Activer l'authentification unique pour la version SaaS

Introduction

Si cette fonctionnalité est inclus dans votre abonnement, la section Authentification unique permet d'activer les services d'authentification externes en utilisant le protocole SAML pour un accès rapide, facile et sécurisé pour les utilisateurs du portail.

En général, Authentification unique (SSO) est la fonction qui permet aux utilisateurs de s'authentifier une seule fois et d'obtenir accès à plusieurs applications/services autorisés sans contrainte de renseigner à nouveau les informations d'identification. Par exemple, quand un portail web comprend plusieurs sections indépendantes (forum, chat, blogue etc.), une fois connecté à un service, l'utilisateur est automatiquement connecté aux autres et n'a plus besoin de se connecter aux différentes applications une par une.

Enregistrer votre fournisseur d'identité dans le fournisseur de service ONLYOFFICE

Le Fournisseur d'identité (IdP) crée, maintient et gère des informations d'identification utilisateur et est en charge d'authentification d'utilisateurs des fournisseurs de services associés. Tels services que OneLogin, ADFS etc. sont les fournisseur d'identité. Le Fournisseur de service (SP) fournit les services web et délègue au fournisseur d'identité la responsabilité de l'authentification. Dans ce cas, ONLYOFFICE est le fournisseur de service.

Vous pouvez utiliser l'authentification unique via le protocole SAML pour échanger des informations d'identification/authentification entre le fournisseur d'identité et le fournisseur de service:

  • SAML (Security Assertion Markup Language) est un standard basé sur le langage XML permettant d'échanger des informations d'identification/authentification entre le fournisseur d'identité et le fournisseur de service en utilisant des jetons d'accès qui comportent assertions.

Le niveau de sécurité accru est assuré grâce au fait que le bureau en ligne ne sauvegarde pas les mots de passe d'utilisateurs et utilise plutôt le résultat de l'authentification de l'utilisateur qui est en charge du fournisseur d'identité. Des jetons d'accès, ou tokens, permettent d'échanger toutes informations nécessaires de l'utilisateur. Une fois modifiés dans le système du fournisseur d'identité, les données d'utilisateur seront automatiquement mis à jour sur le portail pendant l'authentification unique suivante (veuillez noter que la synchronisation de données est unidirectionnelle: de fournisseur d'identité à fournisseur de service).

Une fois le fournisseur d'identité et le bureau en lignes dûment configurés, l'authentification unique sera réalisée dans le système du fournisseur d'identité. Le fournisseur d'identité émet au bureau en ligne un jeton d'accès (SAMP). Une fois le jeton validé (en utilisant les signatures numériques et la durée de vie de jeton), le bureau en ligne permet l'accès aux utilisateurs du portail.

Activer l'authentification unique

Pour activer et configurer l'authentification unique sur votre portail, procédez comme suit:

Vérifiez la configuration du Fournisseur d'identité avant se mettre à paramétrer le Fournisseur de service.

  1. Passez à la page Paramètres. Pour ce faire, cliquez sur l'icône L'icône Paramètres dans le coin supérieur gauche.
  2. Dans la section Intégration de la barre latérale gauche, cliquez sur Authentification unique.
  3. Activez l'optionActiver l'authentification unique au-dessous du titre section Authentification unique.
  4. Remplissez les champs obligatoires depuis la section Les paramètres du fournisseur de service ONLYOFFICE. Il est possible de fournir les informations obligatoires de différentes façons:
    • Saisissez l'adresse URL vers le fichier de métadonnées. S'il est possible d'accéder aux métadonnées du fournisseur d'identité de l'extérieur, insérez le lien dans le champ L'URL vers le fichier XML de métadonnées et cliquez sur le bouton flèche pour charger des données. Une fois les données chargés, tous les champs obligatoires du formulaire étendu seront remplis automatiquement.
    • Charger un fichier de métadonnées. Si votre fournisseur d'identité met à la disposition un fichier de métadonnées, utilisez le bouton Sélectionner fichier pour rechercher le fichier sur votre disque local. Une fois le fichier chargé, tous les champs obligatoires du formulaire étendu seront remplis automatiquement.
    • Configurer les paramètres manuellement. Si aucun fichier de métadonnées n'est disponible, configurez les paramètres manuellement. Veuillez contacter l'administrateur du fournisseur d'identité pour obtenir tous les données nécessaires.

Les paramètres disponibles:

  • ID d'entité du fournisseur d'identités (champ obligatoire) - l'identifiant ou l'adresse URL du fournisseur d'identité que le fournisseur de service va utiliser pour identifier le fournisseur d'identité sans équivoque.
    Par ex., https://example.com/idp/shibboleth

    où, example.com est le nom de domaine de votre service d'authentification unique

  • URL du point de terminaison d'authentification unique IdP (champ obligatoire) - l'URL qui est utilisé pour l'authentification unique sur le côté du fournisseur d'identité. C'est l'adresse de terminaison du fournisseur d'identité à laquelle le fournisseur de service envoie les requêtes d'authentification.

    Sélectionnez le type de Liaison en cochant le bouton radio approprié. Liaison détermine le méthode de requête d'authentification et de réponse entre le fournisseur d'identité et le fournisseur de service via le protocole de transport utilisé: HTTP POST ou HTTP Rediriger.

  • URL du point de terminaison de déconnexion unique IdP - l'URL qui est utilisé pour une déconnexion unique sur le côté du fournisseur de service. C'est l'adresse de terminaison du fournisseur d'identité à laquelle le fournisseur de service envoie les requêtes/réponses de déconnexion.

    Sélectionnez le type de Liaison en cochant le bouton radio approprié. Liaison détermine le méthode de requête de déconnexion et de réponse entre le fournisseur d'identité et le fournisseur de service via le protocole de transport utilisé: HTTP POST ou HTTP Rediriger.

  • Format de NameID - le paramètre NameID permet d'identifier l'utilisateur au fournisseur de service. Sélectionnez le format approprié de la liste des formats prédéfinis.
Il est possible de personnaliser de bouton de connexion au portail avec le service d'authentification unique sur la page d'authentification ONLYOFFICE. Pour personnaliser le bouton, remplissez le champ Légende personnalisée du bouton de connexion depuis la section Les paramètres du fournisseur de service ONLYOFFICE.

Vous pouvez également ajouter les certificats publics du fournisseur d'identités et du fournisseur de service.

Certificats publics du fournisseur d'identités

Certificats publics du fournisseur d'identités cette section permet d'ajouter les certificats publics du fournisseur d'identité qui sont utilisés par le fournisseur de service pour vérifier les requêtes et les réponses envoyées par le fournisseur d'identité.

Une fois les métadonnées du fournisseur d'identité téléchargés, ces certificats seront ajoutés automatiquement à votre portail. Sinon, vous pouvez retrouver les certificats sur votre compte chez fournisseur d'identité. Pour ajouter un certificat manuellement, cliquez sur le bouton Ajouter un certificat. La fenêtre Nouveau certificat s'affiche. Saisissez le certificat dans le champ Certificat public et cliquez sur OK.

Activez les options appropriées pour paramétrer les certificats.

Définissez les signatures de requêtes/réponses que le fournisseur d'identité envoie au fournisseur de service à vérifier.

  • Vérifier la signature des réponses d'authentification - pour vérifier les signatures des réponses d'authentification SAML envoyées au fournisseur de service.
  • Vérifier la signature des demandes de déconnexion - pour vérifier les signatures des demandes de déconnexion SAML envoyées au fournisseur de service.
  • Vérifier les réponses de la signature de déconnexion - pour vérifier les signatures des réponses de déconnexion SAML envoyées au fournisseur de service.

Sélectionnez l'algorithme approprié de la liste Algorithme de la vérification de signature par défaut: rsa-sha1, rsa-sha256 or rsa-sha512.

Les paramètres par défait sont appliqués uniquement si les métadonnées du fournisseur d'identité n'ont pas du mention sur l'algorithme utilisé.

Vous pouvez modifier ou supprimer les certificats ajoutés en utilisant les options appropriées.

Certificats publics du fournisseur de service

Certificats publics du fournisseur de service cette section permet d'ajouter les certificats publics qui sont utilisés pour signer et chiffrer les requêtes et les réponses du fournisseur de service.

Si votre fournisseur d'identité exige que des données d'entrée soient signés et/ou chiffrés, créez ou ajoutez les certificats appropriés depuis cette section.

Cliquez sur le bouton Ajouter un certificat. La fenêtre Nouveau certificat s'affiche. Vous pouvez générer un nouveau certificat auto-signé ou ajouté un certificat existant dans le champ Certificat public et la clé privée dans le champ Clé privée. Dans la liste déroulante Utiliser pour, sélectionnez l'une des options disponibles: signer, chiffrer, signer et chiffrer. Une fois que vous avez terminé, cliquez sur OK.

Les paramètres supplémentaires qui sont définis pendant le téléchargement/la génération du certificat dépendent du but que vous choisissez de la liste Utiliser pour. Les options ci-dessous sont utilisées pour définir les requêtes/réponses qui sont envoyées par le fournisseur de service au fournisseur d'identité à signer:

  • Signer la demande de connexion - sert à obliger le fournisseur de service à signer la demande de connexion SAML envoyée au fournisseur d'identité.
  • Signer la demande de déconnexion - sert à obliger le fournisseur de service à signer la demande de déconnexion SAML envoyée au fournisseur d'identité.
  • Signer les réponses de fermeture de session - sert à obliger le fournisseur de service à signer les réponses de fermeture de session SAML envoyées au fournisseur d'identité.

Si vous avez sélectionné les options chiffrer ou signer et chiffrer dans la liste Utiliser pour, l'option Déchiffrer les assertions est également activée. La Clé privée appropriée est utilisée pour le déchiffrement.

Sélectionnez les algorithmes appropriés dans la liste:

  • Algorithme de signature: rsa-sha1, rsa-sha256 or rsa-sha512.
  • Algorithme de déchiffrement par défaut aes128-cbc, aes256-cbc or tripledes-cbc.

Vous pouvez modifier ou supprimer les certificats ajoutés en utilisant les options appropriées.

Mappage d'attributs

Mappage d'attributs - cette section permet de synchroniser les données du module ONLYOFFICE Personnes avec les attributs renvoyés par le fournisseur d'identité. Lorsque l'utilisateur se connecte au fournisseur de service ONLYOFFICE en utilisant les informations d'identification SSO, le fournisseur de service ONLYOFFICE reçoit des attributs et remplit les champs Nom complet et Adresse email selon des renseignements fournis par le fournisseur d'identité. Si le profil utilisateur est manquant sur le module Personnes, ce-ci sera crée automatiquement. Une fois modifiés dans le système du fournisseur d'identité, les données d'utilisateur seront automatiquement mises à jour dans le système du fournisseur de service.

Les attributs disponibles sont les suivantes:

  • Prénom (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant au prénom d'utilisateur.
  • Nom (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant au nom d'utilisateur.
  • Email (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant à l'adresse e-mail d'utilisateur.
  • Emplacement (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant à l'emplacement d'utilisateur.
  • Titre - l'attribut de la fiche d'utilisateur correspondant au titre d'utilisateur.
  • Téléphone - l'attribut de la fiche d'utilisateur correspondant au numéro de téléphone d'utilisateur.
Paramètres avancés

L'option Masquer la page d'authentification permet de masquer la page d'authentification par défaut et rediriger vers le service d'authentification unique.

ImportantSi vous souhaitez restaurer la page d'authentification (pour pouvoir accéder à votre portal quand le serveur de votre fournisseur d'identité tombe en panne), vous pouvez ajouter la clé /Auth.aspx?skipssoredirect=true après le nom de domaine de votre portail dans la barre d'adresse du navigateur.

Une fois votre portail paramétré, cliquez sur Enregistrer. La section Les métadonnées du fournisseur de service ONLYOFFICE s'affiche.

Enregistrer ONLYOFFICE en tant que fournisseur de service fiable

Maintenant, il faut ajouter ONLYOFFICE en tant que fournisseur de service fiable depuis votre compte chez fournisseur d'identifiant en fournissant les métadonnées du fournisseur de service ONLYOFFICE à votre fournisseur d'identifiant.

Pour obtenir les informations nécessaires, veuillez consultez la section Les métadonnées du fournisseur de service ONLYOFFICE sur la page Authentification unique. Vérifiez si les données du fournisseur de service sont rendues publiques. Pour ce faire, cliquez sur le bouton Télécharger le fichier XML des métadonnées du fournisseur de service. Le contenu du fichier s'affiche dans un onglet de navigateur. Sauvegardez les données en tant qu'un fichier XML afin de le télécharger à votre fournisseur d'identifiant.

Vous pouvez également copier les paramètres appropriés manuellement en cliquant Copier dans le presse-papiers dans les champs appropriés.

Les paramètres disponibles:

  • ID d'entité du fournisseur de service (lien vers le fichier XML des métadonnées) - l'adresse URL du fichier XML du fournisseur de service afin que le fournisseur d'identité puisse identifier sans équivoque le fournisseur de service. Par défaut, l'adresse de fichier est comme suit: http://example.com/sso/metadata où example.com est le nom de domaine ONLYOFFICE ou l'adresse IP publique.
  • URL du service d'assertion ACS du fournisseur de service (prise en charge du POST et redirection de liaison) - l'adresse URL de réception et traitement des assertions envoyées par le fournisseur d'identité. L'adresse par défaut est: http://example.com/sso/acs où example.com est le nom de domaine ONLYOFFICE ou l'adresse IP publique.
  • URL d'une déconnexion unique du fournisseur de service (prise en charge de POST et de liaison de redirection) - l'URL qui est utilisé pour une déconnexion unique sur le côté du fournisseur d'identité. C'est l'adresse de terminaison du fournisseur de service à laquelle le fournisseur d'identité envoie les requêtes/réponses de déconnexion. L'adresse par défaut est: http://example.com/sso/slo/callbackoù example.com est le nom de domaine ONLYOFFICE ou l'adresse IP publique.
Les paramètres et le contenu du fichier XML varient en fonction de la configuration du portail, par ex. lorsque vous passez au protocole HTTPS ou définissez le nom de domaine, les paramètres seront aussi modifiés, alors il faudra configurer à nouveau votre fournisseur d'identité.

Se connecter au fournisseur de service ONLYOFFICE

Une fois l'authentification unique activé et paramétré, la connexion se fait comme suit:

  1. L'utilisateur demande accès à ONLYOFFICE en cliquant sur le bouton Authentification unique (le texte sur le bouton peut différer si vous avez personnalisé le bouton pendant la configuration du fournisseur de service ONLYOFFICE) sur la page d'authentification ONLYOFFICE (authentification unique initié par le fournisseur de service).
  2. Si le fournisseur d'identité et le fournisseur de service sont paramétrés correctement, ONLYOFFICE envoie la requête d'authentification au fournisseur d'identité et redirige l'utilisateur vers la page du fournisseur d'identité où il faut saisir ses informations d'identification.
  3. Si l'utilisateur n'est pas encore connecté au fournisseur d'identité, il faut saisir ses informations d'identification chez fournisseur d'identité.
  4. Le fournisseur d'identité crée la requête d'authentification comportant les données d'utilisateur et l'envoie à ONLYOFFICE.
  5. ONLYOFFICE reçoit la réponse d'authentification du fournisseur d'identité et la valide.
  6. Une fois la réponse validé, ONLYOFFICE autorise l'utilisateur à se connecter (l'utilisateur manquant est créé automatiquement, ou les données sont mis à jour si le fournisseur d'identité a apporté des modifications).

Il est aussi possible de se connecter sur la page d'authentification du fournisseur d'identité (authentification unique initié par le fournisseur d'identité), saisir les information d'authentification et ensuite accéder à ONLYOFFICE sans avoir besoin de renseigner à nouveau l'identifiant et le mot de passe.

Se déconnecter du fournisseur de service ONLYOFFICE

Il y a deux façons de se déconnecter:

  1. Depuis le portail ONLYOFFICE en utilisant le menu Déconnexion (dans ce cas la requête de déconnexion est envoyé par le fournisseur d'identité). L'utilisateur sera déconnecté automatiquement du fournisseur d'identité lorsqu'il est déconnecté de toutes les applications déjà accédées via l'authentification unique.
  2. Depuis la page de déconnexion du fournisseur d'identité.

Modifier les profils utilisateur créés via l'authentification unique

Les profils des utilisateurs qui sont créés via l'authentification unique seront indiqués à l'aide d'icône SSO pour l'administrateur du portail.

La possibilité de modifier tels profils dans le module Personnes est limitée. Les champs qui étaient rempli en utilisant l'authentification unique sont désactivés et on ne peut pas les modifier depuis le module Personnes. On peut modifier les données d'utilisateur uniquement sur le côté du fournisseur d'identité.

Hébergez ONLYOFFICE Workspace sur votre serveur

Download
Articles avec le tag :
Parcourir tous les tags