Aperçu d'authentification unique ONLYOFFICE

Control Panel v3.5 ONLYOFFICE Control Panel changelog

Open in new window

Version 3.5.2

Release date: 02/29/2024

General

• Added the ability to restrict access rights to the application files for the Others group.
• Fixed issue with redirect to the portal main page when opening Control Panel after a day on Ubuntu 22.10.
• Fixed retrieving data error when opening the backup page.
• Fixed issue when backup with Mail is not performed after disabling and enabling encryption (added text about stopping services and the instruction to the Help Center).
• Fixed issue when features are not saved to the new tariff when setting a quota for the portal.
• Edited sources build.

Version 3.5

Release date: 03/14/2023

General

• Changed API methods for migration, implemented progressQueue.
• Changed settings for connecting third-party storages. Added tooltips for fields. Added the 'Server Side Encryption Method' block for Amazon AWS S3.
• Added logos for dark theme in the Branding section. Logos for the About page are now separate fields in the Advanced tab.
• Added the ability to set the portal memory quota.

Version 3.1.1

Release date: 08/08/2022

General

• Fixed issue with file indexing.
• Fixed elasticsearch container errors when updating ONLYOFFICE Groups.
• Fixed issue with brand logos after updating in the Docker installation.
• Fixed texts and layout for the Migration feature.

Version 3.1

Release date: 05/25/2022

General

• Added the Data Import page that allows to import data from Nextcloud, ownCloud and GoogleWorkspace to ONLYOFFICE Workspace.
• Moved Elasticsearch to a separate container.
• Fixed bugs.

Version 3.0

Release date: 06/07/2021

Update

• License agreement dialog when installing docker components added.
• The inactive button with an action for uninstalled components (downloading and installing the available version) fixed.

Search

• Indexing progress display added.

LoginHistory and AuditTrail

• New empty screens added.

Restore

• New checks when restoring data from a local or a 3rd party storage.

SSO

• SSOAuth was removed from Control Panel. It's now available as a portal setting in Community Server.

General improvements and bug fixes

• Bugs 47721, 49101, 49187, 49273, 49272, 49324, 46386, 49585 from the internal bugtracker fixed.
• 3rd party licenses and copyright updated.

Version 2.9.1

Release date: 12/10/2020

Bug fixes

• Bug Fixes & Performance Improvements.

Version 2.9

Release date: 10/14/2020

General

• Control Panel is available in the free Community version with all settings excepting the editors logo replacement;
• Added the vsyscall check to the installation scripts when installing Mail Server on Debian with kernel 4.18.0 and later;
• Redesign of the navigation menu: added Common and Portal settings sections, added icons to menu items;
• Added the advanced rebranding page in the Common Settings;
• Added the possibility to reindex the full-text search;
• Updated node.js, updated packages (transition to samlify for SSO);
• Added the Encryption at rest block in the Storage section;
• Added the Private Room section for the server version only;
• Added the upgrade page with a proposal to upgrade to Enterprise Edition;
• Added the activate page with a possibility to upload a license file;
• Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

LDAP

• Added the Sign in to domain option on the authorization page.

Single Sign-on

• Transition to the new samlify library;
• Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

Version 2.7

Release date: 04/25/2019

LDAP

• Added more fields mapped for the users loaded via LDAP: user photo, birthday, contacts, primary phone number;
• Added the setting to autosync LDAP on schedule;
• Added the possibility to give administrator rights to the user group at the portal via LDAP;
• Updated the rules for LDAP users.

Version 2.5.1

Release date: 04/07/2018

LDAP

• Fixed the Server internal error error when using the groups enclosed inside each other in the AD (bug #37414).

Single Sign-on

• Fixed the issue when the user data between the Service Provider and the portal was transferred via HTTP only, even when HTTPS was enabled.

Version 2.4.0

Release date: 01/13/2018

Single Sign-on

• Fixed the Invalid ssoConfig error which occurred when the link to the IdP contained the question mark '?', e.g.: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
• Fixed the Invalid authentication token error which prevented from adding a user to the portal using the AD FS, in case the + or - characters were present when sending the encrypted data.

Version 2.3.0

Release date: 12/15/2017

General

• Added the changelog for Control Panel and link to it;
• Fixed the bug when JWT parameters were not sent when updating Document Server(bug #36270);
• Fixed the bug when Audit Trail heading was present at the login history page (bug #36026);
• The current machine is now checked for being linked with the domain name for multiple portals.

LDAP

• Fixed the bug with the LDAP Domain not found error which occurred if the DN record had no DC records (the users with Sun/Oracle DS were affected); now if the LDAP domain could not be specified, the LDAP domain will acquire the unknown value or the ldap.domain value from the web.appsettings.config configuration file;
• Fixed the bug with the Sizelimit Exceeded error when trying to get more than 1000 users from the Active Directory;
• Increased the login speed with the Group Membership setting enabled;
• Added additional logging;
• Fixed the bug with LDAP operation hanging when using Mono v5.2.0 and older;
• Fixed the bug with the error when trying to login using the email address entered in the fields different from the Mail Attribute;
• Fixed the bug occurring in the enclosed groups, when the users were displayed not in all groups.

Version 2.2.0

Release date: 10/31/2017

General

• Added the documentserver-prepare4shutdown.sh script launch when updating the document-server for the correct edited document saving.

LDAP

• Dramatically changed LDAP integration, migrated to the single library for the work with LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
• Login and email are now split into two separate fields;
• Added the support for big data;
• Increased the work speed via the LDAP protocol (the connection to the server and receiving the data is now made once per session, added the limits when only a certain number of results is necessary, fixed the slow login for bit data, removed the sorting out used to find the SID parameter);
• Fixed the user re-creation issue;
• Fixed the duplicate username issue;
• Fixed the already existing email issue;
• Replaced the LDAP user deletion with account deactivation (for further data migration and data safety);
• Instead of re-creating a user with an unknown SID but an existing email the data is updated;
• Added the attempt to save the correct UserName/Login in case a similar one is already taken on the portal.

Single Sign-on

• Added the AD FS support;
• Replaced the Single Sign-on link at the authorization page with the customizable button, added the button customization to the SSO setting of the Control Panel.

Version 2.1.0

Release date: 07/03/2017

HTTPS

• Added the support of letsencrypt service for the domain certificate generation.

Single Sign-on

• Added the new sso.auth service;
• Added the new SSO settings page;
• Added the support for Shibboleth.

Version 2.0.0

Release date: 05/25/2017

General

• The Control Panel migrated from MVC to Node.js.

Version 1.6.0

Release date: 12/05/2016

LDAP

• Added LDAP synchronization for users and groups when saving the settings, after login and using the Sync button;
• Changed email formation for LDAP users;
• Fixed the problem of creation of users with invalid emails;
• Fixed the problem of duplicate users;
• Added icons and hints to the users in the list for the admin;
• Blocked for editing the user profile fields imported using LDAP;
• Added the real LDAP password saving to the database during login in case LDAP Auth is disabled, now the LDAP users will become common portal users when LDAP Auth is disabled;
• Added new API Settings method - Sync LDAP;
• Added new translations;
• Bug fixes.

Version for Windows

• Made changes at the Update page for the Control Panel for Windows;
• Updates are performed using the downloaded installation packages for each module.
• The current installed component version numbers are obtained via API request to the Community Server.
• The new versions available for download are obtained via the request to the https://download.onlyoffice.com/install/windows/updates.txt file, where all the latest component version numbers and links for their download are stored in the JSON format.

Introduction

La fonctionnalité Authentification unique (Single Sign-on) est disponible depuis le Panneau de configurationSi cette fonctionnalité est inclus dans votre forfait pour le bureau en ligne, la section Authentification unique (Single Sign-on) permet d'activer les services d'authentification tiers en utilisant les services SSO disponibles (Shibboleth, OneLogin, ou Active Directory Federation Services).Le protocole SAML fournit un accès rapide, facile et sécurisé pour les utilisateurs du portail.

En général, Authentification unique ou Single Sign-On (SSO) est la fonction qui permet aux utilisateurs de s'authentifier une seule fois et d'obtenir accès à plusieurs applications/services autorisés sans contrainte de renseigner à nouveau les informations d'identification. Par ex., quand un portail web comprend plusieurs sections indépendantes (forum, chat, blogue etc.), une fois connecté à un service, l'utilisateur est automatiquement connecté aux autres et n'a plus besoin de se connecter aux différentes applications une par une.

1. Sur votre portail ONLYOFFICE, passez au Panneau de configuration et accédez à la page Authentification unique depuis la section PARAMÈTRES DU PORTAIL sur la barre latérale gauche. Passez à la page Paramètres. Pour ce faire, cliquez sur l'icône dans le coin supérieur gauche.
2. Dans la section Intégration de la barre latérale gauche, cliquez sur Authentification unique.
3. Activez l'option Activer l'authentification unique. Activez l'optionActiver l'authentification unique au-dessous du titre section Authentification unique.
4. Remplissez les champs obligatoires depuis la section Les paramètres du fournisseur de service ONLYOFFICE. Il est possible de fournir les informations obligatoires de différentes façons:
   • Saisissez l'adresse URL vers le fichier de métadonnées. S'il est possible d'accéder aux métadonnées du fournisseur d'identité de l'extérieur, insérez le lien dans le champ L'URL vers le fichier XML de métadonnées et cliquez sur la flèche Télécharger les données pour charger les données. Une fois les données chargés, tous les champs obligatoires du formulaire seront remplis automatiquement.
   • Charger un fichier de métadonnées. Si votre fournisseur d'identité met à la disposition un fichier de métadonnées, utiliser le bouton Sélectionner fichier pour rechercher le fichier sur votre disque local. Une fois le fichier chargé, tous les champs obligatoires du formulaire seront remplis automatiquement.
   • Configurer les paramètres manuellement. Si aucun fichier de métadonnées n'est disponible, configurez les paramètres manuellement. Veuillez contacter l'administrateur du fournisseur d'identité pour obtenir tous les données nécessaires.

Les paramètres disponibles:

• ID d'entité du fournisseur d'identités (champ obligatoire) - l'identifiant ou l'adresse URL du fournisseur d'identité que le fournisseur de service va utiliser pour identifier fournisseur d'identité sans équivoque.
  https://example.com/idp/shibboleth

  où, example.com est le nom de domaine de votre service d'authentification unique

• URL du point de terminaison d'authentification unique IdP (champ obligatoire) - l'URL qui est utilisé pour l'authentification unique sur le côté du fournisseur d'identité. C'est l'adresse de terminaison du fournisseur d'identité à laquelle le fournisseur de service envoie les requêtes d'authentification.

  Sélectionnez le type de Liaison en cochant le bouton radio approprié. Liaison détermine le méthode de requête d'authentification et de réponse entre le fournisseur d'identité et le fournisseur de service via le protocole de transport utilisé: HTTP POST ou HTTP Rediriger.

• URL du point de terminaison de déconnexion unique IdP - l'URL qui est utilisé pour une déconnexion unique sur le côté du fournisseur de service. C'est l'adresse de terminaison du fournisseur d'identité à laquelle le fournisseur de service envoie les requêtes/réponses de déconnexion.

  Sélectionnez le type de Liaison en cochant le bouton radio approprié. Liaison détermine le méthode de requête de déconnexion et de réponse entre le fournisseur d'identité et le fournisseur de service via le protocole de transport utilisé: HTTP POST ou HTTP Rediriger.

• Format de NameID - le paramètre NameID permet au fournisseur de service d'identifier l'utilisateur. Sélectionnez le format approprié de la liste des formats prédéfinis.

Vous pouvez également ajouter les certificats publics du fournisseur d'identités et du fournisseur de service.

Certificats publics du fournisseur d'identités

Certificats publics du fournisseur d'identités cette section permet d'ajouter les certificats publics du fournisseur d'identité qui sont utilisés par le fournisseur de service pour la vérification des requêtes et des réponses envoyées par le fournisseur d'identité.

Une fois les métadonnées du fournisseur d'identité téléchargés, ces certificats seront ajoutés automatiquement au Panneau de configurationde votre portail . Sinon, vous pouvez retrouver les certificats sur votre compte chez fournisseur d'identité. Pour ajouter un certificat manuellement, cliquez sur le bouton Ajouter un certificat. La fenêtre Nouveau certificat s'affiche. Saisissez le certificat dans le champ Certificat public et cliquez sur OK.

Activez les options appropriées pour paramétrer les certificats.

Définissez les signatures de requêtes/réponses que le fournisseur d'identité envoie au fournisseur de service à vérifier.

• Vérifier la signature des réponses d'authentificationVérifier la signature des réponses d'authentification - pour vérifier les signatures des réponses d'authentification SAML envoyées au fournisseur de service.
• Vérifier la signature des demandes de déconnexionVérifier la signature des demandes de déconnexion - pour vérifier les signatures des demandes de déconnexion SAML envoyées au fournisseur de service.
• Vérifier les réponses de la signature de déconnexionVérifier les réponses de la signature de déconnexion - pour vérifier les signatures des réponses de déconnexion SAML envoyées au fournisseur de service.

Sélectionnez l'algorithme approprié de la liste Algorithme de la vérification de signature par défautAlgorithme de la vérification de signature par défaut : rsa-sha1, rsa-sha256 or rsa-sha512.

Vous pouvez modifier ou supprimer les certificats ajoutés en utilisant les options appropriées.

Certificats publics du fournisseur de service

Certificats publics du fournisseur de service cette section permet d'ajouter les certificats publics qui sont utilisés pour signer et chiffrer les requêtes et les réponses du fournisseur de service.

Si votre fournisseur d'identité exige que des données d'entrée soient signés et/ou chiffrés, créez ou ajoutez les certificats appropriés depuis cette section.

Cliquez sur le bouton Ajouter un certificat. La fenêtre Nouveau certificat s'affiche. Vous pouvez générer un nouveau certificat auto-signé ou ajouté un certificat existant dans le champ Certificat public et la clé privée dans le champ Clé privée. Dans la liste déroulante Utiliser pour, sélectionnez l'une des options disponibles: signature, chiffrer, signature et chiffrement. Une fois que vous avez terminé, cliquez sur OK.

Les paramètres supplémentaires qui sont définis pendant le téléchargement/la génération du certificat dépendent du but choisi de la liste Utiliser pour. Les options ci-dessous sont utilisées pour définir les requêtes/réponses qui sont envoyées par le fournisseur de service au fournisseur d'identité à signer:

• Signer la demande de connexionSigner la demande de connexion - le fournisseur de service doit signer la requête d'authentification SAML envoyée au fournisseur d'identité.
• Signer la demande de déconnexion - le fournisseur de service doit signer la demande de déconnexion SAML envoyée au fournisseur d'identité.
• Signer les réponses de fermeture de session - le fournisseur de service doit signer les réponses de fermeture de session SAML envoyées au fournisseur d'identité.

Si vous avez sélectionné les options chiffrer ou signature et chiffrement dans la liste Utiliser pour, l'option Déchiffrer les assertions est activée. La Clé privée appropriée est utilisée pour le déchiffrement.

Sélectionnez les algorithmes appropriés dans la liste:

• Algorithme de signature: rsa-sha1, rsa-sha256 or rsa-sha512.
• Algorithme de déchiffrement par défautAlgorithme de déchiffrement par défaut: aes128-cbc, aes256-cbc or tripledes-cbc.

Vous pouvez modifier ou supprimer les certificats ajoutés en utilisant les options appropriées.

Mappage d'attributs

Mappage d'attributs - cette section permet de synchroniser les données du module ONLYOFFICE Personnes avec les attributs renvoyés par le fournisseur d'identité. Lorsque l'utilisateur se connecte au fournisseur de service ONLYOFFICE en utilisant les informations d'identification SSO, le fournisseur de service ONLYOFFICE reçoit des attributs et remplit les champs Nom complet et Adresse email selon des renseignements fournis par le fournisseur d'identité. Si le profil utilisateur est manquant sur le module Personnes, ce-ci sera crée automatiquement. Une fois modifiés dans le système du fournisseur d'identité, les données d'utilisateur seront automatiquement mis à jour dans le système du fournisseur de service.

Les attributs disponibles sont les suivantes:

• Prénom (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant au prénom d'utilisateur.
• Nom (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant au nom d'utilisateur.
• Email (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant à l'adresse e-mail d'utilisateur.
• Emplacement (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant à l'emplacement d'utilisateur.
• Titre - l'attribut de la fiche d'utilisateur correspondant au titre d'utilisateur.
• Téléphone - l'attribut de la fiche d'utilisateur correspondant au numéro de téléphone d'utilisateur.

Paramètres avancés

L'option Masquer une page d'authentification permet de masquer la page d'authentification par défaut et rediriger vers le service d'authentification unique.

Une fois paramétré depuis le Panneau de configurationdu portail, cliquez sur Enregistrer. La section Les métadonnées du fournisseur de service ONLYOFFICE s'affiche.

Enregistrer ONLYOFFICE en tant que fournisseur de service fiable.

Maintenant, il faut ajouter ONLYOFFICE en tant que fournisseur de service fiable depuis votre compte chez fournisseur d'identifiant en fournissant les métadonnées du fournisseur de service ONLYOFFICE à votre fournisseur d'identifiant.

Pour obtenir les informations nécessaires, veuillez consultez la section Les métadonnées du fournisseur de service ONLYOFFICE sur la page Authentification unique. Vérifiez si les données du fournisseur de service sont rendues publiques. Pour ce faire, cliquez sur le bouton Télécharger le fichier XML des métadonnées du fournisseur de service. Le contenu du fichier s'affiche dans un onglet de navigateur. Sauvegardez les données en tant qu'un fichier XML afin de le télécharger à votre fournisseur d'identifiant.

Vous pouvez également copier les paramètres appropriés manuellement en cliquant Copier dans le presse-papiers dans les champs appropriés.

Les paramètres disponibles:

• ID d'entité du fournisseur de service (lien vers le fichier XML des métadonnées) - l'adresse URL du fichier XML du fournisseur de service afin que le fournisseur d'identité puisse identifier sans équivoque le fournisseur de service. Par défaut, l'adresse de fichier est comme suit: http://example.com/sso/metadata où example.com est le nom de domaine ONLYOFFICE ou l'adresse IP publique.
• URL du service d'assertion ACS du fournisseur de service (support du POST et redirection de liaison) - l'adresse URL de réception et traitement des assertions envoyées par le fournisseur d'identité. L'adresse par défaut est: http://example.com/sso/acs où example.com est le nom de domaine ONLYOFFICE ou l'adresse IP publique.
• URL d'une déconnexion unique du fournisseur de service (support de POST et de liaison de redirection) - l'URL qui est utilisé pour une déconnexion unique sur le côté du fournisseur d'identité. C'est l'adresse de terminaison du fournisseur de service à laquelle le fournisseur d'identité envoie les requêtes/réponses de déconnexion. L'adresse par défaut est: http://example.com/sso/slo/callbackoù example.com est le nom de domaine ONLYOFFICE ou l'adresse IP publique.

Se connecter au fournisseur de service ONLYOFFICE

Une fois l'authentification unique activé et paramétré, la connexion se fait comme suit:

1. L'utilisateur demande accès à ONLYOFFICE en cliquant sur le bouton Authentification unique (le texte sur le bouton peut différer si vous avez personnalisé le bouton pendant la configuration du fournisseur de service ONLYOFFICE) sur la page d'authentification ONLYOFFICE (authentification unique initié par le fournisseur de service).
2. Si le fournisseur d'identité et le fournisseur de service sont paramétrés correctement, ONLYOFFICE envoie la requête d'authentification au fournisseur d'identité et redirige l'utilisateur vers la page du fournisseur d'identité où il faut saisir ses informations d'identification.
3. Si l'utilisateur n'est pas encore connecté au fournisseur d'identité, il faut saisir ses informations d'identification chez fournisseur d'identité.
4. Le fournisseur d'identité crée la requête d'authentification comportant les données d'utilisateur et l'envoie à ONLYOFFICE.
5. ONLYOFFICE reçoit la réponse d'authentification du fournisseur d'identité et la valide.
6. Une fois la réponse validé, ONLYOFFICE autorise l'utilisateur à se connecter (l'utilisateur manquant est créé automatiquement, ou les données sont mis à jour si le fournisseur d'identité a apporté des modifications).

Il est aussi possible de se connecter sur la page d'authentification du fournisseur d'identité (authentification unique initié par le fournisseur d'identité), saisir les information d'authentification et ensuite accéder à ONLYOFFICE sans avoir besoin de renseigner à nouveau l'identifiant et le mot de passe.

Se déconnecter du fournisseur de service ONLYOFFICE

Il y a deux façons de se déconnecter:

1. Depuis le portail ONLYOFFICE en utilisant le menu Déconnexion (dans ce cas la requête de déconnexion est envoyé par le fournisseur d'identité). L'utilisateur sera déconnecté automatiquement du fournisseur d'identité lorsqu'il est déconnecté de toutes les applications déjà accédées via l'authentification unique.
2. Depuis la page de déconnexion du fournisseur d'identité.

Modifier les profils utilisateur créés via l'authentification unique

Les profils des utilisateurs qui sont créés via l'authentification unique seront indiqués à l'aide d'icône SSO pour l'administrateur du portail.

La possibilité de modifier tels profils dans le module Personnes est limitée. Les champs qui étaient rempli en utilisant l'authentification unique sont désactivés et on ne peut pas les modifier depuis le module Personnes. On peut modifier les données d'utilisateur uniquement sur le côté du fournisseur d'identité.