el campo Certificado público y pulse el botón OK.

Establezca unos parámetros adicionales para certificados marcando las casillas correspondientes.

Especifique qué firmas de solicitudes/respuestas enviadas del IdP al SP deben verificarse:

  • Verificar Firma de Respuestas de Autenticación - para verificar firmas de respuestas de autenticación de SAML enviadas al SP.
  • Verificar Firma de Solicitudes de Logout - para verificar firmas de solicitudes de logout (cierre de sesión) de SAML enviadas al SP.
  • Verificar Firma de Respuestas de Logout - para verificar firmas de respuestas de logout (cierre de sesión) de SAML enviadas al SP.

Seleccione el algoritmo necesario de la lista Algoritmo Predeterminado de Verificación de Firmas: rsa-sha1, rsa-sha256 o rsa-sha512.

Ajustes predeterminados se usan solo en los casos, si en los metadatos de IdP no se especifica qué algoritmo debe ser usado.

Usted puede editar o eliminar los certificados añadidos usando el enlace correspondiente.

Certificados del SP

Certificados del SP - esta sección le permite añadir los certificados del Proveedor de Servicios usados para firmar y cifrar las solicitudes y respuestas del SP.

Si su IdP requiere que los datos de entrada estén firmados y/o cifrados, cree o añada certificados correspondientes en esta sección.

Haga clic en el botón Añadir certificado. Se abrirá la ventana Nuevo Certificado. Usted puede generar un certificado autofirmado o añadir un certificado existente en el campo Certificado Público y la clave privada correspondiente en el campo Clave privada. En la lista Usar para seleccione una de las opciones disponibles: signing, encrypt, signing and encrypt. Cuando esté listo, pulse el botón OK.

Dependiendo del propósito del certificado seleccionado en la lista Usar para al cargar/generar el certificado, se especifican los parámetros adicionales del certificado. Los siguientes parámetros definen qué solicitudes/respuestas enviadas del SP al IdP deben ser firmadas:

  • Firmar Solicitudes de Autenticación - para que SP firme solicitudes de autenticación de SAML enviadas al IdP.
  • Firmar Solicitudes de Logout - para que SP firme solicitudes de logout (cierre de sesión) de SAML enviadas al IdP.
  • Firmar Respuestas de Logout - para que SP firme respuestas de logout (cierre de sesión) de SAML enviadas al IdP.

Si Usted ha seleccionado la opción encrypt o signing and encrypt en la lista Usar para, se marcará el parámetro Descifrar confirmaciones también. El descifrado se realiza con la ayuda de la Clave privada correspondiente.

Seleccione los algoritmos necesarios de las listas:

  • Algoritmo de Firma: rsa-sha1, rsa-sha256 o rsa-sha512.
  • Algoritmo Predeterminado de Descifrado: aes128-cbc, aes256-cbc o tripledes-cbc.

Usted puede editar o eliminar los certificados añadidos usando el enlace correspondiente.

Mapeo de atributos

Mapeo de atributos - esta sección le permite establecer la correspondencia de los campos en el módulo Personas de ONLYOFFICE a los atributos de usuario que serán devueltos del IdP. Cuando un usuario ingresa en el ONLYOFFICE SP usando las credenciales SSO, ONLYOFFICE SP recibe los atributos requeridos y completa el nombre completo y la dirección de correo electrónico en la cuenta de usuario con los valores recibidos del IdP. Si el usuario no existe en el módulo Personas, se creará automáticamente. Si la información sobre usuario se ha modificado en el lado del IdP, los datos se actualizarán en SP también.

Los atributos disponibles son:

  • Nombre (campo obligatorio) - un atributo en registro de usuario que corresponde al nombre de usuario.
  • Apellido (campo obligatorio) - un atributo en registro de usuario que corresponde al apellido de usuario.
  • Dirección de correo electrónico (campo obligatorio) - un atributo en registro de usuario que corresponde a la dirección de correo electrónico.
  • Ubicación - un atributo en registro de usuario que corresponde a la ubicación de usuario.
  • Posición - un atributo en registro de usuario que corresponde a la posición de usuario.
  • Teléfono - un atributo en registro de usuario que corresponde al número de teléfono de usuario.

Cuando todos los parámetros se especifican en el Panel de Control, pulse el botón Guardar. Se abrirá la sección Metadatos de ONLYOFFICE SP.

Registro de ONLYOFFICE como un Proveedor de Servicios de confianza en su Proveedor de Identidad

Ahora Usted necesita añadir ONLYOFFICE como un Proveedor de Servicios de confianza en su cuenta IdP especificando los metadatos de ONLYOFFICE SP en el IdP.

Para recibir los datos necesarios consulte esta sección Metadatos de ONLYOFFICE SP en la página SSO. Verifique que los datos de SP sean accesibles al público. Para hacerlo haga clic en el botón Descargar XML de Metadatos de SP. El contenido del archivo XML se mostrará en una pestaña nueva del navegador. Guarde los datos como un archivo XML para poder cargarlo al IdP.

Como alternativa, Usted puede copiar parámetros independientes manualmente haciendo clic en el botón Copiar al portapapeles en los campos correspondientes.

Los atributos disponibles son:

  • ID de la entidad del SP (enlace al XML de metadatos) - la dirección URL del archivo XML del Proveedor de Servicios que puede ser descargado y usado por el Proveedor de Identidad para identificar inequívocamente el SP. De forma predeterminada, el archivo está situado en la siguiente dirección: http://example.com/sso/metadata donde example.com es el nombre de dominio o la dirección IP pública del portal ONLYOFFICE.
  • URL del consumidor de confirmaciones del SP (se soportan los vinculantes POST y Redirect) - la dirección URL del Proveedor de Servicios donde recibe y procesa confirmaciones del Proveedor de Identidad. De forma predeterminada, se usa la dirección siguiente: http://example.com/sso/acs donde example.com es el nombre de dominio o la dirección IP pública del portal ONLYOFFICE.
  • URL de Single Logout del SP (se soportan los vinculantes POST y Redirect) - la dirección URL usada para single logout en el lado del Proveedor de Identidad. Es la dirección del punto final en su SP donde recibe y procesa solicitudes/respuestas de logout (cierre de sesión) del Proveedor de Identidad. De forma predeterminada, se usa la dirección siguiente: http://example.com/sso/slo/callback donde example.com es el nombre de dominio o la dirección IP pública del portal ONLYOFFICE.
Estos parámetros y el contenido del archivo XML difieren dependiendo de la configuración de su portal, por ejemplo, si Usted cambie su portal al HTTPS o especifique un nombre de dominio, los parámetros se cambiarán también y Usted necesitará reconfigurar su IdP.

Acceso al ONLYOFFICE SP

Después de activar y configurar SSO, el proceso de acceso se realiza del modo siguiente:

  1. Un usuario solicita acceso al ONLYOFFICE haciendo clic en el botón Single Sign-on (el nombre del botón puede variar si Usted ha especificado su propio texto al configurar ONLYOFFICE SP) en la página de autenticación del portal ONLYOFFICE (SSO iniciado por SP).
  2. Si todos los ajustes de IdP y SP se fijan de forma correcta, ONLYOFFICE envía la solicitud de autenticación al IdP y redirige al usuario hacia la página IdP donde él/ella se le pedirá credenciales.
  3. Si el usuario aún no ha iniciado sesión en el IdP, él/ella introduce credenciales en el IdP.
  4. IdP crea la respuesta de autenticación que contiene datos del usuario y envíala al ONLYOFFICE.
  5. ONLYOFFICE recibe la respuesta de autenticación del Proveedor de Identidad y la valida.
  6. Si la respuesta está validada, ONLYOFFICE permite al usuario acceder (si el usuario no existe, se creará automáticamente, o si los datos han sido modificados en el IdP, se actualizarán).

También es posible usar la página sign-in en el lado del Proveedor de Identidad (SSO iniciado por IdP), introducir credenciales y luego acceder al portal ONLYOFFICE sin re-autenticación.

Cierre de sesión del ONLYOFFICE SP

Cierre de sesión se puede hacer usando 2 modos disponibles:

  1. Del portal ONLYOFFICE usando el menú Salir (en este caso la solicitud será enviada del IdP para cerrar sesión). También el usuario debe desconectarse automáticamente del IdP, si él/ella ha salido de todas las otras aplicaciones a las que él/ella se ha concedido acceso antes a través de la autenticación SSO.
  2. De la página de cierre de sesión del IdP.

Edición de los perfiles de usuarios creados usando SSO

Los usuarios creados usando la autenticación SSO se marcan con el icono SSO en la lista de usuarios para los administradores de portal.

La posibilidad de editar los perfiles de tales usuarios en el módulo Personas está restringida. Los campos del perfil de usuario que han sido creados usando la autenticación SSO están desactivados para edición en el módulo Personas. Los datos de usuario pueden ser cambiados solo en el lado del IdP.

Download Host on your own server Available for
Docker, Windows and Linux
También le podría gustar:
Cerrar