ONLYOFFICE Docs 9.3 rilasciato: Editor di PDF migliorato e più opzioni di firma, visualizzazione multipagina per i documenti, Solver nei fogli di calcolo, riproduzione GIF in modalità presentazione, aggiornamenti basati sull’AI e altro ancora.
ONLYOFFICE Docs 9.3 rilasciato
Questo articolo è stato tradotto dall’AI

Panoramica del Single Sign-on di ONLYOFFICE per la versione server

Introduzione

La funzione di Single Sign-on fornita dal Pannello di Controllo ti consente di abilitare l'autenticazione di terze parti utilizzando i servizi SSO installati (Shibboleth, OneLogin o Active Directory Federation Services).

In generale, la tecnologia Single Sign-on permette agli utenti di accedere una sola volta e ottenere poi l'accesso a più applicazioni/servizi senza dover effettuare nuovamente l'autenticazione. Ad esempio, se un portale web include diverse sezioni indipendenti (forum, chat, blog, ecc.), un utente può effettuare la procedura di autenticazione all'interno di uno dei servizi e ottenere automaticamente l'accesso a tutti gli altri servizi senza inserire le credenziali più volte.

L'SSO è sempre garantito dall'operazione congiunta di due applicazioni: un Identity Provider e un Service Provider (d'ora in poi riferiti come "IdP" e "SP").

ONLYOFFICE SSO implementa solo lo SP. Molti fornitori diversi possono agire come IdP, ma ONLYOFFICE è stato testato solo con i seguenti servizi: Shibboleth, OneLogin e AD FS.

Utilizzando l'autenticazione SSO, ottieni i seguenti principali vantaggi:

  • Aumento della comodità. Gli utenti ottengono un modo più rapido e semplice per accedere al portale senza la necessità di memorizzare più password e login.
  • Maggiore sicurezza. ONLYOFFICE non memorizza le password degli utenti in alcuna forma; utilizza i risultati dell'autenticazione sul lato dell'Identity Provider.
  • Amministrazione facile. Tutte le informazioni necessarie sull'utente vengono trasmesse tramite un token di autenticazione. Se le informazioni sull'utente cambiano sul lato dell'Identity Provider, verranno automaticamente aggiornate sul portale durante la successiva autenticazione SSO. Se un profilo utente non esiste sul portale, verrà creato automaticamente quando l'utente accede al portale utilizzando le credenziali SSO per la prima volta.

In ONLYOFFICE, l'autenticazione SSO è implementata sulla base dello standard SAML sicuro e comunemente utilizzato. SAML (Security Assertion Markup Language) è uno standard XML che consente di trasmettere dati di autenticazione/autorizzazione degli utenti tra un Identity Provider e un Service Provider tramite token di sicurezza, che contengono asserzioni.

Questo articolo descrive il processo di abilitazione dell'SSO in generale. Se cerchi impostazioni/esempi specifici per determinati IdP, ti invitiamo a consultare i nostri articoli su come configurare ONLYOFFICE SP e Shibboleth, OneLogin o AD FS IdP.

Abilitazione SSO: versione server

Per abilitare e configurare l'autenticazione SSO per il tuo portale, devi eseguire i seguenti due passaggi principali:

  1. Registra il tuo Identity Provider nella pagina SSO del Pannello di Controllo di ONLYOFFICE. Le informazioni che dovresti specificare possono essere trovate nel tuo account Identity Provider.
    Se desideri utilizzare l'SSO quando colleghi ONLYOFFICE Desktop Editors al tuo ONLYOFFICE Workspace, disabilita le Private Rooms nel Pannello di Controllo.
  2. Registra ONLYOFFICE come Service Provider di fiducia nel tuo account Identity Provider. Questa procedura varia a seconda dell'Identity Provider selezionato.
Ogni portale può essere integrato con un solo Identity Provider alla volta.

Registrazione del tuo Identity Provider nel Service Provider di ONLYOFFICE

Per registrare il tuo IdP in ONLYOFFICE SP, utilizza la sezione Impostazioni SP di ONLYOFFICE della pagina SSO.

  1. Nel tuo portale ONLYOFFICE, vai al Pannello di Controllo e apri la pagina SSO nella sezione IMPOSTAZIONI PORTALE sulla barra laterale sinistra.
  2. Fai clic sull'interruttore Abilita Autenticazione Single Sign-on.
  3. Compila i campi richiesti nella sezione Impostazioni SP di ONLYOFFICE. Le informazioni necessarie possono essere specificate in diversi modi:
    • Inserisci l'indirizzo URL al file dei metadati. Se i metadati del tuo IdP sono accessibili dall'esterno tramite il link, inserisci il link nel campo URL ai Metadati XML dell'IdP e fai clic sul pulsante Carica dati. Quando i dati sono caricati, tutti i parametri richiesti verranno visualizzati automaticamente nel modulo esteso.
    • Carica il file dei metadati. Se il tuo IdP fornisce un file dei metadati, utilizza il pulsante Seleziona file per cercare il file memorizzato sul tuo computer locale. Quando il file è caricato, tutti i parametri richiesti verranno visualizzati automaticamente nel modulo esteso.
    • Specifica i parametri richiesti manualmente. Se il file dei metadati non è disponibile, inserisci i parametri necessari manualmente. Per ottenere i valori necessari, contatta l'amministratore del tuo IdP.

Sono disponibili i seguenti parametri:

  • IdP Entity Id (campo obbligatorio) - l'identificatore o l'indirizzo URL dell'Identity Provider che verrà utilizzato dal Service Provider per identificare in modo univoco l'IdP.
    Ad esempio, https://example.com/idp/shibboleth

    dove example.com è il nome di dominio del tuo servizio SSO

  • IdP Single Sign-On Endpoint URL (campo obbligatorio) - l'URL utilizzato per il single sign-on sul lato dell'Identity Provider. È l'indirizzo dell'endpoint nel tuo IdP a cui lo SP invia le richieste di autenticazione.

    Imposta il tipo di Binding necessario selezionando uno dei pulsanti radio corrispondenti. I binding specificano il modo in cui le richieste e le risposte di autenticazione vengono trasmesse tra l'IdP e lo SP sul protocollo di trasporto sottostante: utilizzando il binding HTTP POST o HTTP Redirect.

  • IdP Single Logout Endpoint URL - l'URL utilizzato per il single logout sul lato del Service Provider. È l'indirizzo dell'endpoint nel tuo IdP a cui lo SP invia le richieste/risposte di logout.

    Imposta il tipo di Binding necessario selezionando uno dei pulsanti radio corrispondenti. I binding specificano il modo in cui le richieste e le risposte di logout vengono trasmesse tra l'IdP e lo SP sul protocollo di trasporto sottostante: utilizzando il binding HTTP POST o HTTP Redirect.

  • NameId Format - il parametro NameID consente allo SP di identificare un utente. Seleziona uno dei formati disponibili dall'elenco.
È possibile personalizzare il pulsante utilizzato per accedere al portale con il servizio Single Sign-on nella pagina di autenticazione di ONLYOFFICE. Puoi farlo utilizzando il campo Didascalia pulsante di accesso personalizzato nella sezione Impostazioni SP di ONLYOFFICE.

Puoi anche aggiungere i certificati IdP e SP.

Certificati Pubblici IdP

Certificati Pubblici IdP - questa sezione ti consente di aggiungere i certificati pubblici dell'Identity Provider utilizzati dallo SP per verificare le richieste e le risposte dall'IdP.

Se hai caricato i metadati dell'IdP, questi certificati verranno aggiunti automaticamente al Pannello di Controllo. Altrimenti, i certificati possono essere trovati nel tuo account IdP. Per aggiungere un certificato manualmente, fai clic sul pulsante Aggiungi certificato. Si apre la finestra Nuovo Certificato. Inserisci il certificato nel campo Certificato Pubblico e fai clic sul pulsante OK.

Imposta parametri aggiuntivi per i certificati selezionando le caselle corrispondenti.

Specifica quali firme delle richieste/risposte inviate dall'IdP allo SP devono essere verificate:

  • Verifica Firma Risposta di Autenticazione - per verificare le firme delle risposte di autenticazione SAML inviate allo SP.
  • Verifica Firma Richiesta di Logout - per verificare le firme delle richieste di logout SAML inviate allo SP.
  • Verifica Firma Risposta di Logout - per verificare le firme delle risposte di logout SAML inviate allo SP.

Seleziona l'algoritmo necessario dall'elenco Algoritmo di Verifica Firma Predefinito: rsa-sha1, rsa-sha256 o rsa-sha512.

Le impostazioni predefinite vengono utilizzate solo nei casi in cui i metadati dell'IdP non specificano quale algoritmo deve essere utilizzato.

Puoi modificare o eliminare i certificati aggiunti utilizzando il link corrispondente.

Certificati SP

Certificati SP - questa sezione ti consente di aggiungere i certificati del Service Provider utilizzati per firmare e crittografare le richieste e le risposte dallo SP.

Se il tuo IdP richiede che i dati di input siano firmati e/o crittografati, crea o aggiungi i certificati corrispondenti in questa sezione.

Fai clic sul pulsante Aggiungi certificato. Si apre la finestra Nuovo Certificato. Puoi generare un certificato autofirmato o aggiungere un certificato esistente nel campo Certificato Pubblico e la chiave privata corrispondente nel campo Chiave Privata. Nell'elenco Usa per, seleziona una delle opzioni disponibili: firma, crittografa, firma e crittografa. Quando sei pronto, fai clic sul pulsante OK.

A seconda dello scopo del certificato selezionato nell'elenco Usa per durante il caricamento/generazione del certificato, vengono specificati i parametri aggiuntivi del certificato. I seguenti parametri definiscono quali richieste/risposte inviate dallo SP all'IdP devono essere firmate:

  • Firma Richieste di Autenticazione - per far sì che SP firmi le richieste di autenticazione SAML inviate all'IdP.
  • Firma Richieste di Logout - per far sì che SP firmi le richieste di logout SAML inviate all'IdP.
  • Firma Risposte di Logout - per far sì che SP firmi le risposte di logout SAML inviate all'IdP.

Se hai selezionato l'opzione crittografa o firma e crittografa nell'elenco Usa per, viene controllato anche il parametro Decrittografa Asserzioni. La decrittografia viene eseguita utilizzando la corrispondente Chiave Privata.

Seleziona gli algoritmi necessari dagli elenchi:

  • Algoritmo di Firma: rsa-sha1, rsa-sha256 o rsa-sha512.
  • Algoritmo di Decrittografia Predefinito: aes128-cbc, aes256-cbc o tripledes-cbc.

Puoi modificare o eliminare i certificati aggiunti utilizzando il link corrispondente.

Mappatura degli attributi

Mappatura degli attributi - questa sezione consente di impostare la corrispondenza dei campi nel modulo Persone di ONLYOFFICE agli attributi utente, che verranno restituiti dall'IdP. Quando un utente accede a ONLYOFFICE SP utilizzando le credenziali SSO, ONLYOFFICE SP riceve gli attributi richiesti e popola i campi del nome completo e dell'indirizzo email nell'account utente con i valori ricevuti dall'IdP. Se l'utente non esiste nel modulo Persone, verrà creato automaticamente. Se le informazioni dell'utente sono state modificate sul lato IdP, verranno aggiornate anche in SP.

Gli attributi disponibili sono:

  • Nome (campo obbligatorio) - un attributo in un record utente che corrisponde al nome dell'utente.
  • Cognome (campo obbligatorio) - un attributo in un record utente che corrisponde al cognome dell'utente.
  • Email (campo obbligatorio) - un attributo in un record utente che corrisponde all'indirizzo email dell'utente.
  • Posizione - un attributo in un record utente che corrisponde alla posizione dell'utente.
  • Titolo - un attributo in un record utente che corrisponde al titolo dell'utente.
  • Telefono - un attributo in un record utente che corrisponde al numero di telefono dell'utente.
Impostazioni avanzate

L'opzione Nascondi pagina di autenticazione consente di nascondere la pagina di autenticazione predefinita e reindirizzare automaticamente al servizio SSO.

Importante Se hai bisogno di ripristinare la pagina di autenticazione predefinita (per poter accedere al portale se il server IDP fallisce), puoi aggiungere la chiave /Auth.aspx?skipssoredirect=true dopo il nome di dominio del tuo portale nella barra degli indirizzi del browser.

Quando tutte le impostazioni sono specificate nel Pannello di controllo, fai clic sul pulsante Salva. Si aprirà la sezione Metadati ONLYOFFICE SP.

Registrazione di ONLYOFFICE come Service Provider di fiducia nel tuo Identity Provider

Ora è necessario aggiungere ONLYOFFICE come Service Provider di fiducia nel tuo account IdP specificando i metadati ONLYOFFICE SP nell'IdP.

Per ricevere i dati necessari, consulta la sezione Metadati ONLYOFFICE SP della pagina SSO. Verifica che i dati SP siano pubblicamente accessibili. Per farlo, fai clic sul pulsante Scarica Metadati SP XML. Il contenuto del file XML verrà visualizzato in una nuova scheda del browser. Salva i dati come file XML per poterli caricare nell'IdP.

In alternativa, puoi copiare manualmente i parametri separati facendo clic sul pulsante Copia negli appunti nei campi corrispondenti.

I seguenti parametri sono disponibili:

  • ID Entità SP (link ai metadati XML) - l'indirizzo URL XML del Service Provider, che può essere scaricato e utilizzato dall'Identity Provider per identificare inequivocabilmente lo SP. Per impostazione predefinita, il file si trova al seguente indirizzo: http://example.com/sso/metadata, dove example.com è il nome di dominio del tuo portale ONLYOFFICE o IP pubblico.
  • URL di Consumer Assertion SP (supporta binding POST e Redirect) - l'indirizzo URL del Service Provider dove riceve e elabora le asserzioni dall'Identity Provider. Per impostazione predefinita, viene utilizzato il seguente indirizzo: http://example.com/sso/acs, dove example.com è il nome di dominio del tuo portale ONLYOFFICE o IP pubblico.
  • URL di Logout Singolo SP (supporta binding POST e Redirect) - l'URL utilizzato per il logout singolo sul lato Identity Provider. È l'indirizzo endpoint nel tuo SP dove riceve e elabora le richieste/risposte di logout dall'Identity Provider. Per impostazione predefinita, viene utilizzato il seguente indirizzo: http://example.com/sso/slo/callback, dove example.com è il nome di dominio del tuo portale ONLYOFFICE o IP pubblico.
Questi parametri e i contenuti XML differiscono a seconda della configurazione del tuo portale, ad esempio, se cambi il tuo portale in HTTPS o specifichi un nome di dominio, i parametri verranno modificati e dovrai riconfigurare il tuo IdP.

Accesso a ONLYOFFICE SP

Dopo che l'SSO è abilitato e configurato, il processo di accesso viene eseguito nel seguente modo:

  1. Un utente richiede l'accesso a ONLYOFFICE facendo clic sul pulsante Single Sign-on (la didascalia può variare se hai specificato il tuo testo durante la configurazione di ONLYOFFICE SP) nella pagina di autenticazione del portale ONLYOFFICE (SSO avviato da SP).
  2. Se tutte le impostazioni IdP e SP sono impostate correttamente, ONLYOFFICE invia la richiesta di autenticazione all'IdP e reindirizza l'utente alla pagina IdP dove gli vengono richieste le credenziali.
  3. Se l'utente non è già connesso all'IdP, fornisce le credenziali nell'IdP.
  4. L'IdP crea la risposta di autenticazione che contiene i dati dell'utente e la invia a ONLYOFFICE.
  5. ONLYOFFICE riceve la risposta di autenticazione dall'Identity Provider e la convalida.
  6. Se la risposta è convalidata, ONLYOFFICE consente all'utente di accedere (l'utente verrà creato automaticamente se mancante, o i dati verranno aggiornati se modificati nell'IdP).

È anche possibile utilizzare la pagina di accesso sul lato Identity Provider (SSO avviato da IdP), inserire le credenziali e quindi accedere al portale ONLYOFFICE senza ri-autenticazione.

Disconnessione da ONLYOFFICE SP

La disconnessione può essere effettuata in 2 modi disponibili:

  1. Dal portale ONLYOFFICE utilizzando il menu Esci (in questo caso la richiesta verrà inviata dall'IdP per il logout). L'utente dovrebbe anche essere automaticamente disconnesso dall'IdP nel caso in cui sia disconnesso da tutte le altre applicazioni precedentemente accessibili tramite autenticazione SSO.
  2. Dalla pagina di logout dell'IdP.

Modifica dei profili utente creati utilizzando SSO

Gli utenti creati utilizzando l'autenticazione SSO sono contrassegnati con l'icona SSO nell'elenco utenti per l'amministratore del portale.

La possibilità di modificare tali profili utente nel modulo Persone è limitata. I campi del profilo utente che sono stati creati utilizzando l'autenticazione SSO sono disabilitati per la modifica dal modulo Persone. I dati utente possono essere modificati solo sul lato IdP.

Voci con l'etichetta tag:
Sfoglia tutti i tag