Fournisseur d'identité Keycloak

Introduction

Authentification unique ou Single Sign-On (SSO) est la fonction qui permet aux utilisateurs de s'authentifier une seule fois et d'obtenir accès à plusieurs applications/services autorisés sans contrainte de renseigner à nouveau les informations d'identification.

Quand un portail web comprend plusieurs sections indépendantes (forum, chat, blogue etc.), une fois connecté à un service, l'utilisateur est automatiquement connecté aux autres et n'a plus besoin de se connecter aux différentes applications une par une.

La technologie d'authentification unique repose sur l'opération conjointe de deux applications: le fournisseur d'identité et le fournisseur de service (ci-après dénommées IdP et SP). L'authentification unique ONLYOFFICE SSO est réalisé uniquement en tant que fournisseur de service (SP). Plusieurs fournisseurs peuvent agir en tant que fournisseur d'identité (IdP), mais cet article examine la réalisation Keycloak.

Créer un fournisseur d'identité dans Keycloak

  1. Connectez-vous à Keycloak en tant qu'administrateur.
  2. Passez à Manage realms (Gérer des domaines) et sélectionnez le domaine à configurer la connexion.
  3. Passez à Clients et cliquez sur Create client (Créer un client).
  4. Sur la page qui s'affiche, configurez ce que suit: Dans le champ Client type (Type client), sélectionnez SAML dans le champ Client ID, saisissez https://myportal-address.com/sso/metadata et remplacez myportal-address.com par le nom du domaine de votre portail. Dans les champs Name (Nom) et Description, saisissez tout le nom et la description du client.
    Comment configurer ONLYOFFICE SP et Keycloak IdP Comment configurer ONLYOFFICE SP et Keycloak IdP
  5. Cliquez sur le bouton Next (Suivant).
  6. Remplissez les champs obligatoires:
    Remplacez myportal-address.com par le nom du domaine de votre portail.
    Détails de l'application
    L'URL racinehttps://myportal-address.com/sso/acs
    L'URL de la page d'accueilhttps://myportal-address.com/sso/acs
    L'URI de redirection validehttps://myportal-address.com/sso/acs
    L'URL de redirection de déconnexion Post validehttps://myportal-address.com/sso/slo/callback
    Nom d'utilisateur de l'applicationhttps://myportal-address.com/sso/acs
    Comment configurer ONLYOFFICE SP et Keycloak IdP Comment configurer ONLYOFFICE SP et Keycloak IdP
  7. Cliquez sur le bouton Enregistrer.
  8. Dans la section SAML capabilities (Fonctionnalités SAML), sélectionnez Name ID format (Format de l'ID du nom) en tant que l'adresse e-mail.
  9. Dans la section Signature and Encryption (Signature et chiffrement0), activez l'option Sign Assertions (Assertions de signature) et sélectionnez signature algorithm (algorithme de signature): RSA_SHA1, RSA_SHA256, or RSA_SHA512.
    Comment configurer ONLYOFFICE SP et Keycloak IdP Comment configurer ONLYOFFICE SP et Keycloak IdP
  10. Cliquez sur le bouton Enregistrer.
  11. Passez à la section Client Scopes (Étendues des clients) et cliquez sur le lien portant le nom de vote portail https://myportal-address.com/sso/metadata-dedicated.

    Cliquez sur le bouton Add predefined mappers (Ajouter des mappeurs prédéfinis), et dans la fenêtre contextuelle, sélectionnez les mappeurs suivants:

    • X500 email
    • X500 givenName
    • X500 surname

    Ensuite, cliquez sur le bouton Add (Ajouter).

    Comment configurer ONLYOFFICE SP et Keycloak IdP Comment configurer ONLYOFFICE SP et Keycloak IdP

Configurer le fournisseur de service ONLYOFFICE

  1. Assurez-vous que vous êtes connecté à votre compte ONLYOFFICE DocSpace en tant qu'administrateur, passez au menu Paramètres, sélectionnez la section Intégration et accédez à l'onglet Authentification unique.
  2. Activez l'option Activer l'authentification unique et collez l https://<keycloakurl>/realms/<realm_name>/protocol/saml/descriptor dans le champ URL vers le fichier XML de métadonnées fournisseur d'identité. Replacez <keycloakurl> et <realm_name> par l'adresse de votre serveur Keycloak et le nom du domaine de la connexion. Le lien final doit être accessible au navigateur.
    Comment configurer ONLYOFFICE SP et Keycloak IdP Comment configurer ONLYOFFICE SP et Keycloak IdP
  3. Appuyez sur le bouton flèche vers le haut pour télécharger des métadonnées fournisseur d'identité. Le formulaire Paramètres du fournisseur de service ONLYOFFICE sera rempli automatiquement avec les données depuis le fournisseur d'identité Keycloak.
  4. Sélectionnez le même Algorithme de la vérification de signature par défaut que vous avez défini dans Keycloak.
    Comment configurer ONLYOFFICE SP et Keycloak IdP Comment configurer ONLYOFFICE SP et Keycloak IdP
  5. Remplacez NameId Format par l'adresse e-mail.
    Comment configurer ONLYOFFICE SP et Keycloak IdP Comment configurer ONLYOFFICE SP et Keycloak IdP
  6. Maintenant, il faut créer un certificat dans la section Certificats du fournisseur de service. Pour ce faire cliquez sur le bouton Ajouter un certificat dans la section appropriée.
  7. Dans la fenêtre modale, cliquez sur Générer un certificat auto-signé, sélectionnez l'option signer et chiffrer dans la liste Utiliser pour. Avant de sauvegarder le certificat, copiez et sauvegardez le texte du Certificat publique (celui-ci sera nécessaire pour Keycloak), ensuite cliquez sur OK.
    Comment configurer ONLYOFFICE SP et Keycloak IdP Comment configurer ONLYOFFICE SP et Keycloak IdP
  8. Passez à Mappage d'attributs et définissez les attributs comme suit:
    • First name: urn:oid:2.5.4.42
    • Last name: urn:oid:2.5.4.4
    • Email: urn:oid:1.2.840.113549.1.9.1
    Comment configurer ONLYOFFICE SP et Keycloak IdP Comment configurer ONLYOFFICE SP et Keycloak IdP

    Dans la section Paramètres avancés, vous pouvez activer l'option Masquer une page d'authentification pour masquer la page d'authentification par défaut et rediriger automatiquement vers le service d'authentification unique.

    Si vous souhaitez restaurer la page d'authentification (pour pouvoir accéder à votre portail une fois le serveur de votre fournisseur d'identité tombe en panne), vous pouvez ajouter la clé /login?skipssoredirect=true après le nom de domaine de votre portail dans la barre d'adresse du navigateur.

  9. Cliquez sur le bouton Enregistrer.
  10. Revenez à Keycloak pour configurer le chiffrement, ouvrez votre client et passez à la section Keys (Clés). Désactivez l'option Signature du client est exigée et activez Encrypt assertions (Chiffrer les assertions). Dans la fenêtre contextuelle, sélectionnez Import (Importer), définissez Certificate PEM pour Archive format (Format d'archive) et cliquez sur le bouton Browse (Naviguer). Définissez le chemin d'accès au certificat selon l'étape 7 et cliquez sur Confirm (Valider).

Vérifier le fonctionnement du fournisseur de service ONLYOFFICE avec le fournisseur d'identité Keycloak

  1. Passez à la page d'authentification ONLYOFFICE par ex. https://myportal-address.com/login).
  2. Cliquez sur le bouton Authentification unique. S'il n'y a aucun bouton, l'authentification unique n'est pas activé.
    Comment configurer ONLYOFFICE SP et Keycloak IdP Comment configurer ONLYOFFICE SP et Keycloak IdP
  3. Si tous les paramètres sont correctement configurés, vous serez redirigé vers le formulaire de connexion au fournisseur d'identité Keycloak:
    Comment configurer ONLYOFFICE SP et Keycloak IdP Comment configurer ONLYOFFICE SP et Keycloak IdP
  4. Saisissez votre identifiant et mot de passe du compte Keycloak et cliquez sur Sign in (Se connecter).
  5. Si vos identifiants sont corrects, vous serez redirigé sur la page d'accueil du portail (l'utilisateur manquant est créé automatiquement, ou les données sont mis à jour si le fournisseur d'identité a apporté des modifications).
    Comment configurer ONLYOFFICE SP et Keycloak IdP Comment configurer ONLYOFFICE SP et Keycloak IdP

Hébergez ONLYOFFICE DocSpace sur votre serveur ou utilisez dans le cloud

Articles avec le tag :
Parcourir tous les tags