Activer l'authentification unique pour la version SaaS
Certificats publics du fournisseur de service
Certificats publics du fournisseur de service cette section permet d'ajouter les certificats publics qui sont utilisés pour signer et chiffrer les requêtes et les réponses du fournisseur de service.
Si votre fournisseur d'identité exige que des données d'entrée soient signés et/ou chiffrés, créez ou ajoutez les certificats appropriés depuis cette section.
Cliquez sur le bouton Ajouter un certificat. La fenêtre Nouveau certificat s'affiche. Vous pouvez générer un nouveau certificat auto-signé ou ajouté un certificat existant dans le champ Certificat public et la clé privée dans le champ Clé privée. Dans la liste déroulante Utiliser pour, sélectionnez l'une des options disponibles: signer
, chiffrer
, signer et chiffrer
. Une fois que vous avez terminé, cliquez sur OK.
Les paramètres supplémentaires qui sont définis pendant le téléchargement/la génération du certificat dépendent du but que vous choisissez de la liste Utiliser pour. Les options ci-dessous sont utilisées pour définir les requêtes/réponses qui sont envoyées par le fournisseur de service au fournisseur d'identité à signer:
- Signer la demande de connexion - sert à obliger le fournisseur de service à signer la demande de connexion SAML envoyée au fournisseur d'identité.
- Signer la demande de déconnexion - sert à obliger le fournisseur de service à signer la demande de déconnexion SAML envoyée au fournisseur d'identité.
- Signer les réponses de fermeture de session - sert à obliger le fournisseur de service à signer les réponses de fermeture de session SAML envoyées au fournisseur d'identité.
Si vous avez sélectionné les options chiffrer
ou signer et chiffrer
dans la liste Utiliser pour, l'option Déchiffrer les assertions est également activée. La Clé privée appropriée est utilisée pour le déchiffrement.
Sélectionnez les algorithmes appropriés dans la liste:
- Algorithme de signature:
rsa-sha1
,rsa-sha256
orrsa-sha512
. - Algorithme de déchiffrement par défaut
aes128-cbc
,aes256-cbc
ortripledes-cbc
.
Vous pouvez modifier ou supprimer les certificats ajoutés en utilisant les options appropriées.
Mappage d'attributs
Mappage d'attributs - cette section permet de synchroniser les données du module ONLYOFFICE Personnes avec les attributs renvoyés par le fournisseur d'identité. Lorsque l'utilisateur se connecte au fournisseur de service ONLYOFFICE en utilisant les informations d'identification SSO, le fournisseur de service ONLYOFFICE reçoit des attributs et remplit les champs Nom complet et Adresse email selon des renseignements fournis par le fournisseur d'identité. Si le profil utilisateur est manquant sur le module Personnes, ce-ci sera crée automatiquement. Une fois modifiés dans le système du fournisseur d'identité, les données d'utilisateur seront automatiquement mises à jour dans le système du fournisseur de service.
Les attributs disponibles sont les suivantes:
- Prénom (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant au prénom d'utilisateur.
- Nom (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant au nom d'utilisateur.
- Email (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant à l'adresse e-mail d'utilisateur.
- Emplacement (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant à l'emplacement d'utilisateur.
- Titre - l'attribut de la fiche d'utilisateur correspondant au titre d'utilisateur.
- Téléphone - l'attribut de la fiche d'utilisateur correspondant au numéro de téléphone d'utilisateur.
Paramètres avancés
L'option Masquer la page d'authentification permet de masquer la page d'authentification par défaut et rediriger vers le service d'authentification unique.
/Auth.aspx?skipssoredirect=true
après le nom de domaine de votre portail dans la barre d'adresse du navigateur.Une fois votre portail paramétré, cliquez sur Enregistrer. La section Les métadonnées du fournisseur de service ONLYOFFICE s'affiche.
Enregistrer ONLYOFFICE en tant que fournisseur de service fiable
Maintenant, il faut ajouter ONLYOFFICE en tant que fournisseur de service fiable depuis votre compte chez fournisseur d'identifiant en fournissant les métadonnées du fournisseur de service ONLYOFFICE à votre fournisseur d'identifiant.
Pour obtenir les informations nécessaires, veuillez consultez la section Les métadonnées du fournisseur de service ONLYOFFICE sur la page Authentification unique. Vérifiez si les données du fournisseur de service sont rendues publiques. Pour ce faire, cliquez sur le bouton Télécharger le fichier XML des métadonnées du fournisseur de service. Le contenu du fichier s'affiche dans un onglet de navigateur. Sauvegardez les données en tant qu'un fichier XML afin de le télécharger à votre fournisseur d'identifiant.
Vous pouvez également copier les paramètres appropriés manuellement en cliquant Copier dans le presse-papiers dans les champs appropriés.
Les paramètres disponibles:
- ID d'entité du fournisseur de service (lien vers le fichier XML des métadonnées) - l'adresse URL du fichier XML du fournisseur de service afin que le fournisseur d'identité puisse identifier sans équivoque le fournisseur de service. Par défaut, l'adresse de fichier est comme suit: http://example.com/sso/metadata où example.com est le nom de domaine ONLYOFFICE ou l'adresse IP publique.
- URL du service d'assertion ACS du fournisseur de service (prise en charge du POST et redirection de liaison) - l'adresse URL de réception et traitement des assertions envoyées par le fournisseur d'identité. L'adresse par défaut est: http://example.com/sso/acs où example.com est le nom de domaine ONLYOFFICE ou l'adresse IP publique.
- URL d'une déconnexion unique du fournisseur de service (prise en charge de POST et de liaison de redirection) - l'URL qui est utilisé pour une déconnexion unique sur le côté du fournisseur d'identité. C'est l'adresse de terminaison du fournisseur de service à laquelle le fournisseur d'identité envoie les requêtes/réponses de déconnexion. L'adresse par défaut est: http://example.com/sso/slo/callbackoù example.com est le nom de domaine ONLYOFFICE ou l'adresse IP publique.
Se connecter au fournisseur de service ONLYOFFICE
Une fois l'authentification unique activé et paramétré, la connexion se fait comme suit:
- L'utilisateur demande accès à ONLYOFFICE en cliquant sur le bouton Authentification unique (le texte sur le bouton peut différer si vous avez personnalisé le bouton pendant la configuration du fournisseur de service ONLYOFFICE) sur la page d'authentification ONLYOFFICE (authentification unique initié par le fournisseur de service).
- Si le fournisseur d'identité et le fournisseur de service sont paramétrés correctement, ONLYOFFICE envoie la requête d'authentification au fournisseur d'identité et redirige l'utilisateur vers la page du fournisseur d'identité où il faut saisir ses informations d'identification.
- Si l'utilisateur n'est pas encore connecté au fournisseur d'identité, il faut saisir ses informations d'identification chez fournisseur d'identité.
- Le fournisseur d'identité crée la requête d'authentification comportant les données d'utilisateur et l'envoie à ONLYOFFICE.
- ONLYOFFICE reçoit la réponse d'authentification du fournisseur d'identité et la valide.
- Une fois la réponse validé, ONLYOFFICE autorise l'utilisateur à se connecter (l'utilisateur manquant est créé automatiquement, ou les données sont mis à jour si le fournisseur d'identité a apporté des modifications).
Il est aussi possible de se connecter sur la page d'authentification du fournisseur d'identité (authentification unique initié par le fournisseur d'identité), saisir les information d'authentification et ensuite accéder à ONLYOFFICE sans avoir besoin de renseigner à nouveau l'identifiant et le mot de passe.
Se déconnecter du fournisseur de service ONLYOFFICE
Il y a deux façons de se déconnecter:
- Depuis le portail ONLYOFFICE en utilisant le menu Déconnexion (dans ce cas la requête de déconnexion est envoyé par le fournisseur d'identité). L'utilisateur sera déconnecté automatiquement du fournisseur d'identité lorsqu'il est déconnecté de toutes les applications déjà accédées via l'authentification unique.
- Depuis la page de déconnexion du fournisseur d'identité.
Modifier les profils utilisateur créés via l'authentification unique
Les profils des utilisateurs qui sont créés via l'authentification unique seront indiqués à l'aide d'icône SSO pour l'administrateur du portail.
La possibilité de modifier tels profils dans le module Personnes est limitée. Les champs qui étaient rempli en utilisant l'authentification unique sont désactivés et on ne peut pas les modifier depuis le module Personnes. On peut modifier les données d'utilisateur uniquement sur le côté du fournisseur d'identité.