OneLogin IdP

Introduzione

Single Sign-on (SSO) è una tecnologia che permette agli utenti di effettuare il login una sola volta e poi accedere a più applicazioni/servizi senza dover autenticarsi nuovamente.

SSO è sempre garantito dall'operazione congiunta di due applicazioni: un Identity Provider e un Service Provider (anche chiamati "IdP" e "SP"). ONLYOFFICE SSO implementa solo il SP. Molti diversi provider possono agire come IdP, ma questo articolo considera l'implementazione di OneLogin.

Creare un IdP in OneLogin

1. Registrati su OneLogin, se non l'hai ancora fatto.
2. Accedi a OneLogin come amministratore.
3. Vai al menu Applications -> Applications -> Add App.
   
4. Nel campo di ricerca Find Application, digita il seguente testo: SAML Custom Connector (Advanced):
   
5. Seleziona l'opzione trovata.
6. In una nuova finestra che si apre, inserisci un qualsiasi Display Name, ad esempio, "IDP OneLogin DocSpace", per distinguere questa applicazione dalle altre, e fai clic sul pulsante Save.
   
7. Vai al sottomenu Configuration e compila i campi secondo la tabella sottostante:
   Specifica il tuo nome di dominio o IP pubblico dove è ospitato il tuo ONLYOFFICE SP al posto di myportal-address.com.

   Dettagli dell'applicazione
   RelayState	https://myportal-address.com
   Audience (EntityID)	https://myportal-address.com/sso/
   Recipient	https://myportal-address.com/sso/acs
   ACS (Consumer) URL Validator*	^https:\/\/myportal-address\.com\/sso\/acs\/$
   ACS (Consumer) URL*	https://myportal-address.com/sso/acs
   Single Logout URL	https://myportal-address.com/sso/slo/callback
   Iniziatore SAML	Service Provider
   Formato nameID SAML	Email
   Tipo di emittente SAML	Specifico
   Elemento di firma SAML	Assertion
   Cifra l'assertion	(seleziona questa casella)
   Metodo di cifratura SAML	AES-128-CBC
   Firma la richiesta SLO	(seleziona questa casella)
   Firma la risposta SLO	(seleziona questa casella)

   
   
   
8. Fai clic sul pulsante Save e vai al sottomenu Parameters.
   
9. Usa il link Add parameter per creare 3 parametri (givenName, sn, mail). Seleziona l'opzione Include in SAML assertion e specifica un valore dal Value lista, adatta per l'emissione dal catalogo dei campi della directory LDAP, per tutti:
   
10. Una volta compilati tutti i campi necessari per gli attributi di asserzione SAML nell'IdP, dovresti ottenere un risultato simile a quello mostrato nella figura sottostante. Clicca sul pulsante Salva.
    
11. Vai al sottomenu SSO. Scegli un certificato valido dall'elenco dei certificati cliccando sul link Cambia, se hai più certificati. Nel campo Algoritmo di Firma SAML, lascia l'opzione SHA-1 e clicca sul pulsante Salva:
    
12. Copia il link dal campo URL dell'Emittente (ad esempio, https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) e accedi al portale ONLYOFFICE come amministratore. Apri la pagina Impostazioni -> Integrazione -> Single Sign-On.

Configurazione di ONLYOFFICE SP

1. 
   Abilita SSO utilizzando l'interruttore Abilita Autenticazione Single Sign-on e incolla il link copiato dall'URL dell'emittente OneLogin nel campo URL per Idp Metadata XML.
   
2. Premi il pulsante con la freccia verso l'alto per caricare i metadati IdP. Il modulo Impostazioni SP di ONLYOFFICE verrà automaticamente compilato con i tuoi dati dall'IdP OneLogin.
   
   
   
3. Ora devi creare un certificato nella sezione Certificati SP. Per farlo, clicca sul pulsante Aggiungi certificato nella sezione corrispondente.
   
4. Nella finestra modale aperta, clicca sul link Genera Nuovo Certificato Autofirmato, scegli l'opzione Firma e crittografia nell'elenco Usa per. Prima di salvare il certificato, copia il testo del Certificato Pubblico negli appunti (sarà necessario per OneLogin), quindi clicca sul pulsante OK.
   
   
5. Clicca sul pulsante Salva.
6. La sezione Metadati SP di ONLYOFFICE dovrebbe essere aperta.
   
7. Torna a OneLogin per impostare la crittografia, apri la tua applicazione e vai all'impostazione Configurazione. Scorri la pagina verso il basso - dovrebbe apparire il nuovo campo Crittografia SAML per l'inserimento di una chiave di crittografia. Incolla il testo del Certificato Pubblico copiato dal passaggio 4 di questa istruzione in questo campo e clicca sul pulsante Salva:
   

Creare utenti in OneLogin e concedere loro l'accesso a ONLYOFFICE

Per creare utenti in OneLogin e fornire loro l'accesso al nostro SP di ONLYOFFICE, eseguire i seguenti passaggi:

1. vai alla pagina Utenti di OneLogin accedendo come amministratore,
   
2. crea un nuovo utente o modifica uno esistente,
3. vai al sottomenu Applicazioni e clicca sul pulsante +,
4. seleziona la nostra nuova applicazione creata dall'elenco e clicca su Continua,
   
5. in una nuova finestra che si apre, aggiungi i dati mancanti e clicca sul pulsante SALVA,
6. ora l'utente è in grado di lavorare in ONLYOFFICE SP.

Verifica del funzionamento di ONLYOFFICE SP con OneLogin IdP

Accesso a ONLYOFFICE dal lato SP

1. Vai alla pagina di Autenticazione di ONLYOFFICE (ad esempio, https://myportal-address.com/Auth.aspx).
2. Clicca sul pulsante Single sign-on. Se il pulsante manca, significa che SSO non è abilitato.
   
3. Se tutti i parametri SP e IdP sono impostati correttamente, verremo reindirizzati al modulo di accesso OneLogin IdP:
   
4. Inserisci il login e la password dell'utente a cui è stato concesso l'accesso a ONLYOFFICE SP e clicca sul pulsante ACCEDI.
5. Se le credenziali sono corrette, verremo reindirizzati alla pagina principale del portale (l'utente verrà creato automaticamente se mancante, o i dati verranno aggiornati se modificati nell'IDP).