Configuración de ONLYOFFICE SP y OneLogin IdP

Introducción

Inicio de sesión único (SSO) es una tecnología que permite a los usuarios iniciar sesión solo una vez y luego acceder a múltiples aplicaciones/servicios sin necesidad de autenticarse nuevamente.

El SSO siempre se garantiza mediante la operación conjunta de dos aplicaciones: un Proveedor de Identidad y un Proveedor de Servicios (en adelante denominados "IdP" y "SP"). ONLYOFFICE SSO implementa solo el SP. Muchos proveedores diferentes pueden actuar como IdP, pero este artículo considera la implementación de OneLogin.

Preparación de ONLYOFFICE Workspace para la configuración de SSO

1. Instale ONLYOFFICE Workspace v. 11.0.0 para Docker o cualquier versión posterior con soporte para SSO.
2. Agregue un nombre de dominio, por ejemplo, miportal-direccion.com.
3. En su portal, vaya al Panel de Control -> HTTPS, cree y aplique el certificado de letsencrypt para el cifrado del tráfico (para habilitar HTTPS en su portal).

Creación de un IdP en OneLogin

1. Regístrese en OneLogin, si aún no lo ha hecho.
2. Inicie sesión en OneLogin como administrador.
3. Vaya a la sección Administración.
4. Haga clic en el menú Aplicaciones. Haga clic en el botón Agregar App.
   
5. En el campo de búsqueda Buscar Aplicación, escriba el siguiente texto: SAML Custom Connector (Advanced):
   
6. Seleccione la opción encontrada.
7. En una nueva ventana que se abre, ingrese cualquier Nombre para Mostrar, por ejemplo, "IDP OneLogin Onlyoffice v11 Test", para distinguir esta aplicación de otras, reemplace los iconos con los suyos propios y haga clic en el botón Guardar.
   
8. Vaya al submenú Configuración y complete los campos de acuerdo con la tabla a continuación:
   Por favor, especifique su propio nombre de dominio o IP pública donde está alojado su ONLYOFFICE SP en lugar de miportal-direccion.com.
   

   Detalles de la Aplicación
   RelayState	https://miportal-direccion.com
   Audiencia (EntityID)	https://miportal-direccion.com/sso/
   Receptor	https://miportal-direccion.com/sso/acs
   Validador de URL de ACS (Consumer)*	^https:\/\/miportal-direccion\.com\/sso\/acs\/$
   URL de ACS (Consumer)*	https://miportal-direccion.com/sso/acs
   URL de Cierre de Sesión Único	https://miportal-direccion.com/sso/slo/callback
   Iniciador de SAML	Proveedor de Servicios
   Formato de nameID de SAML	Email
   Tipo de emisor de SAML	Específico
   Elemento de firma de SAML	Assertion
   Cifrar assertion	(marque esta casilla)
   Método de cifrado SAML	AES-128-CBC
   Firmar Solicitud de Cierre de Sesión Único	(marque esta casilla)
   Firmar Respuesta de Cierre de Sesión Único	(marque esta casilla)

   
9. Haga clic en el botón Guardar y vaya al submenú Parámetros.
   
10. Use el botón + para crear 5 parámetros (givenName, sn, mail, title, mobile). Marque la opción Incluir en la assertion SAML y especifique un valor de la lista Valor, adecuado para emitir desde el catálogo de campos del directorio LDAP, para todos ellos:
    
11. Una vez que complete todos los campos necesarios para los atributos de assertion SAML en el IdP, debería obtener un resultado casi igual al mostrado en la figura a continuación. Haga clic en el botón Guardar button.
    
12. Ve al submenú SSO. Elige un certificado válido de la lista de certificados haciendo clic en el enlace Cambiar, si tienes varios certificados. En el campo Algoritmo de Firma SAML, deja la opción SHA-1 y haz clic en el botón Guardar:
    
13. Copia el enlace del campo URL del Emisor (por ejemplo, https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) y ve al portal de ONLYOFFICE, iniciando sesión como administrador. Abre la página Panel de Control -> SSO.

Configuración de ONLYOFFICE SP

1. Asegúrate de haber iniciado sesión como Administrador en tu Panel de Control de ONLYOFFICE y haz clic en la pestaña SSO en la sección CONFIGURACIÓN DEL PORTAL en la barra lateral izquierda.
   Solo puedes registrar un proveedor de identidad empresarial para tu organización en el portal de ONLYOFFICE.
   
2. Habilita SSO usando el interruptor Habilitar Autenticación de Inicio de Sesión Único y pega el enlace copiado del URL del emisor de OneLogin en el campo URL al XML de Metadatos de IdP.
   

   Presiona el botón con la flecha hacia arriba para cargar los metadatos de IdP. El formulario de Configuración de ONLYOFFICE SP se completará automáticamente con tus datos del IdP de OneLogin.

3. En el campo Texto personalizado del botón de inicio de sesión, puedes ingresar cualquier texto en lugar del predeterminado (Inicio de Sesión Único). Este texto se mostrará en el botón utilizado para iniciar sesión en el portal con el servicio de Inicio de Sesión Único en la página de autenticación de ONLYOFFICE.
   
4. Ahora necesitas crear un certificado en la sección Certificados SP. Para hacerlo, haz clic en el botón Agregar certificado en la sección correspondiente.
   
5. En la ventana modal que se abre, haz clic en el enlace Generar Nuevo Certificado Autofirmado, y elige la opción firmar y cifrar en la lista Usar para. Antes de guardar el certificado, copia el texto del Certificado Público al portapapeles (será necesario para OneLogin), luego haz clic en el botón OK.
   
6. Deberías obtener un resultado similar:
   
7. No es necesario ajustar el formulario de Mapeo de Atributos ya que especificamos los mismos parámetros al crear OneLogin IdP. Se utilizan los siguientes valores:

   Nombre	givenName
   Apellido	sn
   Email	mail
   Ubicación	l
   Título	title
   Teléfono	mobile

   En la sección Configuración Avanzada, puedes marcar la opción Ocultar página de autenticación para ocultar la página de autenticación predeterminada y redirigir automáticamente al servicio SSO.

   ImportanteSi necesitas restaurar la página de autenticación predeterminada (para poder acceder al portal si tu servidor IDP falla), puedes añadir la clave /Auth.aspx?skipssoredirect=true después del nombre de dominio de tu portal en la barra de direcciones del navegador.
8. Haz clic en el botón Guardar. La sección Metadatos de ONLYOFFICE SP debería abrirse. Verifica que nuestra configuración esté públicamente disponible haciendo clic en el botón Descargar XML de Metadatos SP. Debería mostrarse el contenido del archivo XML.
9. Regresa a OneLogin para configurar el cifrado, abre tu aplicación y ve a la configuración de Configuración. Desplázate hacia abajo en la página: debería aparecer el nuevo campo Cifrado SAML para ingresar una clave de cifrado. Pega el texto del Certificado Público copiado del paso 4 de esta instrucción en este campo y haz clic en el botón Guardar:
   

Creación de usuarios en OneLogin y otorgándoles acceso a ONLYOFFICE

Para crear usuarios en OneLogin y proporcionarles acceso a nuestro ONLYOFFICE SP, realiza los siguientes pasos:

1. ve a Todos los Usuarios de OneLogin página, iniciando sesión como administrador,
   
2. crear un nuevo usuario o editar uno existente,
3. ir al submenú Aplicaciones y hacer clic en el botón +,
4. seleccionar nuestra aplicación recién creada de la lista y hacer clic en CONTINUAR,
   
5. en una nueva ventana que se abre, agregar los datos faltantes y hacer clic en el botón GUARDAR,
   
6. ahora el usuario puede trabajar en ONLYOFFICE SP.

Comprobando el funcionamiento de ONLYOFFICE SP con OneLogin IdP

Iniciando sesión en ONLYOFFICE desde el lado SP

1. Ir a la página de Autenticación de ONLYOFFICE (por ejemplo, https://miportal-direccion.com/Auth.aspx).
2. Hacer clic en el botón Inicio de sesión único (el texto puede diferir si has especificado tu propio texto al configurar ONLYOFFICE SP). Si el botón no está presente, significa que el SSO no está habilitado.
   
3. Si todos los parámetros del SP y del IdP están configurados correctamente, seremos redirigidos al formulario de inicio de sesión de OneLogin IdP:
   
4. Introducir el usuario y la contraseña del usuario que tiene acceso concedido al ONLYOFFICE SP y hacer clic en el botón INICIAR SESIÓN.
5. Si las credenciales son correctas, seremos redirigidos a la página principal del portal (el usuario se creará automáticamente si no existe, o los datos se actualizarán si se han cambiado en el IDP).
   

Cerrando sesión en ONLYOFFICE SP

1. Un usuario de SSO puede cerrar sesión en el portal de ONLYOFFICE usando el menú Cerrar sesión. El usuario también debería cerrar sesión automáticamente del OneLogin IdP en caso de que cierre sesión de todas las demás aplicaciones a las que se le ha concedido acceso en OneLogin y a las que haya iniciado sesión previamente.
   
2. Si cerraste sesión correctamente, serás redirigido a la página de autenticación del portal.
   
3. Si haces clic en el botón Inicio de sesión único una vez más, serás redirigido nuevamente a la página de inicio de sesión de OneLogin (esto significa que cerraste sesión correctamente del portal):
   

Perfiles para usuarios añadidos con autenticación SSO

La posibilidad de editar perfiles de usuario creados utilizando la autenticación SSO está restringida. Los campos del perfil de usuario recibidos del IdP están deshabilitados para edición (es decir, Nombre, Apellido, Correo electrónico, Título y Ubicación). Puedes editar estos campos solo desde tu cuenta IdP.

La figura a continuación muestra el menú de Acciones para un usuario SSO:

La siguiente figura muestra un perfil de usuario SSO abierto para edición:

Los usuarios creados utilizando la autenticación SSO están marcados con el icono SSO en la lista de usuarios para los administradores del portal: