Configurazione di ONLYOFFICE SP e AD FS IdP

Introduzione

Single Sign-on (SSO) è una tecnologia che permette agli utenti di effettuare l'accesso una sola volta e poi accedere a più applicazioni/servizi senza dover autenticarsi nuovamente.

Se un portale web include diverse sezioni indipendenti (forum, chat, blog, ecc.), un utente può completare la procedura di autenticazione in uno dei servizi e ottenere automaticamente l'accesso a tutti gli altri servizi senza dover inserire le credenziali più volte.

SSO è sempre garantito dall'operazione congiunta di due applicazioni: un Identity Provider e un Service Provider (di seguito denominati "IdP" e "SP"). ONLYOFFICE SSO implementa solo il SP. Molti fornitori diversi possono agire come IdP, ma questo articolo considera l'implementazione di Active Directory Federation Services (AD FS).

Se desideri utilizzare SSO quando colleghi ONLYOFFICE Desktop Editors al tuo ONLYOFFICE Workspace, disabilita le Private Rooms nel Pannello di Controllo.

Requisiti di sistema

I requisiti di sistema includono il seguente software che è stato testato e si è dimostrato funzionante correttamente con ONLYOFFICE SSO:

Windows Server 2008 R2, Windows Server 2016;
AD FS versione 3.0 o successiva.

Preparazione di ONLYOFFICE Workspace per la configurazione SSO

Installa ONLYOFFICE Workspace per Docker o qualsiasi versione successiva con il supporto SSO (AD FS è supportato a partire da Community Server v9.5).
Aggiungi un nome di dominio, ad esempio, myportal-address.com.
Nel tuo portale, vai al Pannello di Controllo -> HTTPS, crea e applica il certificato letsencrypt per la crittografia del traffico (per abilitare HTTPS sul tuo portale).

Preparazione di AD FS per la configurazione SSO

Installa l'ultima versione di AD DS (Active Directory Domain Service) con tutti gli aggiornamenti e le patch ufficiali.
Installa l'ultima versione di AD FS con tutti gli aggiornamenti e le patch ufficiali.
Per distribuire AD FS da zero puoi utilizzare le seguenti istruzioni.
Verifica che il link ai metadati di AD FS sia pubblicamente disponibile. Per farlo,
1. Nel Server Manager, apri Strumenti -> Gestione AD FS,
2. Vai a AD FS \ Servizio \ Endpoint,
3. Trova la riga con il tipo Federation Metadata nella tabella. Il link ai metadati IdP è costruito secondo il seguente schema:
```
https://{ad-fs-domain}/{path-to-FederationMetadata.xml}
```
  In alternativa, puoi utilizzare il seguente comando PowerShell:
```
PS C:\Users\Administrator> (Get-ADFSEndpoint | Where {$_.Protocol -eq "FederationMetadata" -or $_.Protocol -eq "Federation Metadata"}).FullUrl.ToString()
```
  Come risultato dovresti ottenere un link simile a questo:
```
https://onlyofficevm.northeurope.cloudapp.azure.com/FederationMetadata/2007-06/FederationMetadata.xml
```
4. Per verificare che AD FS sia stato avviato correttamente, apri il link ricevuto in un browser web. L'xml dovrebbe essere visualizzato o scaricato. Copia il link al file xml dei metadati: sarà richiesto nel passaggio successivo.

Configurazione di ONLYOFFICE SP

Assicurati di essere connesso come Amministratore al tuo Pannello di Controllo di ONLYOFFICE e clicca sulla scheda SSO nella sezione IMPOSTAZIONI PORTALE nella barra laterale sinistra.
Puoi registrare un solo Identity Provider aziendale per la tua organizzazione sul portale ONLYOFFICE.
Abilita SSO utilizzando l'interruttore Abilita Autenticazione Single Sign-on e incolla il link copiato da AD FS nel campo URL ai Metadati Idp XML.

Premi il pulsante con la freccia verso l'alto per caricare i metadati IdP. Il modulo Impostazioni SP di ONLYOFFICE verrà automaticamente compilato con i tuoi dati dall'IdP AD FS.
Nel campo Testo personalizzato del pulsante di accesso, puoi inserire qualsiasi testo al posto di quello predefinito (Single Sign-on). Questo testo verrà visualizzato sul pulsante utilizzato per accedere al portale con il servizio Single Sign-on nella pagina di autenticazione di ONLYOFFICE.
Nel selettore Formato NameID, scegli il seguente valore: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.
Nella sezione Certificati Pubblici IdP \ Impostazioni avanzate, deseleziona l'opzione Verifica Firma Risposta Logout, poiché AD FS non lo richiede per impostazione predefinita.
Ora devi aggiungere certificati alla sezione Certificati SP. Puoi generare certificati autofirmati o aggiungere qualsiasi altro certificato.
nella finestra Nuovo Certificato, imposta il selettore Usa per sull'opzione firma e crittografia, poiché l'IdP AD FS è automaticamente configurato per verificare le firme digitali e crittografare i dati.

Dovresti ottenere un risultato simile:
Nella sezione Certificati SP \ Impostazioni avanzate, deseleziona l'opzione Firma le risposte di logout, poiché AD FS non lo richiede per impostazione predefinita.

Non è necessario modificare il modulo Mapping attributi, poiché imposteremo questi parametri successivamente nell'IdP AD FS. Nella sezione Impostazioni avanzate, puoi selezionare l'opzione Nascondi pagina di autenticazione per nascondere la pagina di autenticazione predefinita e reindirizzare automaticamente al servizio SSO.

ImportanteSe hai bisogno di ripristinare la pagina di autenticazione predefinita (per poter accedere al portale se il tuo server IDP fallisce), puoi aggiungere la chiave /Auth.aspx?skipssoredirect=true dopo il nome di dominio del tuo portale nella barra degli indirizzi del browser.
Fai clic sul pulsante Salva. La sezione Metadati SP ONLYOFFICE dovrebbe aprirsi.

Verifica che le nostre impostazioni siano pubblicamente disponibili facendo clic sul pulsante Scarica XML Metadati SP. Il contenuto del file XML dovrebbe essere visualizzato.
Copia il link ai metadati SP ONLYOFFICE dal campo ID entità SP (link ai metadati XML) e vai alla macchina dove è installato AD FS.

Configurazione di AD FS IdP

Abilita l'autenticazione forte per le applicazioni .NET.
Le applicazioni .NET Framework 3.5/4.0/4.5.x possono passare al protocollo predefinito TLS 1.2 abilitando la chiave di registro SchUseStrongCrypto. Questa chiave di registro forzerà le applicazioni .NET a utilizzare TLS 1.2.

Per AD FS su Windows Server 2016 e Windows Server 2012 R2 è necessario utilizzare la chiave .NET Framework 4.0/4.5.x: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

Per il .NET Framework 3.5 utilizza la seguente chiave di registro:
```
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727] "SchUseStrongCrypto"=dword:00000001
```
Per il .NET Framework 4.0/4.5.x utilizza la seguente chiave di registro:
```
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 "SchUseStrongCrypto"=dword:00000001
```
In alternativa, puoi utilizzare il seguente comando PowerShell:
```
New-ItemProperty -path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null
```
Per ulteriori dettagli, consulta questo articolo.
Nel Server Manager, apri Strumenti -> Gestione AD FS,
Nel pannello Gestione AD FS, seleziona Relazioni di fiducia > Fiducia del partner affidabile. Fai clic sull'opzione Aggiungi fiducia del partner affidabile... a destra. Si apre la Procedura guidata per l'aggiunta di fiducia del partner affidabile,
Nella finestra della procedura guidata, seleziona il pulsante di opzione Importa dati sul partner affidabile pubblicati online o su una rete locale, incolla il link precedentemente copiato ai metadati SP ONLYOFFICE nel campo Indirizzo dei metadati di federazione (nome host o URL) e fai clic sul pulsante Avanti,
Nel campo Nome visualizzato, specifica un nome qualsiasi e fai clic sul pulsante Avanti,
Seleziona l'opzione Non voglio configurare le impostazioni di autenticazione multifattore per questa fiducia del partner affidabile in questo momento e fai clic su Avanti button,
Seleziona l'opzione Consenti a tutti gli utenti di accedere a questa relying party e fai clic sul pulsante Avanti ,
Verifica le impostazioni risultanti e fai clic sul pulsante Avanti ,
Lascia l'opzione predefinita invariata e fai clic sul pulsante Chiudi ,
Si apre una nuova finestra. Nella scheda Regole di trasformazione dell'emissione, fai clic sul pulsante Aggiungi regola...,
Seleziona l'opzione Invia attributi LDAP come attestazioni dall'elenco Modello di regola di attestazione e fai clic sul pulsante Avanti ,

Inserisci un nome qualsiasi nel campo Nome regola di attestazione. Seleziona l'opzione Active Directory dall'elenco Archivio attributi e compila il modulo Mappatura degli attributi LDAP ai tipi di attestazione in uscita secondo la tabella sottostante. Quando sei pronto, fai clic su Fine.

Attributo LDAP (Seleziona o digita per aggiungere altri)	Tipo di attestazione in uscita (Seleziona o digita per aggiungere altri)
Given-Name	givenName
Surname	sn
E-Mail-Addresses	mail
Telephone-Number	mobile
Title	title
physicalDeliveryOfficeName	l

Come configurare ONLYOFFICE SP e AD FS IdP

Nella finestra Modifica regole di attestazione, fai nuovamente clic sul pulsante Aggiungi regola..., seleziona l'opzione Trasforma un'attestazione in ingresso dall'elenco Modello di regola di attestazione e fai clic sul pulsante Avanti ,

Inserisci un nome qualsiasi nel campo Nome regola di attestazione e seleziona le seguenti opzioni dagli elenchi:

Tipo di attestazione in ingresso: mail,
Tipo di attestazione in uscita: Name ID,
Formato del nome ID in uscita: Email

Quando sei pronto, fai clic sul pulsante Fine.

Dovresti ottenere un risultato simile:

Se il logout da AD FS non funziona, si consiglia di aggiungere una Regola di Attestazione Personalizzata sostituendo {portal-domain} con il tuo dominio SP e cambiando {ad-fs-domain} con il tuo dominio IdP:

c:[Type == "mail"]
 => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://{ad-fs-domain}/adfs/services/trust"

, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://{portal-domain}/sso/metadata");

Fai clic sul pulsante OK,
Affinché l'SSO possa funzionare dall'intranet, è necessario abilitare l'opzione Autenticazione tramite moduli nel Modifica criteri di autenticazione globali (menu contestuale AD FS / Criteri di autenticazione),
Apri le proprietà del trust della relying party creato e passa alla scheda Avanzate,

Seleziona l'opzione SHA-1 nell'elenco Algoritmo hash sicuro.

Verifica del funzionamento di ONLYOFFICE SP con AD FS IdP

Accesso a ONLYOFFICE dal lato SP

Vai alla pagina di autenticazione di ONLYOFFICE (ad esempio, https://myportal-address.com/auth.aspx).
Fai clic sul pulsante Single sign-on (la didascalia potrebbe variare se hai specificato un testo personalizzato durante la configurazione di ONLYOFFICE SP). Se il pulsante manca, significa che l'SSO non è abilitato.
Se tutti i parametri SP e IdP sono impostati correttamente, verremo reindirizzati al modulo di login di AD FS IdP:
Inserisci il login e la password dell'account AD FS IdP e fai clic sul pulsante Accedi.
Se le credenziali sono corrette, verremo reindirizzati alla pagina principale del portale (l'utente verrà creato automaticamente se mancante, o i dati verranno aggiornati se modificati nell'IDP).

Profili per utenti aggiunti con l'autenticazione SSO

La possibilità di modificare i profili utente creati utilizzando l'autenticazione SSO è limitata. I campi del profilo utente ricevuti dall'IdP sono disabilitati per la modifica (ad esempio, Nome, Cognome, Email, Titolo e Posizione). Puoi modificare questi campi solo dal tuo account IdP.

La figura seguente mostra il menu Azioni per un utente SSO:

La figura seguente mostra un profilo utente SSO aperto per la modifica:

Gli utenti creati utilizzando l'autenticazione SSO sono contrassegnati con l'icona SSO nell'elenco utenti per gli amministratori del portale: