Fournisseur d'identité OneLogin

Introduction

Authentification unique ou Single Sign-On (SSO) est la fonction qui permet aux utilisateurs de s'authentifier une seule fois et d'obtenir accès à plusieurs applications/services autorisés sans contrainte de renseigner à nouveau les informations d'identification.

La technologie d'authentification unique repose sur l'opération conjointe de deux applications: le fournisseur d'identité et le fournisseur de services (ci-après dénommées IdP et SP). L'authentification unique ONLYOFFICE SSO est réalisé uniquement en tant que fournisseur de service (SP). Plusieurs fournisseurs peuvent agir en tant que fournisseur d'identité (IdP), mais cet article examine la réalisation OneLogin .

Créer un fournisseur d'identité dans OneLogin

1. Connectez-vous à OneLogin, si vous n'êtes pas encore enregistré.
2. Connectez-vous en tant qu'administrateur.
3. Passez au menu Applications -> Applications -> Add App (Application -> Application -> Ajouer application).
   
4. Dans le champ de recherche Find Application, saisissez le texte suivant: SAML Custom Connector (Advanced):
   
5. Choisissez l'option appropriée.
6. Dans la nouvelle fenêtre qui s'affiche, saisissez le nom d'affichage Display Name, par exemple, "IDP OneLogin DocSpace", pour distinguer les applications et cliquez sur le bouton Save (Enregistrer).
   
7. Accédez au sous-menu Configuration et remplissez les champs selon le tableau ci-dessous:
   Veuillez indiquer le le nom de votre domaine ou l'adresse IP publique où votre fournisseur de service ONLYOFFICE est hébergé au lieu de myportal-address.com.

   Détails de l'application
   RelayState	https://myportal-address.com
   Audience (EntityID)	https://myportal-address.com/sso/
   Recipient	https://myportal-address.com/sso/acs
   ACS (Consumer) URL Validator*	^https:\/\/myportal-address\.com\/sso\/acs\/$
   ACS (Consumer) URL*	https://myportal-address.com/sso/acs
   Single Logout URL	https://myportal-address.com/sso/slo/callback
   SAML initiator	Service Provider
   SAML nameID format	Email
   SAML issuer type	Specific
   SAML signature element	Assertion
   Encrypt assertion	(cochez cette case)
   SAML encryption method	AES-128-CBC
   Sign SLO Request	(cochez cette case)
   Sign SLO Response	(cochez cette case)

   
   
   
8. Cliquez sur le bouton Save et passez au sous-menu Parameters.
   
9. Utilisez l'option Add parameter (Ajouter un paramètre) pour créer 3 paramètres (givenName, sn, mail). Activez l'option Include in SAML assertion et saisissez la valeur de la liste Value appropriée à récupération du catalogue de champs du répertoire LDAP, pour chacun d'entre eux:
   
10. Lorsque vous remplissez tous les champs obligatoires pour des attributs d'assertion SAML du fournisseur d'identité, vous devez obtenir résultat comme indiqué ci-dessus. Cliquez sur le bouton Enregistrer.
    
11. Passez au sous-menu SSO, Sélectionnez un certificat valable dans la liste des certificats en cliquant sur le lien Change si vous en avez plusieurs. Dans le champ SAML Signature Algorithm, laissez l'option SHA-1 et cliquez sur le bouton Save:
    
12. Copiez le lien dans le champ Issuer URL (par ex., https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) et passez au portail ONLYOFFICE, connectez-vous en tant qu'administrateur. Accédez à Paramètres -> Intégration -> Authentification unique.

Configurer le fournisseur de services ONLYOFFICE

1. 
   Activez l'option Activer l'authentification unique et collez le lien que vous avez copié depuis l'URL de l'émetteur OneLogin dans le champ URL vers le fichier XML de métadonnées fournisseur d'identité.
   
2. Appuyez sur le bouton flèche vers le haut pour télécharger des métadonnées fournisseur d'identité. Le formulaire Paramètres du fournisseur de services ONLYOFFICE sera rempli automatiquement avec les données depuis le fournisseur d'identité OneLogin.
   
   
   
3. Maintenant, il faut créer un certificat dans la section Certificats du fournisseur de services. Pour ce faire cliquez sur le bouton Ajouter un certificat dans la section appropriée.
   
4. Dans la fenêtre modale, cliquez sur Générer un nouveau certificat auto-signé, sélectionnez l'option signature et chiffrement dans la liste Utiliser pour. Avant de sauvegarder le certificat, copiez le texte du Certificat publique (C'est nécessaire pour OneLogin), ensuite cliquez sur OK.
   
   
5. Cliquez sur le bouton Enregistrer.
6. La section Les métadonnées du fournisseur de services ONLYOFFICE s'affichera.
   
7. Revenez à OneLogin pour configurer le chiffrement, ouvrez l'application et passez à Configuration. Faites défiler la page vers le bas jusqu'au le champ Chiffrement SAML qui doit apparaitre pour saisir la clé de chiffrement. Collez le texte du Certificat public que vous avez copié à l'étape 4 ci-dessus dans ce champ et cliquez sur Enregistrer:
   

Créer des utilisateurs dans OneLogin et accorder l'accès à ONLYOFFICE

Pour créer des utilisateurs dans OneLogin et accorder accès à notre fournisseur de services ONLYOFFICE, procédez comme suit:

1. passez à la page Users (Utilisateurs) dans OneLogin en tant qu'administrateur,
   
2. Créer un nouveau utilisateur ou modifiez l'utilisateur existant,
3. passer sous-menu Applications et cliquer sur le bouton +.
4. sélectionnez l'application que vous venez de créer dans la liste et cliquez sur Continue (Continuer),
   
5. dans la nouvelle fenêtre qui s'affiche, ajoutez des données manquantes et cliquez sur le bouton SAVE,
6. l'utilisateur peut maintenant travailler dans le fournisseur de services ONLYOFFICE.

Vérifier le fonctionnement du fournisseur de services ONLYOFFICE avec le fournisseur d'identité OneLogin

Se connecter à ONLYOFFICE sur le côté du fournisseur de services

1. Passez à la page d'authentification ONLYOFFICE par ex. https://myportal-address.com/Auth.aspx).
2. Cliquez sur le bouton Authentification unique. S'il n'y a aucun bouton, l'authentification unique n'est pas activé.
   
3. Si tous les paramètres sont correctement configurés, vous serez redirigé vers le formulaire de connexion au fournisseur d'identité OneLogin:
   
4. Saisissez l'identifiant et le mot de passe de l'utilisateur auquel on a accordé l'accès au fournisseur de services ONLYOFFICE et cliquez sur LOG IN.
5. Si vos identifiants sont corrects, vous serez redirigé sur la page d'accueil du portail (l'utilisateur manquant est créé automatiquement, ou les données sont mis à jour si le fournisseur d'identité a apporté des modifications).