Articles avec le tag :
Fermer
Changelog
Fermer
Essayer dans le cloud
Centre d'aide
Control Panel

Configurer le fournisseur de service ONLYOFFICE et le fournisseur d'identité Shibboleth

Control Panel v3.1 ONLYOFFICE Control Panel changelog

Version 3.1

Release date: 05/25/2022

General

  • Added the Data Import page that allows to import data from Nextcloud, ownCloud and GoogleWorkspace to ONLYOFFICE Workspace.
  • Moved Elasticsearch to a separate container.
  • Fixed bugs.

Version 3.0

Release date: 06/07/2021

Update

  • License agreement dialog when installing docker components added.
  • The inactive button with an action for uninstalled components (downloading and installing the available version) fixed.

Search

  • Indexing progress display added.

LoginHistory and AuditTrail

  • New empty screens added.

Restore

  • New checks when restoring data from a local or a 3rd party storage.

SSO

  • SSOAuth was removed from Control Panel. It's now available as a portal setting in Community Server.

General improvements and bug fixes

  • Bugs 47721, 49101, 49187, 49273, 49272, 49324, 46386, 49585 from the internal bugtracker fixed.
  • 3rd party licenses and copyright updated.

Version 2.9.1

Release date: 12/10/2020

Bug fixes

  • Bug Fixes & Performance Improvements.

Version 2.9

Release date: 10/14/2020

General

  • Control Panel is available in the free Community version with all settings excepting the editors logo replacement;
  • Added the vsyscall check to the installation scripts when installing Mail Server on Debian with kernel 4.18.0 and later;
  • Redesign of the navigation menu: added Common and Portal settings sections, added icons to menu items;
  • Added the advanced rebranding page in the Common Settings;
  • Added the possibility to reindex the full-text search;
  • Updated node.js, updated packages (transition to samlify for SSO);
  • Added the Encryption at rest block in the Storage section;
  • Added the Private Room section for the server version only;
  • Added the upgrade page with a proposal to upgrade to Enterprise Edition;
  • Added the activate page with a possibility to upload a license file;
  • Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

LDAP

  • Added the Sign in to domain option on the authorization page.

Single Sign-on

  • Transition to the new samlify library;
  • Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

Version 2.7

Release date: 04/25/2019

LDAP

  • Added more fields mapped for the users loaded via LDAP: user photo, birthday, contacts, primary phone number;
  • Added the setting to autosync LDAP on schedule;
  • Added the possibility to give administrator rights to the user group at the portal via LDAP;
  • Updated the rules for LDAP users.

Version 2.5.1

Release date: 04/07/2018

LDAP

  • Fixed the Server internal error error when using the groups enclosed inside each other in the AD (bug #37414).

Single Sign-on

  • Fixed the issue when the user data between the Service Provider and the portal was transferred via HTTP only, even when HTTPS was enabled.

Version 2.4.0

Release date: 01/13/2018

Single Sign-on

  • Fixed the Invalid ssoConfig error which occurred when the link to the IdP contained the question mark '?', e.g.: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
  • Fixed the Invalid authentication token error which prevented from adding a user to the portal using the AD FS, in case the + or - characters were present when sending the encrypted data.

Version 2.3.0

Release date: 12/15/2017

General

  • Added the changelog for Control Panel and link to it;
  • Fixed the bug when JWT parameters were not sent when updating Document Server(bug #36270);
  • Fixed the bug when Audit Trail heading was present at the login history page (bug #36026);
  • The current machine is now checked for being linked with the domain name for multiple portals.

LDAP

  • Fixed the bug with the LDAP Domain not found error which occurred if the DN record had no DC records (the users with Sun/Oracle DS were affected); now if the LDAP domain could not be specified, the LDAP domain will acquire the unknown value or the ldap.domain value from the web.appsettings.config configuration file;
  • Fixed the bug with the Sizelimit Exceeded error when trying to get more than 1000 users from the Active Directory;
  • Increased the login speed with the Group Membership setting enabled;
  • Added additional logging;
  • Fixed the bug with LDAP operation hanging when using Mono v5.2.0 and older;
  • Fixed the bug with the error when trying to login using the email address entered in the fields different from the Mail Attribute;
  • Fixed the bug occurring in the enclosed groups, when the users were displayed not in all groups.

Version 2.2.0

Release date: 10/31/2017

General

  • Added the documentserver-prepare4shutdown.sh script launch when updating the document-server for the correct edited document saving.

LDAP

  • Dramatically changed LDAP integration, migrated to the single library for the work with LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
  • Login and email are now split into two separate fields;
  • Added the support for big data;
  • Increased the work speed via the LDAP protocol (the connection to the server and receiving the data is now made once per session, added the limits when only a certain number of results is necessary, fixed the slow login for bit data, removed the sorting out used to find the SID parameter);
  • Fixed the user re-creation issue;
  • Fixed the duplicate username issue;
  • Fixed the already existing email issue;
  • Replaced the LDAP user deletion with account deactivation (for further data migration and data safety);
  • Instead of re-creating a user with an unknown SID but an existing email the data is updated;
  • Added the attempt to save the correct UserName/Login in case a similar one is already taken on the portal.

Single Sign-on

  • Added the AD FS support;
  • Replaced the Single Sign-on link at the authorization page with the customizable button, added the button customization to the SSO setting of the Control Panel.

Version 2.1.0

Release date: 07/03/2017

HTTPS

  • Added the support of letsencrypt service for the domain certificate generation.

Single Sign-on

  • Added the new sso.auth service;
  • Added the new SSO settings page;
  • Added the support for Shibboleth.

Version 2.0.0

Release date: 05/25/2017

General

  • The Control Panel migrated from MVC to Node.js.

Version 1.6.0

Release date: 12/05/2016

LDAP

  • Added LDAP synchronization for users and groups when saving the settings, after login and using the Sync button;
  • Changed email formation for LDAP users;
  • Fixed the problem of creation of users with invalid emails;
  • Fixed the problem of duplicate users;
  • Added icons and hints to the users in the list for the admin;
  • Blocked for editing the user profile fields imported using LDAP;
  • Added the real LDAP password saving to the database during login in case LDAP Auth is disabled, now the LDAP users will become common portal users when LDAP Auth is disabled;
  • Added new API Settings method - Sync LDAP;
  • Added new translations;
  • Bug fixes.

Version for Windows

  • Made changes at the Update page for the Control Panel for Windows;
  • Updates are performed using the downloaded installation packages for each module.
  • The current installed component version numbers are obtained via API request to the Community Server.
  • The new versions available for download are obtained via the request to the https://download.onlyoffice.com/install/windows/updates.txt file, where all the latest component version numbers and links for their download are stored in the JSON format.

Introduction

Authentification unique ou Single Sign-On (SSO) est la fonction qui permet aux utilisateurs de s'authentifier une seule fois et d'obtenir accès à plusieurs applications/services autorisés sans contrainte de renseigner à nouveau les informations d'identification.

Quand un portail web comprend plusieurs sections indépendantes (forum, chat, blogue etc.), une fois connecté à un service, l'utilisateur est automatiquement connecté aux autres et n'a plus besoin de se connecter aux différentes applications une par une.

La technologie d'authentification unique repose sur l'opération conjointe de deux applications: le fournisseur d'identité et le fournisseur de service (ci-après dénommées IdP et SP). L'authentification unique ONLYOFFICE SSO est réalisé uniquement en tant que fournisseur de service (SP). Plusieurs fournisseurs peuvent agir en tant que fournisseur d'identité (IdP), mais cet article examine la réalisation Shibboleth .

Si vous souhaitez utilisez l'authentification unique pour connecter ONLYOFFICE Desktop Editors à votre ONLYOFFICE Workspace, désactivez Salles privées depuis le Panneau de commande.

Préparer la configuration de ONLYOFFICE Workspace SSO

  1. Installez ONLYOFFICE Workspace v. 11.0.0 pour Docker ou bien toute autre version ultérieure prenant en charge SSO.
  2. Ajoutez un nom de domaine, par ex. myportal-address.com.
  3. Sur votre portail, passez à Panneau de configuration -> HTTPS, créez et ajoutez le certificat letsencrypt pour le chiffrement du trafic (pour activer HTTPS sur votre portail).

Créer le fournisseur d'identité Shibboleth

Exigences
  • Pour déployer le fournisseur d'identité Shibboleth, il est essentiel d'avoir une installation propre de CentOS 7 sans aucune application pré-installée.
  • L'horloge système doit être réglée correctement et la synchronisation de l'horloge doit être activée sur une machine hôte pour le fournisseur d'identité.
    timedatectl  status
    yum install ntp
    systemctl enable ntpd.service
    ntpdate time.apple.com
  • Il faut installer le paquet unzip sur la machine:
    yum install unzip
  • Il faut installer Docker et Docker Compose sur la machine.
  • Le nom de domaine doit être associé à la machine (par exemple, your-idp-domain.com)
Créer le fournisseur d'identité Shibboleth

Pour créer, configurer et démarrer le fournisseur d'identité Shibboleth, veuillez télécharger et exécuter le script install.sh.

Ce script réalise les opérations suivantes:

  • téléchargement des fichiers docker pour créer des images du fournisseur d'identité et des conteneurs Shibboleth sur github,
  • modification du domaine par défaut idptestbed.edu en définissant le domaine spécifié pendant l'exécution du script dans des fichiers de configuration,
  • accord de l'accès via le protocole SAML pour le domaine spécifié du fournisseur de service ONLYOFFICE,
  • spécification des attributs qui sont requis par le fournisseur de services ONLYOFFICE pour récupérer des données des utilisateurs du fournisseur d'identité Shibboleth (paramètres Mappage d'attributs),
  • création et configuration de LDAP et création des utilisateurs à récupérer,
  • activation du chargement dynamique de métadonnées du fournisseur de services ONLYOFFICE au fournisseur d'identité Shibboleth,
  • activation de Shibboleth SLO, le cas échéant.
  1. Téléchargez le script install.sh:
    curl -L https://bit.ly/3fwo5e6 -o install.sh
  2. Rendez le script exécutable:
    chmod +x install.sh
  3. Exécutez le script en remplaçant les paramètres:
    ./install.sh -id your-idp-domain.com -sd myportal-address.com --no_slo

    Paramètres du script:

    • -id - le nom de domaine de la machine actuelle pour le fournisseur d'identité Shibboleth.
    • -sd - le nom de domaine où le fournisseur de services ONLYOFFICE est déployé.
    • --no_slo - pour désactiver Single Logout dans le fournisseur d'identité Shibboleth (paramètre facultatif).
  4. Attendez jusqu'à ce que le fournisseur d'identité Shibboleth se démarre après l'exécution du script.
  5. Pour vérifier si le fournisseur d'identité Shibboleth s'est démarré correctement, suivez le lien https://your-idp-domain.com/idp/shibboleth depuis votre navigateur. Le contenu du fichier XML doit s'afficher.
  6. Copiez le lien dans le champ https://{your_idp_domain}/idp/shibboleth par ex., https://your-idp-domain.com/idp/shibboleth) et passez au portail ONLYOFFICE, connectez-vous en tant qu'administrateur. Accédez à Panneau de configuration -> Authentification unique.

Configurer le fournisseur de service ONLYOFFICE

  1. Assurez-vous que vous êtes connecté à votre Panneau de configuration ONLYOFFICE en tant que l'administrateur et cliquez sur l'onglet SSO dans la section Paramètres du portail sur la barre latérale gauche.
    Il est possible d'enregistrer un seul fournisseur d'identité pour votre société sur le portail ONLYOFFICE.
    Comment configurer Shibboleth IdP et ONLYOFFICE SP Comment configurer Shibboleth IdP et ONLYOFFICE SP
  2. Activez l'option Activer l'authentification unique et collez le lien que vous avez copié dans le fournissuer d'identité Shibboleth dans le champ URL vers le fichier XML de métadonnées fournisseur d'identité.
    Comment configurer Shibboleth IdP et ONLYOFFICE SP Comment configurer Shibboleth IdP et ONLYOFFICE SP
  3. Appuyez sur le bouton flèche vers le haut pour télécharger des métadonnées fournisseur d'identité. Le formulaire Paramètres du fournisseur de service ONLYOFFICE sera rempli automatiquement avec les données depuis le fournisseur d'identité Shibboleth.

    Parce que nous avons désactivé lors de l'exécution du script install.sh en spécifiant --no_slo, le champ URL du point de terminaison de déconnexion unique IdP sera vide.

  4. Une fois les métadonnées chargées, deux certificats seront ajoutés dans la section Certificats publics du fournisseur d'identités. Une fenêtre de dialogue s'affiche avec le message suivant: Plusieurs vérifications de certificats ldp ne sont pas supportées. Veuillez laisser le certificat principal seulement.

    Il faut supprimer le deuxième certificat dans la liste et laissez uniquement le premier certificat car c'est lr certificat primaire. Utilisez Supprimer à côté de deuxième certificat pour le supprimer. Si vous ne supprimer pas le certificat, il ne sera qlors pas possible de sauvegarder des modifications.

  5. Vous pouvez saisir n'importe quel texte dans le champ Légende personnalisée du bouton de connexion pour remplacer le texte par défaut (Single Sign-on). Ce texte s'affichera sur le bouton de connexion au portail avec le service d'authentification unique sur la page d'authentification ONLYOFFICE.
    Comment configurer Shibboleth IdP et ONLYOFFICE SP Comment configurer Shibboleth IdP et ONLYOFFICE SP
  6. Maintenant, il vous faut créer les certificats auto-signés ou ajouter d'autres certificats dans la section Certificats du fournisseur de service.
    Important!Dans la liste Utiliser pour, sélectionnez signature et chiffrement, car le script install.sh a réglé le fournisseur d'identité Shibboleth à vérifier des signatures numériques et à chiffrer des données.
    Comment configurer Shibboleth IdP et ONLYOFFICE SP Comment configurer Shibboleth IdP et ONLYOFFICE SP

    Vous devriez obtenir presque les mêmes résultats:

    Comment configurer Shibboleth IdP et ONLYOFFICE SP Comment configurer Shibboleth IdP et ONLYOFFICE SP
  7. Dans la section Mappage d'attributs, synchronisez les données du module ONLYOFFICE Personnes avec les attributs des utilisateurs renvoyés par le fournisseur d'identité Shibboleth.
    First Name urn:oid:2.5.4.42
    Last Name urn:oid:2.5.4.4
    Email urn:oid:0.9.2342.19200300.100.1.3
    Location urn:oid:2.5.4.7
    Title urn:oid:2.5.4.12
    Phone urn:oid:0.9.2342.19200300.100.1.41
    Comment configurer Shibboleth IdP et ONLYOFFICE SP Comment configurer Shibboleth IdP et ONLYOFFICE SP

    Dans la section Paramètres avancés, vous pouvez activer l'option Masquer une page d'authentification pour masquer la page d'authentification par défaut et rediriger automatiquement vers le service d'authentification unique.

    ImportantSi vous souhaitez restaurer la page d'authentification (pour pouvoir accéder à votre portal quand le serveur de votre fournisseur d'identité tombe en panne), vous pouvez ajouter la clé /Auth.aspx?skipssoredirect=true après le nom de domaine de votre portail dans la barre d'adresse du navigateur.
  8. Cliquez sur le bouton Enregistrer.
  9. La section Les métadonnées du fournisseur de service ONLYOFFICE s'affichera.
  10. Vérifiez si les paramètres sont accessibles au public en cliquant sur le bouton Télécharger le fichier XML des métadonnées du fournisseur de services. Le contenu du fichier XML doit s'afficher.
    Comment configurer Shibboleth IdP et ONLYOFFICE SP Comment configurer Shibboleth IdP et ONLYOFFICE SP

    Le fichier xml est d'habitude utilisé pour configurer le fournisseur d'identité Shibboleth, mais ce n'est pas nécessaire parce que le script install.sh a activé DynamicHTTPMetadataProvider (le fournisseur d'identité Shibboleth va télécharger le fichier xml à la première demande de connexion).

Vérifier le fonctionnement du fournisseur de services ONLYOFFICE avec le fournisseur d'identité Shibboleth

Le script install.sh a créé 4 utilisateurs qui peuvent tester le fonctionnement du fournisseur de services ONLYOFFICE avec le fournisseur d'identité Shibboleth.

Email Nom d'utilisateur Mot de passe Commentaire
student1@{your_idp_domain} student1 password Standard
student2@{your_idp_domain} student2 password Without givenName
student3@{your_idp_domain} student3 password With umlauts
staff1@{your_idp_domain} staff1 password Obligatory fields only
Se connecter à ONLYOFFICE sur le côté du fournisseur de service
  1. Passez à la page d'authentification ONLYOFFICE par ex. https://myportal-address.com/Auth.aspx).
  2. Cliquez sur le bouton Authentification unique (le texte sur le bouton peut varier si vous avez indiqué un autre texte pendant la configuration du fournisseur de service ONLYOFFICE). S'il n'y a aucun bouton, l'authentification unique n'est pas activé.
    Comment configurer Shibboleth IdP et ONLYOFFICE SP Comment configurer Shibboleth IdP et ONLYOFFICE SP
  3. Si tous les paramètres sont correctement configurés, vous serez redirigé vers le formulaire de connexion au fournisseur d'identité Shibboleth:
    Comment configurer Shibboleth IdP et ONLYOFFICE SP Comment configurer Shibboleth IdP et ONLYOFFICE SP
  4. Saisissez le nom d'utilisateur et le mot de passe du compte fournisseur d'identité Shibboleth (nom d'utilisateur: student1, mot de passe: password) et activez Don't Remember Login.
  5. Si vos identifiants sont corrects, une nouvelle fenêtre s'affiche. Autorisez la transmission des informations en cliquant sur le bouton Accept.
    Comment configurer Shibboleth IdP et ONLYOFFICE SP Comment configurer Shibboleth IdP et ONLYOFFICE SP
  6. Si tout est correct, vous serez redirigé sur la page d'accueil du portail (l'utilisateur manquant est créé automatiquement, ou les données sont mis à jour si le fournisseur d'identité a apporté des modifications).
    Comment configurer Shibboleth IdP et ONLYOFFICE SP Comment configurer Shibboleth IdP et ONLYOFFICE SP
Profils des utilisateurs qui sont créés via l'authentification unique

La possibilité de modifier les profils des utilisateurs qui sont créés via l'authentification unique est limitée. Les champs comportant des données fournies par le fournisseur d'identité sont marqués désactivé et on ne peut pas les modifier (par ex. Nom, Prénom, Email, Titre et Emplacement). On peut modifier ces données uniquement depuis le compte du fournisseur d'identité.

La figure ci-dessous illustre le menu Actions pour un utilisateur SSO:

Comment configurer Shibboleth IdP et ONLYOFFICE SP Comment configurer Shibboleth IdP et ONLYOFFICE SP

La figure suivante illustre le profil d'utilisateur SSO à modifier:

Comment configurer Shibboleth IdP et ONLYOFFICE SP Comment configurer Shibboleth IdP et ONLYOFFICE SP

Les profils des utilisateurs qui sont créés via l'authentification unique seront indiqués à l'aide d'icône SSO pour les administrateurs du portail.

Comment configurer Shibboleth IdP et ONLYOFFICE SP Comment configurer Shibboleth IdP et ONLYOFFICE SP

Pour vous déconnecter du fournisseur d'identité Shibboleth (si vous n'avez pas désactivé l'option Don't Remember Login lors de la connexion), suivez le lien qui ressemble à ceci: https://{shibboleth-idp-domain}/idp/profile/Logout

Download Host on your own server Available for
Docker, Windows and Linux
Cela peut vous aider aussi :
Fermer