Fournisseur d'identité Okta

Introduction

Authentification unique ou Single Sign-On (SSO) est la fonction qui permet aux utilisateurs de s'authentifier une seule fois et d'obtenir accès à plusieurs applications/services autorisés sans contrainte de renseigner à nouveau les informations d'identification.

La technologie d'authentification unique repose sur l'opération conjointe de deux applications: le fournisseur d'identité et le fournisseur de servicess (ci-après dénommées IdP et SP). L'authentification unique ONLYOFFICE SSO est réalisé uniquement en tant que fournisseur de services (SP). Plusieurs fournisseurs peuvent agir en tant que fournisseur d'identité (IdP), mais cet article examine la réalisation Okta .

Créer un fournisseur d'identité dans Okta

1. Enregistrez-vous dans Okta.
2. Passez au menu Applications -> Applications.
   
3. Cliquez sur le bouton Create App Integration (Créer l'intégration de l'appli);
   
4. Sélectionnez l'option SAML 2.0 et cliquez sur le bouton Next (Suivant);
   
5. Dans le champ App name (Nom de l'application), saisissez un nom, par exemple, "IDP Okta DocSpace", pour distinguer les applications et cliquez sur le bouton Next (Suivant).
   
6. Remplissez les champs selon le tableau ci-après:
   Veuillez indiquer le le nom de votre domaine ou l'adresse IP publique où votre fournisseur de services ONLYOFFICE est hébergé au lieu de myportal-address.com.

   Détails de l'application
   URL de l'authentification unique	https://myportal-address.com/sso/acs
   URI d"Audience (ID Entité du Fournisseur de service)	https://myportal-address.com/sso/
   RelayState par défaut	https://myportal-address.com
   Format d'ID du nom	EmailAddress
   Nom d'utilisateur de l'application	Email
   Mise à jour du nom d'utilisateur de l'application	Create and Update
   Réponse	Signed
   Signature d'assertion	Signed
   Algorithme de signature	RSA-SHA256
   Algorithme Digest	SHA256
   Chiffrement d'assertion	Encrypted
   Algorithme de chiffrement	AES128-CBC
   Algorithme du transport des clés	RSA-OAEP
   Classe du contexte d'authentification	X.509 Certificate

   
   
   
7. Dans le formulaire Attribute Statements (Instructions d'attribut), cliquez sur Add Another (Ajouter un autre) et créez 3 paramètres (givenName, sn, mail) en sélectionnant de la liste Value (Valeur), qu'on peut obtenir du catalogue de référentiel LDAP.
   
8. Passez à l'étape de connexion au portail ONLYOFFICE en tant qu'administrateur. Accédez à Paramètres -> Intégration -> Authentification unique.
9. Activez l'option Activer l'authentification unique.
10. Maintenant, il faut créer un certificat dans la section Certificats du fournisseur de services. Pour ce faire cliquez sur le bouton Ajouter un certificat dans la section appropriée.
    
11. Dans la fenêtre modale, cliquez sur Générer un nouveau certificat auto-signé, sélectionnez l'option signature et chiffrement dans la liste Utiliser pour. Avant de sauvegarder le certificat, copiez le texte du Certificat publique (C'est nécessaire pour Okta), ensuite cliquez sur OK.
    
12. Ouvrez un éditeur, collez le texte copié et sauvegardez le fichier avec l'extension .pem.
    
13. Revenez au formulaire de création de l'application Okta. Dans le champ Encryption Certificate (Certificat de chiffrement), sélectionnez la clé publique qu vous venez de créer.
    
14. Cliquez sur le bouton Next (Suivant) en bas du formulaire;
    
15. Cliquez sur le bouton Finish (Terminer).
    
16. Dans laedescripteur d'application qui s'affiche, copiez le lien dans le champ Metadata URL (URL de métadonnées).
    
17. Revenez à la page Autentifcation unique sur le portail ONLYOFFICE. Collez le lien copié dans le champ de téléchargement des métadonnées XML.
    

    Saisissez le texte à afficher sur le bouton de connexion.

    
18. Cliquez sur le bouton Enregistrer.
19. La section Métadonnées ONLYOFFICE SP peut être ouverte avec le bouton Télécharger le fichier XML des métadonnées SP.
    
20. Pour configurer la déconnexion, revenez à la configuration Okta. Dans le champ Signature Certificate (Certificat de signataire), indiquez un certificat, par exemple ceci mentionnée à l'étape 12. Remplissez les champs Single Logout URL (URL de la déconnexion unique) et SP Issuer (Émetteur de fournisseur de services) selon l'exemple ci-après.
    
21. Pour créer des utilisateurs dans Okta et accorder l'accès à notre fournisseur de services ONLYOFFICE, procédez comme suit:
    1. passez au sous-menu Okta Directory -> People (Référentiel -> Personnes),
       
    2. cliquez sur le bouton Add person (Ajouter unepersonne).
       
    3. remplissez le formulaire et cliquez sur Enregistrer.
       
    4. passez au menu Applications -> Applications et cliquez sur l'application que vous avez créé,
       
    5. cliquez sur Assign -> Assign to People. (Attribuer -> Attribuer aux personnes). Dans la fenêtre ouverte, sélectionnez les utilisateurs nécessaires et cliquez sur Assign (Attribuer). Fermez la fenêtre en cliquant sur Done (Terminé).
       

Vérifier le fonctionnement du fournisseur de servicess ONLYOFFICE avec le fournisseur d'identité Okta

Se connecter à ONLYOFFICE sur le côté du fournisseur de services

1. Passez à la page d'authentification ONLYOFFICE par ex. https://myportal-address.com/Auth.aspx).
2. Cliquez sur le bouton Authentification unique. S'il n'y a aucun bouton, l'authentification unique n'est pas activé.
   
3. Si tous les paramètres sont correctement configurés, vous serez redirigé vers le formulaire de connexion au fournisseur d'identité Okta:
   
4. Saisissez l'identifiant et le mot de passe de l'utilisateur auquel on a accordé l'accès au fournisseur de services ONLYOFFICE et cliquez sur LOG IN.
5. Si vos identifiants sont corrects, vous serez redirigé sur la page d'accueil du portail (l'utilisateur manquant est créé automatiquement, ou les données sont mis à jour si le fournisseur d'identité a apporté des modifications).