Configurer le fournisseur de service ONLYOFFICE et le fournisseur d'identité OneLogin

Introduction

Authentification unique ou Single Sign-On (SSO) est la fonction qui permet aux utilisateurs de s'authentifier une seule fois et d'obtenir accès à plusieurs applications/services autorisés sans contrainte de renseigner à nouveau les informations d'identification.

Quand un portail web comprend plusieurs sections indépendantes (forum, chat, blogue etc.), une fois connecté à un service, l'utilisateur est automatiquement connecté aux autres et n'a plus besoin de se connecter aux différentes applications une par une.

La technologie d'authentification unique repose sur l'opération conjointe de deux applications: le fournisseur d'identité et le fournisseur de service (ci-après dénommées IdP et SP). L'authentification unique ONLYOFFICE SSO est réalisé uniquement en tant que fournisseur de service (SP). Plusieurs fournisseurs peuvent agir en tant que fournisseur d'identité (IdP), mais cet article examine la réalisation OneLogin .

Si vous souhaitez utiliser l'authentification unique pour connecter l'éditeur de bureau ONLYOFFICE à votre ONLYOFFICE Workspace, désactivez Salles privées depuis le Panneau de configuration.

Préparer ONLYOFFICE Workspace pour réglage de l'authentification unique

  1. Installez ONLYOFFICE Workspace v. 11.0.0 pour Docker ou bien toute autre version ultérieure prenant en charge SSO.
  2. Ajoutez un nom de domaine, par ex. myportal-address.com.
  3. Sur votre portail, passez à Panneau de configuration -> HTTPS, créez et ajoutez le certificat letsencrypt pour le chiffrement du trafic (pour activer HTTPS sur votre portail).

Créer un fournisseur d'identité dans OneLogin

  1. Connectez-vous à OneLogin, si vous n'êtes pas encore enregistré.
  2. Connectez-vous en tant qu'administrateur.
  3. Passez à la section Administration.
  4. Cliquez sur le menu Applications. Cliquez sur le bouton Add app (Ajouter une application).
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  5. Dans le champ de recherche Find Application (Rechercher l'application), saisissez le texte suivant: SAML Custom Connector (Advanced):
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  6. Choisissez l'option appropriée.
  7. Dans la nouvelle fenêtre qui s'affiche, saisissez le nom d'affichage Display Name (Nom à afficher), par exemple, IDP OneLogin Onlyoffice v11 Test, pour distinguer cette application d'autres, remplacez les icônes par les icônes de votre choix et cliquez sur le bouton Save. (Enregistrer).
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  8. Accédez au sous-menu Configuration et remplissez les champs selon le tableau ci-dessous:
    Veuillez indiquer le le nom de votre domaine ou l'adresse IP publique où votre fournisseur de service ONLYOFFICE est hébergé au lieu de myportal-address.com.
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
    Détails de l'application
    RelayStatehttps://myportal-address.com
    Audience (EntityID)https://myportal-address.com/sso/
    Recipienthttps://myportal-address.com/sso/acs
    ACS (Consumer) URL Validator*^https:\/\/myportal-address\.com\/sso\/acs\/$
    ACS (Consumer) URL*https://myportal-address.com/sso/acs
    Single Logout URLhttps://myportal-address.com/sso/slo/callback
    SAML initiatorService Provider
    SAML nameID formatEmail
    SAML issuer typeSpecific
    SAML signature elementAssertion
    Encrypt assertion
    SAML encryption methodAES-128-CBC
    Sign SLO Request
    Sign SLO Response
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  9. Cliquez sur le bouton Save (Enregistrer) et passez au sous-menu Parameters (Paramètres).
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  10. Utilisez le bouton + pour créer 5 paramètres (givenName, sn, mail, title, mobile). Activez l'option Include in SAML assertion (Inclure dans l'assertion SAML) et saisissez la valeur de la liste Value (Valeur) appropriée à récupération du catalogue de champs du répertoire LDAP, pour chacun d'entre eux:
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  11. Lorsque vous remplissez tous les champs obligatoires pour des attributs d'assertion SAML du fournisseur d'identité, vous devez obtenir résultat comme indiqué ci-dessus. Cliquez sur le bouton Save (Enregistrer).
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  12. Passez au sous-menu SSO, Sélectionnez un certificat valable dans la liste des certificats en cliquant sur le lien Change (Modifier) si vous en avez plusieurs. Dans le champ SAML Signature Algorithm (Algorithme de la signature SAML), laissez l'option SHA-1 et cliquez sur le bouton Save (Enregistrer):
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  13. Copiez le lien dans le champ Issuer URL (Émetteur d'URL) (par ex., https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) et passez au portail ONLYOFFICE, connectez-vous en tant qu'administrateur. Accédez à Panneau de configuration -> Authentification unique.

Configurer le fournisseur de service ONLYOFFICE

  1. Assurez-vous que vous êtes connecté à votre Panneau de configuration ONLYOFFICE en tant que l'administrateur et cliquez sur l'onglet SSO dans la section Paramètres du portail sur la barre latérale gauche.
    Il est possible d'enregistrer un seul fournisseur d'identité pour votre société sur le portail ONLYOFFICE.
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  2. Activez l'option Activer l'authentification unique et collez le lien que vous avez copié depuis l'URL de l'émetteur OneLogin dans le champ URL vers le fichier XML de métadonnées fournisseur d'identité.
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP

    Appuyez sur le bouton flèche vers le haut pour télécharger des métadonnées fournisseur d'identité. Le formulaire Paramètres du fournisseur de service ONLYOFFICE sera rempli automatiquement avec les données depuis le fournisseur d'identité OneLogin.

  3. Vous pouvez saisir n'importe quel texte dans le champ Légende personnalisée du bouton de connexion pour remplacer le texte par défaut (Single Sign-on). Ce texte s'affichera sur le bouton de connexion au portail avec le service d'authentification unique sur la page d'authentification ONLYOFFICE.
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  4. Maintenant, il faut créer un certificat dans la section Certificats du fournisseur de service. Pour ce faire cliquez sur le bouton Ajouter un certificat dans la section appropriée.
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  5. Dans la fenêtre modale, cliquez sur Générer un certificat auto-signé, sélectionnez l'option signer et chiffrer dans la liste Utiliser pour. Avant de sauvegarder le certificat, copiez le texte du Certificat publique (C'est nécessaire pour OneLogin), ensuite cliquez sur OK.
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  6. Vous devriez obtenir presque les mêmes résultats:
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  7. Il n'est pas nécessaire d'ajuster le formulaire Mappage d'attributs puisque nous avons spécifié les mêmes paramètres lors de la création du fournisseur d'identité OneLogin. Les valeurs utilisées:
    First NamegivenName
    Last Namesn
    Emailmail
    Locationl
    Titletitle
    Phonemobile

    Dans la section Paramètres avancés, vous pouvez activer l'option Masquer une page d'authentification pour masquer la page d'authentification par défaut et rediriger automatiquement vers le service d'authentification unique.

    ImportantSi vous souhaitez restaurer la page d'authentification (pour pouvoir accéder à votre portal quand le serveur de votre fournisseur d'identité tombe en panne), vous pouvez ajouter la clé /Auth.aspx?skipssoredirect=true après le nom de domaine de votre portail dans la barre d'adresse du navigateur.
  8. Cliquez sur le bouton Save (Enregistrer). La section Les métadonnées du fournisseur de service ONLYOFFICE s'affichera. Vérifiez si les paramètres sont accessibles au public en cliquant sur le bouton Télécharger le fichier XML des métadonnées du fournisseur de services. Le contenu du fichier XML doit s'afficher.
  9. Revenez à OneLogin pour configurer le chiffrement, ouvrez l'application et passez à Configuration. Faites défiler la page vers le bas jusqu'au le champ Chiffrement SAML qui doit apparaitre pour saisir la clé de chiffrement. Collez le texte du Certificat public que vous avez copié à l'étape 4 ci-dessus dans ce champ et cliquez sur Enregistrer:
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP

Créer des utilisateurs dans OneLogin et accorder l'accès à ONLYOFFICE

Pour créer des utilisateurs dans OneLogin et accorder accès à notre fournisseur de service ONLYOFFICE, procédez comme suit:

  1. passez à All Users (Tous les utilisateurs) dans OneLogin en tant qu'administrateur,
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  2. Créer un nouveau utilisateur ou modifiez l'utilisateur existant,
  3. passer sous-menu Applications et cliquer sur le bouton +.
  4. sélectionnez l'application que vous venez de créer dans la liste et cliquez sur CONTINUE (Continuer),
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  5. dans la nouvelle fenêtre qui s'affiche, ajoutez des données manquantes et cliquez sur le bouton SAVE (Enregistrer),
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  6. l'utilisateur peut maintenant travailler dans le fournisseur de service ONLYOFFICE.

Vérifier le fonctionnement du fournisseur de service ONLYOFFICE avec le fournisseur d'identité OneLogin

Se connecter à ONLYOFFICE sur le côté du fournisseur de service
  1. Passez à la page d'authentification ONLYOFFICE par ex. https://myportal-address.com/Auth.aspx).
  2. Cliquez sur le bouton Authentification unique (le texte sur le bouton peut varier si vous avez indiqué un autre texte pendant la configuration du fournisseur de service ONLYOFFICE). S'il n'y a aucun bouton, l'authentification unique n'est pas activé.
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  3. Si tous les paramètres sont correctement configurés, vous serez redirigé vers le formulaire de connexion au fournisseur d'identité OneLogin:
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  4. Saisissez l'identifiant et le mot de passe de l'utilisateur auquel on a accordé l'accès au fournisseur de service ONLYOFFICE et cliquez sur LOG IN.
  5. Si vos identifiants sont corrects, vous serez redirigé sur la page d'accueil du portail (l'utilisateur manquant est créé automatiquement, ou les données sont mis à jour si le fournisseur d'identité a apporté des modifications).
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
Se déconnecter du fournisseur de service ONLYOFFICE
  1. L'utilisateur connecté avec authentification unique peut se déconnecter du portail ONLYOFFICE depuis le menu Sign Out. L'utilisateur sera automatiquement déconnecté du fournisseur d'identité OneLogin lors de la déconnexion d'autres applications auxquelles on a accordé accès depuis OneLogin et auxquelles on s'est connecté.
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  2. Si vous avez réussi à vous déconnecter, vous serez redirigé vers la page d'authentification.
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP
  3. Si vous cliquez sur le bouton Single Sign-on encore une fois, vous serez redirigé vers la page de connexion OneLogin (cela veut dire que vous avez réussi de vous déconnecter du portail):
    Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP

Profils des utilisateurs qui sont créés via l'authentification unique

La possibilité de modifier les profils des utilisateurs qui sont créés via l'authentification unique est limitée. Les champs comportant des données fournies par le fournisseur d'identité sont marqués désactivé et on ne peut pas les modifier (par ex. First Name (Nom), Last Name (Prénom), Email, Title (Titre), and Location (Localité)). On peut modifier ces données uniquement depuis le compte du fournisseur d'identité.

La figure ci-dessous illustre le menu Actions pour un utilisateur SSO:

Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP

La figure suivante illustre le profil d'utilisateur SSO à modifier:

Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP

Les profils des utilisateurs qui sont créés via l'authentification unique seront indiqués à l'aide d'icône SSO pour les administrateurs du portail.

Comment configurer ONLYOFFICE SP et OneLogin IdPComment configurer ONLYOFFICE SP et OneLogin IdP

Hébergez ONLYOFFICE Workspace sur votre serveur

Articles avec le tag :
Parcourir tous les tags