Configurazione di ONLYOFFICE SP e OneLogin IdP

Introduzione

Single Sign-on (SSO) è una tecnologia che consente agli utenti di effettuare l'accesso una sola volta e quindi ottenere l'accesso a più applicazioni/servizi senza dover autenticarsi nuovamente.

SSO è sempre garantito dall'operazione congiunta di due applicazioni: un Identity Provider e un Service Provider (di seguito denominati "IdP" e "SP"). ONLYOFFICE SSO implementa solo il SP. Molti diversi provider possono agire come IdP, ma questo articolo considera l'implementazione di OneLogin.

Preparazione di ONLYOFFICE Workspace per la configurazione SSO

1. Installa ONLYOFFICE Workspace v. 11.0.0 per Docker o qualsiasi versione successiva con supporto SSO.
2. Aggiungi un nome di dominio, ad esempio, myportal-address.com.
3. Nel tuo portale, vai al Pannello di Controllo -> HTTPS, crea e applica il certificato letsencrypt per la crittografia del traffico (per abilitare HTTPS sul tuo portale).

Creazione di un IdP in OneLogin

1. Iscriviti a OneLogin, se non sei ancora registrato.
2. Accedi a OneLogin come amministratore.
3. Vai alla sezione Amministrazione.
4. Clicca sul menu Applicazioni. Clicca sul pulsante Aggiungi App.
   
5. Nel campo di ricerca Trova Applicazione, digita il seguente testo: SAML Custom Connector (Advanced):
   
6. Seleziona l'opzione trovata.
7. In una nuova finestra che si apre, inserisci un qualsiasi Nome Visualizzato, ad esempio, "IDP OneLogin Onlyoffice v11 Test", per distinguere questa applicazione dalle altre, sostituisci le icone con le tue e clicca sul pulsante Salva.
   
8. Vai al sottomenu Configurazione e compila i campi secondo la tabella sottostante:
   Specifica il tuo nome di dominio o IP pubblico dove è ospitato il tuo ONLYOFFICE SP invece di myportal-address.com.
   

   Dettagli dell'Applicazione
   RelayState	https://myportal-address.com
   Audience (EntityID)	https://myportal-address.com/sso/
   Recipient	https://myportal-address.com/sso/acs
   ACS (Consumer) URL Validator*	^https:\/\/myportal-address\.com\/sso\/acs\/$
   ACS (Consumer) URL*	https://myportal-address.com/sso/acs
   Single Logout URL	https://myportal-address.com/sso/slo/callback
   SAML initiator	Service Provider
   SAML nameID format	Email
   SAML issuer type	Specific
   SAML signature element	Assertion
   Encrypt assertion	(check this box)
   SAML encryption method	AES-128-CBC
   Sign SLO Request	(check this box)
   Sign SLO Response	(check this box)

   
9. Clicca sul pulsante Salva e vai al sottomenu Parametri.
   
10. Usa il pulsante + per creare 5 parametri (givenName, sn, mail, title, mobile). Seleziona l'opzione Includi nell'asserzione SAML e specifica un valore dall'elenco Valore, adatto per l'emissione dal catalogo dei campi della directory LDAP, per tutti:
    
11. Una volta compilati tutti i campi necessari per gli attributi dell'asserzione SAML nell'IdP, dovresti ottenere un risultato simile a quello mostrato nella figura sottostante. Clicca sul pulsante Salva button.
    
12. Vai al sottomenu SSO. Scegli un certificato valido dall'elenco dei certificati cliccando sul link Cambia, se hai più certificati. Nel campo Algoritmo di Firma SAML, lascia l'opzione SHA-1 e clicca sul pulsante Salva:
    
13. Copia il link dal campo URL Emittente (ad esempio, https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) e vai al portale ONLYOFFICE, accedendo come amministratore. Apri la pagina Pannello di Controllo -> SSO.

Configurazione di ONLYOFFICE SP

1. Assicurati di essere connesso come Amministratore al tuo Pannello di Controllo di ONLYOFFICE e clicca sulla scheda SSO nella sezione IMPOSTAZIONI PORTALE sulla barra laterale sinistra.
   Puoi registrare solo un provider di identità aziendale per la tua organizzazione sul portale ONLYOFFICE.
   
2. Abilita SSO utilizzando l'interruttore Abilita Autenticazione Single Sign-on e incolla il link copiato dall'URL emittente di OneLogin nel campo URL per Idp Metadata XML.
   

   Premi il pulsante con la freccia verso l'alto per caricare i metadati IdP. Il modulo Impostazioni SP di ONLYOFFICE verrà automaticamente compilato con i tuoi dati dall'IdP di OneLogin.

3. Nel campo Didascalia personalizzata del pulsante di login, puoi inserire qualsiasi testo al posto di quello predefinito (Single Sign-on). Questo testo verrà visualizzato sul pulsante utilizzato per accedere al portale con il servizio Single Sign-on alla pagina di autenticazione di ONLYOFFICE.
   
4. Ora devi creare un certificato nella sezione Certificati SP. Per farlo, clicca sul pulsante Aggiungi certificato nella sezione corrispondente.
   
5. Nella finestra modale aperta, clicca sul link Genera Nuovo Certificato Auto-firmato, e scegli l'opzione firma e cifra nella lista Usa per. Prima di salvare il certificato, copia il testo del Certificato Pubblico negli appunti (sarà necessario per OneLogin), quindi clicca sul pulsante OK.
   
6. Dovresti ottenere un risultato simile:
   
7. Non è necessario regolare il modulo Mapping Attributi poiché abbiamo specificato gli stessi parametri durante la creazione di OneLogin IdP. I seguenti valori sono utilizzati:

   Nome	givenName
   Cognome	sn
   Email	mail
   Luogo	l
   Titolo	title
   Telefono	mobile

   Nella sezione Impostazioni Avanzate, puoi selezionare l'opzione Nascondi pagina di autenticazione per nascondere la pagina di autenticazione predefinita e reindirizzare automaticamente al servizio SSO.

   ImportanteSe hai bisogno di ripristinare la pagina di autenticazione predefinita (per poter accedere al portale se il tuo server IDP fallisce), puoi aggiungere la chiave /Auth.aspx?skipssoredirect=true dopo il nome di dominio del tuo portale nella barra degli indirizzi del browser.
8. Clicca sul pulsante Salva. La sezione Metadati SP di ONLYOFFICE dovrebbe essere aperta. Verifica che le nostre impostazioni siano pubblicamente disponibili cliccando sul pulsante Scarica Metadati SP XML. Il contenuto del file XML dovrebbe essere visualizzato.
9. Torna a OneLogin per impostare la crittografia, apri la tua applicazione e vai all'impostazione Configurazione. Scorri verso il basso la pagina - dovrebbe apparire il nuovo campo Crittografia SAML per inserire una chiave di crittografia. Incolla il testo del Certificato Pubblico copiato dal passo 4 di questa istruzione in questo campo e clicca sul pulsante Salva:
   

Creazione di utenti in OneLogin e concessione dell'accesso a ONLYOFFICE

Per creare utenti in OneLogin e fornire loro accesso al nostro SP di ONLYOFFICE, esegui i seguenti passaggi:

1. vai a OneLogin Tutti gli Utenti pagina, accedendo come amministratore,
   
2. crea un nuovo utente o modifica uno esistente,
3. vai al sottomenu Applicazioni e fai clic sul pulsante +,
4. seleziona la nostra nuova applicazione creata dall'elenco e fai clic su CONTINUA,
   
5. in una nuova finestra che si apre, aggiungi i dati mancanti e fai clic sul pulsante SALVA,
   
6. ora l'utente è in grado di lavorare in ONLYOFFICE SP.

Verifica del funzionamento di ONLYOFFICE SP con OneLogin IdP

Accesso a ONLYOFFICE dal lato SP

1. Vai alla pagina di autenticazione di ONLYOFFICE (ad esempio, https://myportal-address.com/Auth.aspx).
2. Fai clic sul pulsante Single sign-on (la didascalia potrebbe differire se hai specificato il tuo testo durante la configurazione di ONLYOFFICE SP). Se il pulsante manca, significa che SSO non è abilitato.
   
3. Se tutti i parametri SP e IdP sono impostati correttamente, verremo reindirizzati al modulo di accesso OneLogin IdP:
   
4. Inserisci il login e la password dell'utente a cui è stato concesso l'accesso a ONLYOFFICE SP e fai clic sul pulsante ACCEDI.
5. Se le credenziali sono corrette, verremo reindirizzati alla pagina principale del portale (l'utente verrà creato automaticamente se mancante, o i dati verranno aggiornati se modificati nell'IDP).
   

Disconnessione da ONLYOFFICE SP

1. Un utente SSO può disconnettersi dal portale ONLYOFFICE utilizzando il menu Esci. L'utente dovrebbe essere automaticamente disconnesso anche da OneLogin IdP nel caso in cui si disconnetta da tutte le altre applicazioni a cui gli è stato concesso l'accesso in OneLogin e a cui ha precedentemente effettuato l'accesso.
   
2. Se ti sei disconnesso con successo, verrai reindirizzato alla pagina di autenticazione del portale.
   
3. Se fai clic nuovamente sul pulsante Single Sign-on, verrai reindirizzato nuovamente alla pagina di accesso di OneLogin (ciò significa che ti sei disconnesso con successo dal portale):
   

Profili per utenti aggiunti con autenticazione SSO

La possibilità di modificare i profili utente creati utilizzando l'autenticazione SSO è limitata. I campi del profilo utente ricevuti dall'IdP sono disabilitati per la modifica (ad esempio, Nome, Cognome, Email, Titolo e Località). Puoi modificare questi campi solo dal tuo account IdP.

La figura seguente mostra il menu Azioni per un utente SSO:

La figura seguente mostra un profilo utente SSO aperto per la modifica:

Gli utenti creati utilizzando l'autenticazione SSO sono contrassegnati con l'icona SSO nell'elenco utenti per gli amministratori del portale: