Configurazione di ONLYOFFICE SP e Shibboleth IdP

Introduzione

Single Sign-on (SSO) è una tecnologia che permette agli utenti di effettuare l'accesso una sola volta e poi ottenere accesso a più applicazioni/servizi senza dover autenticarsi nuovamente.

Se un portale web include diverse sezioni indipendenti di grandi dimensioni (forum, chat, blog, ecc.), un utente può completare la procedura di autenticazione in uno dei servizi e ottenere automaticamente accesso a tutti gli altri servizi senza dover inserire le credenziali più volte.

L'SSO è sempre garantito dalla cooperazione di due applicazioni: un Identity Provider e un Service Provider (di seguito indicati come "IdP" e "SP"). ONLYOFFICE SSO implementa solo il SP. Molti diversi provider possono agire come IdP, ma questo articolo considera l'implementazione di Shibboleth.

Se desideri utilizzare SSO quando colleghi ONLYOFFICE Desktop Editors al tuo ONLYOFFICE Workspace, disabilita le Private Rooms nel Pannello di Controllo.

Preparazione di ONLYOFFICE Workspace per la configurazione SSO

Installa ONLYOFFICE Workspace v. 11.0.0 per Docker o qualsiasi versione successiva con supporto SSO.
Aggiungi un nome di dominio, ad esempio, myportal-address.com.
Nel tuo portale, vai al Pannello di Controllo -> HTTPS, crea e applica il certificato letsencrypt per la crittografia del traffico (per abilitare HTTPS sul tuo portale).

Creazione di Shibboleth IdP

Requisiti

Per distribuire Shibboleth IDP, è necessaria una macchina host CentOS 7 pulita.
Il tempo deve essere impostato correttamente e il servizio di sincronizzazione dell'ora deve essere installato sulla macchina host per IDP:
```
timedatectl  status
yum install ntp
systemctl enable ntpd.service
ntpdate time.apple.com
```
Il pacchetto unzip deve essere installato sulla macchina:
```
yum install unzip
```
Docker e Docker Compose devono essere installati sulla macchina.
Un nome di dominio deve essere associato alla macchina (ad esempio, your-idp-domain.com)

Creazione di Shibboleth IdP

Per creare, configurare e avviare Shibboleth IDP, scarica ed esegui lo script install.sh.

Ecco cosa fa lo script:

scarica i file docker per creare immagini e container di Shibboleth Idp da github,
cambia il dominio predefinito idptestbed.edu nei file di configurazione con il dominio specificato durante l'esecuzione dello script,
aggiunge accesso tramite il protocollo SAML per il dominio SP di ONLYOFFICE specificato,
specifica quali attributi sono richiesti per ONLYOFFICE SP per emettere informazioni sugli utenti da Shibboleth IDP (l'impostazione Attribute Mapping),
crea e configura LDAP e crea utenti per l'emissione,
abilita il caricamento dinamico dei metadati da ONLYOFFICE SP a Shibboleth IDP,
abilita Shibboleth SLO, se necessario.

Scarica lo script install.sh:

curl -L https://help.onlyoffice.co/Products/Files/HttpHandlers/filehandler.ashx?action=download&fileid=6875651&doc=MW9QWHdCQU9HOTN5dlpBWVQxTGtOem55SjJaNWx4L1ZIdTNkQk53QnpDYz0_IjY4NzU2NTEi0 -o install.sh

Rendi lo script eseguibile:
```
chmod +x install.sh
```
Esegui lo script sostituendo i parametri con i tuoi:
```
./install.sh -id your-idp-domain.com -sd myportal-address.com --no_slo
```
Parametri dello script:
- -id - un nome di dominio della macchina corrente per Shibboleth IDP.
- -sd - un nome di dominio dove è distribuito ONLYOFFICE SP.
- --no_slo - disabilita il Single Logout in Shibboleth IDP (parametro opzionale).
Attendi che Shibboleth IDP si avvii dopo l'esecuzione dello script.
Per verificare che Shibboleth IDP sia avviato correttamente, apri il link https://your-idp-domain.com/idp/shibboleth nel tuo browser. Dovrebbe essere visualizzato un file XML.
Copia il link https://{your_idp_domain}/idp/shibboleth (ad esempio, https://your-idp-domain.com/idp/shibboleth) e accedi al portale ONLYOFFICE come amministratore. Apri la pagina Pannello di Controllo -> SSO.

Configurazione di ONLYOFFICE SP

Assicurati di essere connesso come Amministratore al tuo Pannello di Controllo di ONLYOFFICE e clicca sulla scheda SSO nella sezione IMPOSTAZIONI PORTALE nella barra laterale sinistra.
Puoi registrare solo un Identity Provider aziendale per la tua organizzazione sul portale ONLYOFFICE.
Abilita SSO utilizzando l'interruttore Abilita Autenticazione Single Sign-on e incolla il link all'IdP Shibboleth nel campo URL ai Metadati XML di IdP.
Premi il pulsante con la freccia verso l'alto per caricare i metadati dell'IdP. Il modulo Impostazioni SP di ONLYOFFICE verrà automaticamente compilato con i tuoi dati dall'IdP Shibboleth.
Poiché abbiamo disabilitato SLO durante l'esecuzione dello script install.sh specificando il parametro --no_slo, il campo URL del Punto di Logout Singolo di IdP sarà vuoto.
Una volta caricati i metadati dell'IdP, verranno aggiunti due certificati nella sezione Certificati pubblici di IdP. Vedrai anche la finestra pop-up con il seguente testo: 'Non sono supportati più certificati di verifica Idp. Si prega di lasciare solo il certificato Primario'.
Devi eliminare il secondo certificato nell'elenco e lasciare solo il primo certificato, che è il certificato primario. Usa il link Elimina accanto al secondo certificato per rimuoverlo. Se non rimuovi il certificato, non potrai salvare le impostazioni.
Nel campo Testo personalizzato del pulsante di login, puoi inserire qualsiasi testo al posto di quello predefinito (Single Sign-on). Questo testo verrà visualizzato sul pulsante utilizzato per accedere al portale con il servizio Single Sign-on nella pagina di autenticazione di ONLYOFFICE.
Ora devi creare certificati autofirmati o aggiungere altri certificati nella sezione Certificati SP.
Importante!Nell'elenco Usa per, scegli l'opzione firma e crittografa poiché il tuo Shibboleth IdP è configurato automaticamente con lo script install.sh per verificare che i dati siano firmati digitalmente e crittografati.

Dovresti ottenere un risultato simile:
Nella sezione Mapping degli attributi, imposta la corrispondenza dei campi nel modulo Persone di ONLYOFFICE agli attributi utente che verranno restituiti da Shibboleth IdP.
Nome urn:oid:2.5.4.42
Cognome urn:oid:2.5.4.4
Email urn:oid:0.9.2342.19200300.100.1.3
Località urn:oid:2.5.4.7
Titolo urn:oid:2.5.4.12
Telefono urn:oid:0.9.2342.19200300.100.1.41

Nella sezione Impostazioni avanzate, puoi selezionare l'opzione Nascondi pagina di autenticazione per nascondere la pagina di autenticazione predefinita e reindirizzare automaticamente al servizio SSO.

ImportanteSe hai bisogno di ripristinare la pagina di autenticazione predefinita (per poter accedere al portale se il tuo server IDP fallisce), puoi aggiungere la chiave /Auth.aspx?skipssoredirect=true dopo il nome di dominio del tuo portale nella barra degli indirizzi del browser.
Fai clic sul pulsante Salva.
Dovrebbe aprirsi la sezione Metadati SP di ONLYOFFICE.
Verifica che le nostre impostazioni siano pubblicamente disponibili facendo clic sul pulsante Scarica XML Metadati SP. Il contenuto del file XML dovrebbe essere visualizzato.

Questo file xml è solitamente utilizzato per configurare Shibboleth IDP, ma poiché lo script install.sh abilita DynamicHTTPMetadataProvider, non è necessario farlo (Shibboleth IDP scaricherà questo file xml alla prima richiesta di accesso).

Nome	urn:oid:2.5.4.42
Cognome	urn:oid:2.5.4.4
Email	urn:oid:0.9.2342.19200300.100.1.3
Località	urn:oid:2.5.4.7
Titolo	urn:oid:2.5.4.12
Telefono	urn:oid:0.9.2342.19200300.100.1.41

Verifica del funzionamento di ONLYOFFICE SP con Shibboleth IdP

Lo script install.sh ha creato 4 utenti che possono essere utilizzati per testare il funzionamento di ONLYOFFICE SP con Shibboleth IdP.

Email	Nome utente	Password	Commento
student1@{your_idp_domain}	student1	password	Standard
student2@{your_idp_domain}	student2	password	Senza givenName
student3@{your_idp_domain}	student3	password	Con umlaut
staff1@{your_idp_domain}	staff1	password	Solo campi obbligatori

Accesso a ONLYOFFICE dal lato SP

Vai alla pagina di autenticazione di ONLYOFFICE (ad esempio, https://myportal-address.com/Auth.aspx).
Fai clic sul pulsante Single sign-on (la didascalia potrebbe differire se hai specificato il tuo testo durante la configurazione di ONLYOFFICE SP). Se il pulsante manca, significa che SSO non è abilitato.
Se tutti i parametri SP e IdP sono impostati correttamente, verremo reindirizzati al modulo di accesso Shibboleth IdP:
Inserisci il nome utente e la password dell'account Shibboleth IdP (nome utente: student1, password: password) e seleziona la casella Non ricordare l'accesso.
Se le credenziali sono corrette, si apre una nuova finestra. Consenti la fornitura di informazioni al servizio facendo clic sul pulsante Accetta.
Se tutto è corretto, verremo reindirizzati alla pagina principale del portale (l'utente verrà creato automaticamente se mancante, o i dati verranno aggiornati se modificati nell'IDP).

Profili per utenti aggiunti con autenticazione SSO

La possibilità di modificare i profili utente creati utilizzando l'autenticazione SSO è limitata. I campi del profilo utente ricevuti dall'IdP sono disabilitati per la modifica (cioè, Nome, Cognome, Email, Titolo e Località). Puoi modificare questi campi solo dal tuo account IdP.

La figura seguente mostra il menu Azioni per un utente SSO:

Come configurare Shibboleth IdP e ONLYOFFICE SP

La figura seguente mostra un profilo utente SSO aperto per la modifica:

Gli utenti creati utilizzando l'autenticazione SSO sono contrassegnati con l'icona SSO nell'elenco degli utenti per gli amministratori del portale:

Per effettuare il logout dall'IdP di Shibboleth (se non hai selezionato la casella Non ricordare l'accesso al momento del login), vai al link che appare così: https://{shibboleth-idp-domain}/idp/profile/Logout