ONLYOFFICE Docs 9.3 rilasciato: Editor di PDF migliorato e più opzioni di firma, visualizzazione multipagina per i documenti, Solver nei fogli di calcolo, riproduzione GIF in modalità presentazione, aggiornamenti basati sull’AI e altro ancora.
ONLYOFFICE Docs 9.3 rilasciato
Questo articolo è stato tradotto dall'AI

IdP di AD FS

Introduzione

Single Sign-on (SSO) è una tecnologia che permette agli utenti di effettuare l'accesso una sola volta e poi ottenere accesso a più applicazioni/servizi senza dover autenticarsi nuovamente.

Se un portale web include diverse sezioni indipendenti (forum, chat, blog ecc.), un utente può completare la procedura di autenticazione in uno dei servizi e ottenere automaticamente l'accesso a tutti gli altri servizi senza dover inserire le credenziali più volte.

SSO è sempre garantito dall'operazione congiunta di due applicazioni: un Identity Provider e un Service Provider (anche chiamati "IdP" e "SP"). ONLYOFFICE SSO implementa solo il SP. Molti fornitori diversi possono agire come IdP, ma questo articolo considera l'implementazione di Active Directory Federation Services (AD FS).

Preparazione di AD FS per la configurazione SSO

  1. Installa l'ultima versione di AD DS (Active Directory Domain Service) con tutti gli aggiornamenti e le patch ufficiali.
  2. Installa l'ultima versione di AD FS con tutti gli aggiornamenti e le patch ufficiali.
    Per distribuire AD FS da zero puoi utilizzare le seguenti istruzioni.
  3. Verifica che il link ai metadati di AD FS sia pubblicamente disponibile. Per farlo,
    1. Nel Server Manager, apri Strumenti -> Gestione AD FS,
    2. Vai a AD FS \ Servizio \ Endpoint,
    3. Trova la riga con il tipo Federation Metadata nella tabella. Il link ai metadati IdP è costruito secondo il seguente schema: 
      https://{ad-fs-domain}/{path-to-FederationMetadata.xml}

      In alternativa, puoi utilizzare il seguente comando PowerShell:

      PS C:\Users\Administrator> (Get-ADFSEndpoint | Where {$_.Protocol -eq "FederationMetadata" -or $_.Protocol -eq "Federation Metadata"}).FullUrl.ToString()

      Come risultato dovresti ottenere un link simile a questo:

      https://myportal-address.com/FederationMetadata/2007-06/FederationMetadata.xml
    4. Per verificare che AD FS sia stato avviato correttamente, apri il link ricevuto in un browser web. L'xml dovrebbe essere visualizzato o scaricato.
      Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP

      Copia il link al file xml dei metadati: sarà richiesto nel passaggio successivo. Assicurati di essere connesso come Amministratore al tuo ONLYOFFICE DocSpace. Apri la pagina Impostazioni -> Integrazione -> Single Sign-On.

Configurazione di ONLYOFFICE SP

  1. Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
    Abilita SSO utilizzando l'interruttore Abilita Autenticazione Single Sign-on e incolla il link copiato da AD FS nel campo URL ai Metadati XML Idp.
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  2. Premi il pulsante con la freccia verso l'alto per caricare i metadati IdP. Il modulo Impostazioni SP di ONLYOFFICE sarà automaticamente compilato con i tuoi dati da AD FS IdP.
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  3. Nel selettore Formato NameID, scegli il seguente valore: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  4. Nella sezione Certificati Pubblici IdP \ Impostazioni avanzate, deseleziona l'opzione Verifica Firma Risposta Logout, poiché AD FS non lo richiede di default.
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  5. Ora devi aggiungere certificati alla sezione Certificati SP. Puoi generare certificati auto-firmati o aggiungere qualsiasi altro certificato.
    Importantenella finestra Nuovo Certificato, cambia il selettore Usa per nell'opzione Firma e crittografia, poiché AD FS IdP è configurato automaticamente per verificare le firme digitali e crittografare i dati.
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  6. Nelle Impostazioni avanzate dei Certificati SP, deseleziona l'opzione Firma Risposte Logout, poiché AD FS non lo richiede di default.
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  7. Non è necessario modificare il modulo Mapping Attributi, poiché imposteremo questi parametri successivamente nell'IdP AD FS.
  8. Clicca sul pulsante Salva.
  9. Dovrebbe aprirsi la sezione Metadati SP di ONLYOFFICE.
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  10. Verifica che le nostre impostazioni siano pubblicamente disponibili cliccando su Scarica SP Metadata XML button. Il contenuto del file XML dovrebbe essere visualizzato.
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  11. Copia il link ai metadati di ONLYOFFICE SP dal campo SP Entity ID (link ai metadati XML) e vai alla macchina dove è installato AD FS.
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP

Configurazione di AD FS IdP

  1. Nel Server Manager, apri Strumenti -> Gestione AD FS,
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  2. Nel pannello Gestione AD FS, seleziona Relazioni di fiducia > Relying Party Trusts. Clicca sull'opzione Aggiungi Relying Party Trust... a destra. Si apre il Wizard per l'aggiunta di Relying Party Trust,
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  3. Nella finestra del wizard, seleziona il pulsante radio Importa dati sul relying party pubblicati online o su una rete locale, incolla il link precedentemente copiato ai metadati di ONLYOFFICE SP nel campo Indirizzo dei metadati di federazione (nome host o URL) e clicca sul pulsante Avanti,
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  4. Nel campo Nome visualizzato, specifica un nome qualsiasi e clicca sul pulsante Avanti,
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  5. Seleziona l'opzione Consenti a tutti e clicca sul pulsante Avanti,
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  6. Verifica le impostazioni risultanti e clicca sul pulsante Avanti,
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  7. Lascia l'opzione predefinita invariata e clicca sul pulsante Chiudi,
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  8. Si apre una nuova finestra. Nella scheda Modifica politica di emissione delle attestazioni, clicca sul pulsante Aggiungi regola...,
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  9. Seleziona l'opzione Invia attributi LDAP come attestazioni dalla lista Modello di regola di attestazione e clicca sul pulsante Avanti,
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  10. Inserisci un nome qualsiasi nel campo Nome della regola di attestazione. Seleziona l'opzione Active Directory dalla lista Archivio attributi e compila il modulo Mappatura degli attributi LDAP ai tipi di attestazione in uscita secondo la tabella sottostante. Quando sei pronto, clicca su Fine.
    Attributo LDAP (Seleziona o digita per aggiungere altri)Tipo di attestazione in uscita (Seleziona o digita per aggiungere altri)
    Given-NamegivenName
    Surnamesn
    E-Mail-Addressesmail
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  11. Nella finestra Modifica regole di attestazione, clicca nuovamente sul pulsante Aggiungi regola..., seleziona l'opzione Trasforma un'attestazione in entrata dalla lista Modello di regola di attestazione e clicca sul pulsante Avanti,
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  12. Inserisci un nome qualsiasi nel campo Nome della regola di attestazione e seleziona le seguenti opzioni dalle liste:
    • Tipo di attestazione in entrata: mail,
    • Tipo di attestazione in uscita: Name ID,
    • Formato del nome ID in uscita: Email
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP

    Quando sei pronto, fai clic sul pulsante Fine.

  13. Se il logout da AD FS non funziona, è consigliato aggiungere una Regola di Reclamo Personalizzata sostituendo {portal-domain} con il tuo dominio SP e cambiando {ad-fs-domain} con il tuo dominio IdP: 
    c:[Type == "mail"]
 => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://{ad-fs-domain}/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://{portal-domain}/sso/metadata");
    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
  14. Fai clic sul pulsante OK,
  15. Apri le proprietà del trust del relying party creato e passa alla scheda Avanzate,

    Seleziona l'opzione SHA-1 nell'elenco Algoritmo di hash sicuro.

    Come configurare ONLYOFFICE SP e AD FS IdP Come configurare ONLYOFFICE SP e AD FS IdP
Voci con l'etichetta tag:
Sfoglia tutti i tag