Disponible ONLYOFFICE Docs 9.3: edición de PDF mejorada y más opciones de firma, vista multipágina para documentos, Solver en hojas de cálculo, reproducción de GIF en modo presentación de diapositivas, actualizaciones basadas en IA y mucho más
Disponible ONLYOFFICE Docs 9.3
Este artículo está traducido por IA

Descripción general del inicio de sesión único de ONLYOFFICE para la versión del servidor

Introducción

La función de Inicio de sesión único proporcionada por el Panel de control te permite habilitar la autenticación de terceros utilizando los servicios SSO instalados (Shibboleth, OneLogin o Active Directory Federation Services).

En general, la tecnología de Inicio de sesión único permite a los usuarios iniciar sesión una sola vez y luego acceder a múltiples aplicaciones/servicios sin necesidad de autenticarse nuevamente. Por ejemplo, si un portal web incluye varias secciones grandes e independientes (foro, chat, blogs, etc.), un usuario puede someterse al procedimiento de autenticación dentro de uno de los servicios y obtener automáticamente acceso a todos los demás servicios sin tener que ingresar credenciales varias veces.

El SSO siempre se asegura mediante la operación conjunta de dos aplicaciones: un Proveedor de Identidad y un Proveedor de Servicios (en adelante referidos como "IdP" y "SP").

ONLYOFFICE SSO implementa solo el SP. Muchos proveedores diferentes pueden actuar como un IdP, pero ONLYOFFICE ha sido probado solo con los siguientes servicios: Shibboleth, OneLogin y AD FS.

Al utilizar la autenticación SSO, obtienes los siguientes beneficios principales:

  • Mayor conveniencia. Los usuarios obtienen una forma más rápida y sencilla de acceder al portal sin la necesidad de memorizar múltiples contraseñas e inicios de sesión.
  • Mayor seguridad. ONLYOFFICE no almacena las contraseñas de los usuarios en ninguna forma; utiliza los resultados de la autenticación en el lado del Proveedor de Identidad.
  • Fácil administración. Toda la información necesaria del usuario se transmite a través de un token de autenticación. Si la información del usuario cambia en el lado del Proveedor de Identidad, se actualizará automáticamente en el portal durante la próxima autenticación SSO. Si un perfil de usuario no existe en el portal, se creará automáticamente cuando el usuario inicie sesión en el portal utilizando las credenciales SSO por primera vez.

En ONLYOFFICE, la autenticación SSO se implementa sobre la base del estándar SAML seguro y comúnmente utilizado. SAML (Security Assertion Markup Language) es un estándar XML que permite transmitir datos de autenticación/autorización de usuarios entre un Proveedor de Identidad y un Proveedor de Servicios a través de tokens de seguridad, que contienen afirmaciones.

Este artículo describe el proceso de habilitar SSO en general. Si buscas configuraciones/ejemplos específicos para ciertos IdPs, por favor consulta nuestros artículos sobre cómo configurar ONLYOFFICE SP y los IdPs Shibboleth, OneLogin o AD FS.

Habilitar SSO: versión del servidor

Para habilitar y configurar la autenticación SSO para tu portal, necesitas realizar los siguientes dos pasos principales:

  1. Registrar tu Proveedor de Identidad en la página SSO del Panel de control de ONLYOFFICE. La información que debes especificar se puede encontrar en la cuenta de tu Proveedor de Identidad.
    Si deseas usar SSO al conectar ONLYOFFICE Desktop Editors a tu ONLYOFFICE Workspace, desactiva las Salas Privadas en el Panel de control.
  2. Registrar ONLYOFFICE como un Proveedor de Servicios de confianza en la cuenta de tu Proveedor de Identidad. Este procedimiento varía dependiendo del Proveedor de Identidad seleccionado.
Cada portal solo puede integrarse con un Proveedor de Identidad a la vez.

Registrar tu Proveedor de Identidad en el Proveedor de Servicios de ONLYOFFICE

Para registrar tu IdP en ONLYOFFICE SP, utiliza la sección Configuración de ONLYOFFICE SP de la página SSO.

  1. En tu portal de ONLYOFFICE, ve al Panel de control y abre la página SSO en la sección CONFIGURACIÓN DEL PORTAL en la barra lateral izquierda.
  2. Haz clic en el interruptor Habilitar Autenticación de Inicio de Sesión Único.
  3. Rellena los campos requeridos en la sección Configuración de ONLYOFFICE SP. La información necesaria se puede especificar de varias maneras diferentes:
    • Introduce la dirección URL al archivo de metadatos. Si los metadatos de tu IdP son accesibles desde el exterior mediante un enlace, inserta el enlace en el campo URL a IdP Metadata XML y haz clic en el botón Cargar datos. Cuando se carguen los datos, todos los parámetros requeridos se mostrarán automáticamente en el formulario extendido.
    • Sube el archivo de metadatos. Si tu IdP proporciona un archivo de metadatos, utiliza el botón Seleccionar archivo para buscar el archivo almacenado en tu máquina local. Cuando se suba el archivo, todos los parámetros requeridos se mostrarán automáticamente en el formulario extendido.
    • Especifica los parámetros requeridos manualmente. Si el archivo de metadatos no está disponible, introduce los parámetros necesarios manualmente. Para obtener los valores necesarios, por favor contacta con el administrador de tu IdP.

Los siguientes parámetros están disponibles:

  • IdP Entity Id (campo obligatorio) - el identificador del Proveedor de Identidad o dirección URL que será utilizado por el Proveedor de Servicios para identificar inequívocamente al IdP.
    Por ejemplo, https://example.com/idp/shibboleth

    donde example.com es el nombre de dominio de tu servicio SSO

  • IdP Single Sign-On Endpoint URL (campo obligatorio) - la URL utilizada para el inicio de sesión único en el lado del Proveedor de Identidad. Es la dirección del punto final en tu IdP a la que el SP envía solicitudes de autenticación.

    Establece el tipo de Binding necesario seleccionando uno de los botones de radio correspondientes. Los bindings especifican la forma en que las solicitudes y respuestas de autenticación se transmiten entre el IdP y el SP sobre el protocolo de transporte subyacente: utilizando el binding HTTP POST o HTTP Redirect.

  • IdP Single Logout Endpoint URL - la URL utilizada para el cierre de sesión único en el lado del Proveedor de Servicios. Es la dirección del punto final en tu IdP a la que el SP envía solicitudes/respuestas de cierre de sesión.

    Establece el tipo de Binding necesario seleccionando uno de los botones de radio correspondientes. Los bindings especifican la forma en que las solicitudes y respuestas de cierre de sesión se transmiten entre el IdP y el SP sobre el protocolo de transporte subyacente: utilizando el binding HTTP POST o HTTP Redirect.

  • NameId Format - el parámetro NameID permite al SP identificar a un usuario. Selecciona uno de los formatos disponibles de la lista.
Es posible personalizar el botón utilizado para iniciar sesión en el portal con el servicio de Inicio de Sesión Único en la página de autenticación de ONLYOFFICE. Puedes hacerlo utilizando el campo Texto personalizado del botón de inicio de sesión en la sección Configuración de ONLYOFFICE SP.

También puedes agregar los certificados del IdP y del SP.

Certificados Públicos del IdP

Certificados Públicos del IdP - esta sección te permite agregar los certificados públicos del Proveedor de Identidad utilizados por el SP para verificar las solicitudes y respuestas del IdP.

Si has cargado los metadatos del IdP, estos certificados se agregarán automáticamente al Panel de control. De lo contrario, los certificados se pueden encontrar en tu cuenta de IdP. Para agregar un certificado manualmente, haz clic en el botón Agregar certificado. Se abrirá la ventana Nuevo Certificado. Introduce el certificado en el campo Certificado Público y haz clic en el botón OK.

Establece parámetros adicionales para los certificados marcando las casillas correspondientes.

Especifica qué firmas de solicitudes/respuestas enviadas del IdP al SP deben ser verificadas:

  • Verificar Firma de Respuesta de Autenticación - para verificar las firmas de las respuestas de autenticación SAML enviadas al SP.
  • Verificar Firma de Solicitud de Cierre de Sesión - para verificar las firmas de las solicitudes de cierre de sesión SAML enviadas al SP.
  • Verificar Firma de Respuesta de Cierre de Sesión - para verificar las firmas de las respuestas de cierre de sesión SAML enviadas al SP.

Selecciona el algoritmo necesario de la lista Algoritmo de Verificación de Firma Predeterminado: rsa-sha1, rsa-sha256 o rsa-sha512.

Las configuraciones predeterminadas se utilizan solo en casos donde los metadatos del IdP no especifican qué algoritmo debe utilizarse.

Puedes editar o eliminar los certificados agregados utilizando el enlace correspondiente.

Certificados del SP

Certificados del SP - esta sección te permite agregar los certificados del Proveedor de Servicios utilizados para firmar y cifrar las solicitudes y respuestas del SP.

Si tu IdP requiere que los datos de entrada sean firmados y/o cifrados, crea o agrega los certificados correspondientes en esta sección.

Haz clic en el botón Agregar certificado. Se abrirá la ventana Nuevo Certificado. Puedes generar un certificado autofirmado o agregar un certificado existente en el campo Certificado Público y la clave privada correspondiente en el campo Clave Privada. En la lista Usar para, selecciona una de las opciones disponibles: firmar, cifrar, firmar y cifrar. Cuando estés listo, haz clic en el botón OK.

Dependiendo del propósito del certificado seleccionado en la lista Usar para al cargar/generar el certificado, se especifican los parámetros adicionales del certificado. Los siguientes parámetros definen qué solicitudes/respuestas enviadas del SP al IdP deben ser firmadas:

  • Firmar Solicitudes de Autenticación - para que el SP firme las solicitudes de autenticación SAML enviadas al IdP.
  • Firmar Solicitudes de Cierre de Sesión - para que el SP firme las solicitudes de cierre de sesión SAML enviadas al IdP.
  • Firmar Respuestas de Cierre de Sesión - para que el SP firme las respuestas de cierre de sesión SAML enviadas al IdP.

Si has seleccionado la opción cifrar o firmar y cifrar en la lista Usar para, también se verifica el parámetro Descifrar Afirmaciones. El descifrado se realiza utilizando la Clave Privada correspondiente.

Selecciona los algoritmos necesarios de las listas:

  • Algoritmo de Firma: rsa-sha1, rsa-sha256 o rsa-sha512.
  • Algoritmo de Descifrado Predeterminado: aes128-cbc, aes256-cbc o tripledes-cbc.

Puedes editar o eliminar los certificados agregados utilizando el enlace correspondiente.

Mapeo de Atributos

Mapeo de Atributos - esta sección te permite establecer la correspondencia de los campos en el módulo Personas de ONLYOFFICE con los atributos de usuario, que serán devueltos desde el IdP. Cuando un usuario inicia sesión en el SP de ONLYOFFICE utilizando las credenciales de SSO, el SP de ONLYOFFICE recibe los atributos requeridos y completa los campos de nombre completo y dirección de correo electrónico en la cuenta de usuario con los valores recibidos del IdP. Si el usuario no existe en el módulo Personas, se creará automáticamente. Si la información del usuario ha cambiado en el lado del IdP, también se actualizará en el SP.

Los atributos disponibles son:

  • Nombre (campo obligatorio) - un atributo en un registro de usuario que corresponde al nombre del usuario.
  • Apellido (campo obligatorio) - un atributo en un registro de usuario que corresponde al apellido del usuario.
  • Correo Electrónico (campo obligatorio) - un atributo en un registro de usuario que corresponde a la dirección de correo electrónico del usuario.
  • Ubicación - un atributo en un registro de usuario que corresponde a la ubicación del usuario.
  • Título - un atributo en un registro de usuario que corresponde al título del usuario.
  • Teléfono - un atributo en un registro de usuario que corresponde al número de teléfono del usuario.
Configuraciones Avanzadas

La opción Ocultar página de autenticación te permite ocultar la página de autenticación predeterminada y redirigir automáticamente al servicio de SSO.

Importante Si necesitas restaurar la página de autenticación predeterminada (para poder acceder al portal si tu servidor IdP falla), puedes agregar la clave /Auth.aspx?skipssoredirect=true después del nombre de dominio de tu portal en la barra de direcciones del navegador.

Cuando todas las configuraciones estén especificadas en el Panel de Control, haz clic en el botón Guardar. Se abrirá la sección Metadatos de ONLYOFFICE SP.

Registrar ONLYOFFICE como un Proveedor de Servicios de confianza en tu Proveedor de Identidad

Ahora necesitas agregar ONLYOFFICE como un Proveedor de Servicios de confianza en tu cuenta IdP especificando los metadatos de ONLYOFFICE SP en el IdP.

Para recibir los datos necesarios, consulta la sección Metadatos de ONLYOFFICE SP de la página SSO. Verifica que los datos del SP sean accesibles públicamente. Para hacerlo, haz clic en el botón Descargar XML de Metadatos SP. El contenido del archivo XML se mostrará en una nueva pestaña del navegador. Guarda los datos como un archivo XML para poder subirlo al IdP.

Alternativamente, puedes copiar manualmente parámetros separados haciendo clic en el botón Copiar al portapapeles en los campos correspondientes.

Los siguientes parámetros están disponibles:

  • ID de Entidad SP (enlace a XML de metadatos) - la dirección URL del archivo XML del Proveedor de Servicios, que puede ser descargada y utilizada por el Proveedor de Identidad para identificar inequívocamente al SP. Por defecto, el archivo se encuentra en la siguiente dirección: http://example.com/sso/metadata, donde example.com es el nombre de dominio de tu portal ONLYOFFICE o IP pública.
  • URL de Consumidor de Aserciones SP (soporta enlace POST y Redirección) - la dirección URL del Proveedor de Servicios donde recibe y procesa las aserciones del Proveedor de Identidad. Por defecto, se utiliza la siguiente dirección: http://example.com/sso/acs, donde example.com es el nombre de dominio de tu portal ONLYOFFICE o IP pública.
  • URL de Cierre de Sesión Único SP (soporta enlace POST y Redirección) - la URL utilizada para el cierre de sesión único en el lado del Proveedor de Identidad. Es la dirección del punto final en tu SP donde recibe y procesa solicitudes/respuestas de cierre de sesión del Proveedor de Identidad. Por defecto, se utiliza la siguiente dirección: http://example.com/sso/slo/callback, donde example.com es el nombre de dominio de tu portal ONLYOFFICE o IP pública.
Estos parámetros y el contenido del XML difieren dependiendo de la configuración de tu portal, por ejemplo, si cambias tu portal a HTTPS o especificas un nombre de dominio, los parámetros también cambiarán, y necesitarás reconfigurar tu IdP.

Iniciar sesión en el SP de ONLYOFFICE

Después de habilitar y configurar el SSO, el proceso de inicio de sesión se realiza de la siguiente manera:

  1. Un usuario solicita acceso a ONLYOFFICE haciendo clic en el botón Inicio de sesión único (el texto puede diferir si has especificado tu propio texto al configurar el SP de ONLYOFFICE) en la página de Autenticación del portal de ONLYOFFICE (SSO iniciado por SP).
  2. Si todas las configuraciones del IdP y SP están correctamente establecidas, ONLYOFFICE envía la solicitud de autenticación al IdP y redirige al usuario a la página del IdP donde se le solicita las credenciales.
  3. Si el usuario no ha iniciado sesión en el IdP, proporciona las credenciales en el IdP.
  4. El IdP crea la respuesta de autenticación que contiene los datos del usuario y la envía a ONLYOFFICE.
  5. ONLYOFFICE recibe la respuesta de autenticación del Proveedor de Identidad y la valida.
  6. Si la respuesta es validada, ONLYOFFICE permite al usuario iniciar sesión (el usuario se creará automáticamente si falta, o los datos se actualizarán si han cambiado en el IdP).

También es posible usar la página de inicio de sesión en el lado del Proveedor de Identidad (SSO iniciado por IdP), ingresar las credenciales y luego acceder al portal de ONLYOFFICE sin reautenticación.

Cerrar sesión del SP de ONLYOFFICE

El cierre de sesión se puede realizar de 2 maneras disponibles:

  1. Desde el portal de ONLYOFFICE usando el menú Cerrar sesión (en este caso, la solicitud se enviará desde el IdP para cerrar sesión). El usuario también debe ser automáticamente desconectado del IdP en caso de que haya cerrado sesión de todas las demás aplicaciones previamente accedidas a través de la autenticación SSO.
  2. Desde la página de cierre de sesión del IdP.

Editando perfiles de usuario creados usando SSO

Los usuarios creados usando la autenticación SSO están marcados con el icono SSO en la lista de usuarios para el administrador del portal.

La posibilidad de editar dichos perfiles de usuario en el módulo Personas está restringida. Los campos de perfil de usuario que han sido creados usando la autenticación SSO están deshabilitados para la edición desde el módulo Personas. Los datos del usuario solo pueden ser cambiados en el lado del IdP.

Artículos con etiqueta:
Ver todas las etiquetas