Inicio
Workspace
Administración
Conexión de servicios externos
Habilitar inicio de sesión único para la versión SaaS

Este artículo está traducido por IA

Habilitar inicio de sesión único para la versión SaaS

Introducción

Si tu plan de servicio SaaS incluye esta función, la sección de Inicio de Sesión Único te permite habilitar la autenticación de terceros usando SAML, proporcionando así una forma más rápida, sencilla y segura de acceder al portal para los usuarios.

Generalmente, la tecnología de Inicio de Sesión Único permite a los usuarios iniciar sesión una sola vez y luego acceder a múltiples aplicaciones/servicios sin necesidad de autenticación adicional. Por ejemplo, si un portal web incluye varias secciones grandes e independientes (foro, chat, blogs, etc.), un usuario puede realizar el procedimiento de autenticación en uno de los servicios y obtener automáticamente acceso a todos los demás servicios sin tener que ingresar sus credenciales varias veces.

Registrar tu Proveedor de Identidad en el Proveedor de Servicios de ONLYOFFICE

Un Proveedor de Identidad (IdP) es un servicio que crea, mantiene y gestiona la información de identidad del usuario y proporciona autenticación de usuario a otros Proveedores de Servicios dentro de una federación. Servicios como OneLogin, ADFS, etc. actúan como Proveedores de Identidad. Un Proveedor de Servicios (SP) es una entidad que proporciona servicios web y confía en un Proveedor de Identidad de confianza para la autenticación del usuario. En nuestro caso, el Proveedor de Servicios es ONLYOFFICE.

Puedes habilitar SSO sobre la base de SAML para el intercambio de datos de autenticación/autorización entre un Proveedor de Identidad y un Proveedor de Servicios:

SAML (Security Assertion Markup Language) - un estándar XML que permite la transmisión de datos de autenticación/autorización de usuario entre un proveedor de identidad y un proveedor de servicios a través de tokens de seguridad que contienen afirmaciones.

La seguridad mejorada se habilita por el hecho de que ONLYOFFICE no almacena las contraseñas de los usuarios; utiliza los resultados de la autenticación en el lado del Proveedor de Identidad. Toda la información necesaria del usuario se transmite a través de un token de autenticación. Si la información del usuario cambia en el lado del Proveedor de Identidad, se actualizará automáticamente en el portal durante la próxima autenticación SSO (ten en cuenta que los datos solo pueden sincronizarse en una dirección: del Proveedor de Identidad a ONLYOFFICE Workspace).

Después de que el Proveedor de Identidad y el ONLYOFFICE Workspace estén configurados mutuamente para asegurar SSO, el proceso de autenticación SSO del usuario se realizará en el lado del Proveedor de Identidad. El ONLYOFFICE Workspace recibirá un token de autenticación (SAML) del Proveedor de Identidad. Después de que el token sea validado (usando firmas digitales y la duración del token), el ONLYOFFICE Workspace permitirá al usuario acceder al portal.

Habilitar SSO

Para habilitar y configurar la autenticación SSO para tu portal, procede de la siguiente manera:

Verifica la configuración del Proveedor de Identidad antes de ajustar el Proveedor de Servicios.

Ve a la página de Configuración del portal. Para hacerlo, haz clic en el icono en la esquina superior derecha.
En la sección Integración en la barra lateral izquierda, haz clic en el enlace Inicio de Sesión Único.
Activa el interruptor Habilitar Autenticación de Inicio de Sesión Único bajo el título Inicio de Sesión Único.
Rellena los campos requeridos en la sección Configuración de SP de ONLYOFFICE. La información necesaria puede especificarse de varias maneras diferentes:
- Introduce la dirección URL al archivo de metadatos. Si los metadatos de tu IdP son accesibles desde el exterior mediante el enlace, inserta el enlace en el campo URL a XML de Metadatos de IdP y haz clic en el botón de flecha para cargar los datos. Cuando los datos se carguen, todos los parámetros requeridos se mostrarán automáticamente en el formulario extendido.
- Sube el archivo de metadatos. Si tu IdP proporciona un archivo de metadatos, usa el botón Seleccionar archivo para buscar el archivo almacenado en tu máquina local. Cuando se suba el archivo, todos los parámetros requeridos se mostrarán automáticamente en el formulario extendido.
- Especifica los parámetros requeridos manualmente. Si el archivo de metadatos no está disponible, introduce los parámetros necesarios manualmente. Para obtener los valores necesarios, por favor contacta a tu administrador de IdP.

Los siguientes parámetros están disponibles:

IdP Entity Id (campo obligatorio) - el identificador del Proveedor de Identidad o dirección URL que será utilizada por el Proveedor de Servicios para identificar inequívocamente al IdP.
Por ejemplo, https://example.com/idp/shibboleth

donde example.com es el nombre de dominio de tu servicio SSO.
URL de Endpoint de Inicio de Sesión Único de IdP (campo obligatorio) - la URL utilizada para el inicio de sesión único en el lado del Proveedor de Identidad. Es la dirección del endpoint en tu IdP a la que el SP envía solicitudes de autenticación.
Establece el tipo de Binding necesario seleccionando uno de los botones de radio correspondientes. Los bindings especifican la forma en que las solicitudes y respuestas de autenticación se transmiten entre el IdP y el SP sobre el protocolo de transporte subyacente: usando el binding HTTP POST o HTTP Redirect.
URL de Endpoint de Cierre de Sesión Único de IdP - la URL utilizada para el cierre de sesión único en el lado del Proveedor de Servicios. Es la dirección del endpoint en tu IdP a la que el SP envía solicitudes/respuestas de cierre de sesión.
Establece el tipo de Binding necesario seleccionando uno de los botones de radio correspondientes. Los bindings especifican la forma en que las solicitudes y respuestas de cierre de sesión se transmiten entre el IdP y el SP sobre el protocolo de transporte subyacente: usando el binding HTTP POST o HTTP Redirect.
Formato de NameId - el parámetro NameID permite al SP identificar a un usuario. Selecciona uno de los formatos disponibles de la lista.

Es posible personalizar el botón utilizado para iniciar sesión en el portal con el servicio de Inicio de Sesión Único en la página de autenticación de ONLYOFFICE. Puedes hacerlo usando el campo Título personalizado del botón de inicio de sesión en la sección Configuración de SP de ONLYOFFICE.

También puedes agregar los certificados de IdP y SP.

Certificados Públicos de IdP

Certificados Públicos de IdP - esta sección te permite agregar los certificados públicos del Proveedor de Identidad utilizados por el SP para verificar las solicitudes y respuestas del IdP.

Si has cargado los metadatos del IdP, estos certificados se agregarán automáticamente a tu portal. De lo contrario, los certificados se pueden encontrar en tu cuenta de IdP. Para agregar un certificado manualmente, haz clic en el botón Agregar certificado. Se abrirá la ventana Nuevo Certificado. Introduce el certificado en el campo Certificado Público y haz clic en el botón OK.

Establece parámetros adicionales para los certificados marcando las casillas correspondientes.

Especifica qué firmas de solicitudes/respuestas enviadas del IdP al SP deben ser verificadas:

Verificar Firma de Respuestas de Autenticación - para verificar las firmas de las respuestas de autenticación SAML enviadas al SP.
Verificar Firma de Solicitudes de Cierre de Sesión - para verificar las firmas de las solicitudes de cierre de sesión SAML enviadas al SP.
Verificar Firma de Respuestas de Cierre de Sesión - para verificar las firmas de las respuestas de cierre de sesión SAML enviadas al SP.

Selecciona el algoritmo necesario de la lista Algoritmo de Verificación de Firma Predeterminado: rsa-sha1, rsa-sha256 o rsa-sha512.

Los ajustes predeterminados se utilizan solo en casos donde los metadatos del IdP no especifican qué algoritmo debe usarse.

Puedes editar o eliminar los certificados agregados usando el enlace correspondiente.

Certificados de SP

Certificados de SP - esta sección te permite agregar los certificados del Proveedor de Servicios utilizados para firmar y cifrar las solicitudes y respuestas del SP.

Si tu IdP requiere que los datos de entrada sean firmados y/o cifrados, crea o agrega los certificados correspondientes en esta sección.

Haz clic en el botón Agregar certificado. Se abrirá la ventana Nuevo Certificado. Puedes generar un certificado autofirmado o agregar un certificado existente en el campo Certificado Público y la clave privada correspondiente en el campo Clave Privada. En la lista Usar para, selecciona una de las opciones disponibles: firmar, cifrar, firmar y cifrar. Cuando estés listo, haz clic en el botón OK.

Dependiendo del propósito del certificado seleccionado en la lista Usar para al cargar/generar el certificado, se especifican los parámetros adicionales del certificado. Los siguientes parámetros definen qué solicitudes/respuestas enviadas del SP al IdP deben ser firmadas:

Firmar Solicitudes de Autenticación - para que el SP firme las solicitudes de autenticación SAML enviadas al IdP.
Firmar Solicitudes de Cierre de Sesión - para que el SP firme las solicitudes de cierre de sesión SAML enviadas al IdP.
Firmar Respuestas de Cierre de Sesión - para que el SP firme las respuestas de cierre de sesión SAML enviadas al IdP.

Si has seleccionado la opción cifrar o firmar y cifrar en la lista Usar para, también se verifica el parámetro Descifrar Afirmaciones. El descifrado se realiza usando la Clave Privada correspondiente.

Selecciona los algoritmos necesarios de las listas:

Algoritmo de Firma: rsa-sha1, rsa-sha256 o rsa-sha512.
Algoritmo de Descifrado Predeterminado: aes128-cbc, aes256-cbc o tripledes-cbc.

Puedes editar o eliminar los certificados agregados usando el enlace correspondiente.

Mapeo de Atributos

Mapeo de Atributos - esta sección te permite establecer la correspondencia de los campos en el módulo Personas de ONLYOFFICE con los atributos de usuario, que serán devueltos desde el IdP. Cuando un usuario inicia sesión en el SP de ONLYOFFICE usando las credenciales de SSO, el SP de ONLYOFFICE recibe los atributos requeridos y llena los campos de nombre completo y dirección de correo electrónico en la cuenta de usuario con los valores recibidos del IdP. Si el usuario no existe en el módulo Personas, se creará automáticamente. Si la información del usuario ha cambiado en el lado del IdP, también se actualizará en el SP.

Los atributos disponibles son:

Nombre (campo obligatorio) - un atributo en un registro de usuario que corresponde al nombre del usuario.
Apellido
Apellido (campo obligatorio) - un atributo en un registro de usuario que corresponde al segundo nombre del usuario.
Email (campo obligatorio) - un atributo en un registro de usuario que corresponde a la dirección de correo electrónico del usuario.
Ubicación - un atributo en un registro de usuario que corresponde a la ubicación del usuario.
Título - un atributo en un registro de usuario que corresponde al título del usuario.
Teléfono - un atributo en un registro de usuario que corresponde al número de teléfono del usuario.

Configuraciones avanzadas

La opción Ocultar página de autenticación te permite ocultar la página de autenticación predeterminada y redirigir automáticamente al servicio SSO.

Importante Si necesitas restaurar la página de autenticación predeterminada (para poder acceder al portal si tu servidor IDP falla), puedes añadir la clave /Auth.aspx?skipssoredirect=true después del nombre de dominio de tu portal en la barra de direcciones del navegador.

Cuando todas las configuraciones estén especificadas en tu portal, haz clic en el botón Guardar. Se abrirá la sección Metadatos SP de ONLYOFFICE.

Registrar ONLYOFFICE como un Proveedor de Servicios de confianza en tu Proveedor de Identidad

Ahora necesitas añadir ONLYOFFICE como un Proveedor de Servicios de confianza en tu cuenta IdP especificando los metadatos SP de ONLYOFFICE en el IdP.

Para recibir los datos necesarios, consulta la sección Metadatos SP de ONLYOFFICE de la página SSO. Verifica que los datos SP sean accesibles públicamente. Para hacerlo, haz clic en el botón Descargar XML de Metadatos SP. El contenido del archivo XML se mostrará en una nueva pestaña del navegador. Guarda los datos como un archivo XML para poder subirlo al IdP.

Alternativamente, puedes copiar manualmente parámetros separados haciendo clic en el botón Copiar al portapapeles en los campos correspondientes.

Los siguientes parámetros están disponibles:

ID de Entidad SP (enlace al XML de metadatos) - la dirección URL del XML del Proveedor de Servicios, que puede ser descargada y utilizada por el Proveedor de Identidad para identificar inequívocamente al SP. Por defecto, el archivo se encuentra en la siguiente dirección: http://example.com/sso/metadata, donde example.com es el nombre de dominio de tu portal ONLYOFFICE o IP pública.
URL de Consumidor de Aserciones SP (soporta enlace POST y Redirección) - la dirección URL del Proveedor de Servicios donde recibe y procesa aserciones del Proveedor de Identidad. Por defecto, se utiliza la siguiente dirección: http://example.com/sso/acs, donde example.com es el nombre de dominio de tu portal ONLYOFFICE o IP pública.
URL de Cierre de Sesión Única SP (soporta enlace POST y Redirección) - la URL utilizada para el cierre de sesión único en el lado del Proveedor de Identidad. Es la dirección del punto final en tu SP donde recibe y procesa solicitudes/respuestas de cierre de sesión del Proveedor de Identidad. Por defecto, se utiliza la siguiente dirección: http://example.com/sso/slo/callback donde example.com es el nombre de dominio de tu portal ONLYOFFICE o IP pública.

Estos parámetros y contenidos XML difieren dependiendo de la configuración de tu portal, por ejemplo, si cambias tu portal a HTTPS o especificas un nombre de dominio, los parámetros también cambiarán y necesitarás reconfigurar tu IdP.

Iniciar sesión en el SP de ONLYOFFICE

Después de habilitar y configurar el SSO, el proceso de inicio de sesión se realiza de la siguiente manera:

Un usuario solicita acceso a ONLYOFFICE haciendo clic en el botón Inicio de sesión único (el texto puede diferir si has especificado tu propio texto al configurar el SP de ONLYOFFICE) en la página de Autenticación del portal de ONLYOFFICE (SSO iniciado por SP).
Si todas las configuraciones del IdP y SP están correctamente establecidas, ONLYOFFICE envía la solicitud de autenticación al IdP y redirige al usuario a la página del IdP donde se solicitan las credenciales.
Si el usuario no ha iniciado sesión en el IdP, proporciona las credenciales en el lado del IdP.
El IdP crea la respuesta de autenticación que contiene los datos del usuario y la envía a ONLYOFFICE.
ONLYOFFICE recibe la respuesta de autenticación del Proveedor de Identidad y la valida.
Si la respuesta es validada, ONLYOFFICE permite al usuario iniciar sesión (el usuario se creará automáticamente si falta, o los datos se actualizarán si han cambiado en el IdP).

También es posible usar la página de inicio de sesión en el lado del Proveedor de Identidad (SSO iniciado por IdP), ingresar credenciales y luego acceder al portal de ONLYOFFICE sin reautenticación.

Cerrar sesión en el SP de ONLYOFFICE

El cierre de sesión se puede realizar de dos maneras:

Desde el portal de ONLYOFFICE usando el menú Cerrar sesión (en este caso, la solicitud se enviará desde el IdP para cerrar sesión). El usuario también debería cerrar sesión automáticamente del IdP cuando cierre sesión de todas las demás aplicaciones previamente accedidas mediante autenticación SSO.
Desde la página de cierre de sesión del IdP.

Editando perfiles de usuario creados usando SSO

Los usuarios creados usando la autenticación SSO están marcados con el icono SSO en la lista de usuarios para el administrador del portal.

La posibilidad de editar dichos perfiles de usuario en el módulo Personas está restringida. Los campos del perfil de usuario que han sido creados usando la autenticación SSO están deshabilitados para edición desde el módulo Personas. Los datos del usuario solo pueden ser cambiados en el lado del IdP.