ONLYOFFICE Docs 9.3 rilasciato: Editor di PDF migliorato e più opzioni di firma, visualizzazione multipagina per i documenti, Solver nei fogli di calcolo, riproduzione GIF in modalità presentazione, aggiornamenti basati sull’AI e altro ancora.
ONLYOFFICE Docs 9.3 rilasciato
Questo articolo è stato tradotto dall’AI

Abilitare il Single Sign-on per la versione SaaS

Introduzione

Se il tuo piano di servizio SaaS include questa funzionalità, la sezione Single Sign-on ti consente di abilitare l'autenticazione di terze parti utilizzando SAML, fornendo così un modo più rapido, semplice e sicuro per accedere al portale per gli utenti.

In generale, la tecnologia Single Sign-on permette agli utenti di effettuare il login una sola volta e poi accedere a più applicazioni/servizi senza dover autenticarsi nuovamente. Ad esempio, se un portale web include diverse sezioni indipendenti di grandi dimensioni (forum, chat, blog, ecc.), un utente può eseguire la procedura di autenticazione all'interno di uno dei servizi e ottenere automaticamente l'accesso a tutti gli altri servizi senza dover inserire le credenziali più volte.

Registrare il tuo Identity Provider nel Service Provider ONLYOFFICE

Un Identity Provider (IdP) è un servizio che crea, mantiene e gestisce le informazioni sull'identità degli utenti e fornisce l'autenticazione degli utenti ad altri Service Provider all'interno di una federazione. Servizi come OneLogin, ADFS, ecc. agiscono come Identity Provider. Un Service Provider (SP) è un'entità che fornisce servizi web e si affida a un Identity Provider di fiducia per l'autenticazione degli utenti. Nel nostro caso, il Service Provider è ONLYOFFICE.

Puoi abilitare SSO sulla base di SAML per lo scambio di dati di autenticazione/autorizzazione tra un Identity Provider e un Service Provider:

  • SAML (Security Assertion Markup Language) - uno standard XML che consente la trasmissione di dati di autenticazione/autorizzazione degli utenti tra un identity provider e un service provider tramite token di sicurezza che contengono asserzioni.

La sicurezza migliorata è garantita dal fatto che ONLYOFFICE non memorizza le password degli utenti; utilizza i risultati dell'autenticazione sul lato dell'Identity Provider. Tutte le informazioni necessarie sugli utenti vengono trasmesse tramite un token di autenticazione. Se le informazioni sugli utenti cambiano sul lato dell'Identity Provider, verranno automaticamente aggiornate sul portale durante la successiva autenticazione SSO (nota che i dati possono essere sincronizzati solo in una direzione: dall'Identity Provider a ONLYOFFICE Workspace).

Dopo che l'Identity Provider e ONLYOFFICE Workspace sono configurati reciprocamente per garantire SSO, il processo di autenticazione SSO degli utenti verrà eseguito sul lato dell'Identity Provider. ONLYOFFICE Workspace riceverà un token di autenticazione (SAML) dall'Identity Provider. Dopo che il token è stato convalidato (utilizzando firme digitali e la durata del token), ONLYOFFICE Workspace consente all'utente di accedere al portale.

Abilitare SSO

Per abilitare e configurare l'autenticazione SSO per il tuo portale, procedi come segue:

Controlla la configurazione dell'Identity Provider prima di regolare il Service Provider.

  1. Vai alla pagina Impostazioni del portale. Per farlo, clicca sull'icona Icona Impostazioni nell'angolo in alto a destra.
  2. Nella sezione Integrazione nella barra laterale sinistra, clicca sul link Single Sign-on.
  3. Attiva l'interruttore Abilita Autenticazione Single Sign-on sotto la dicitura Single Sign-on.
  4. Compila i campi richiesti nella sezione Impostazioni SP ONLYOFFICE. Le informazioni necessarie possono essere specificate in diversi modi:
    • Inserisci l'indirizzo URL al file dei metadati. Se i metadati del tuo IdP sono accessibili dall'esterno tramite il link, inserisci il link nel campo URL ai Metadati XML IdP e clicca sul pulsante freccia per caricare i dati. Quando i dati sono caricati, tutti i parametri richiesti verranno visualizzati automaticamente nel modulo esteso.
    • Carica il file dei metadati. Se il tuo IdP fornisce un file di metadati, utilizza il pulsante Seleziona file per cercare il file memorizzato sul tuo computer locale. Quando il file è caricato, tutti i parametri richiesti verranno visualizzati automaticamente nel modulo esteso.
    • Specifica manualmente i parametri richiesti. Se il file dei metadati non è disponibile, inserisci manualmente i parametri necessari. Per ottenere i valori necessari, contatta l'amministratore del tuo IdP.

Sono disponibili i seguenti parametri:

  • IdP Entity Id (campo obbligatorio) - l'identificatore o l'indirizzo URL dell'Identity Provider che verrà utilizzato dal Service Provider per identificare in modo univoco l'IdP.
    Ad esempio, https://example.com/idp/shibboleth

    dove example.com è il nome del dominio del tuo servizio SSO.

  • IdP Single Sign-On Endpoint URL (campo obbligatorio) - l'URL utilizzato per il single sign-on sul lato dell'Identity Provider. È l'indirizzo dell'endpoint nel tuo IdP a cui SP invia le richieste di autenticazione.

    Imposta il tipo di Binding necessario selezionando uno dei pulsanti radio corrispondenti. I binding specificano il modo in cui le richieste e le risposte di autenticazione vengono trasmesse tra IdP e SP sul protocollo di trasporto sottostante: utilizzando il binding HTTP POST o HTTP Redirect.

  • IdP Single Logout Endpoint URL - l'URL utilizzato per il single logout sul lato del Service Provider. È l'indirizzo dell'endpoint nel tuo IdP a cui SP invia le richieste/risposte di logout.

    Imposta il tipo di Binding necessario selezionando uno dei pulsanti radio corrispondenti. I binding specificano il modo in cui le richieste e le risposte di logout vengono trasmesse tra IdP e SP sul protocollo di trasporto sottostante: utilizzando il binding HTTP POST o HTTP Redirect.

  • NameId Format - il parametro NameID consente a SP di identificare un utente. Seleziona uno dei formati disponibili dall'elenco.
È possibile personalizzare il pulsante utilizzato per accedere al portale con il servizio Single Sign-on nella pagina di autenticazione ONLYOFFICE. Puoi farlo utilizzando il campo Personalizza didascalia pulsante di accesso nella sezione Impostazioni SP ONLYOFFICE.

Puoi anche aggiungere i certificati IdP e SP.

Certificati Pubblici IdP

Certificati Pubblici IdP - questa sezione ti consente di aggiungere i certificati pubblici dell'Identity Provider utilizzati da SP per verificare le richieste e le risposte dall'IdP.

Se hai caricato i metadati dell'IdP, questi certificati verranno aggiunti automaticamente al tuo portale. In caso contrario, i certificati possono essere trovati nel tuo account IdP. Per aggiungere un certificato manualmente, clicca sul pulsante Aggiungi certificato. Si apre la finestra Nuovo Certificato. Inserisci il certificato nel campo Certificato Pubblico e clicca sul pulsante OK.

Imposta parametri aggiuntivi per i certificati selezionando le caselle corrispondenti.

Specifica quali firme delle richieste/risposte inviate da IdP a SP devono essere verificate:

  • Verifica Firma Risposte Auth - per verificare le firme delle risposte di autenticazione SAML inviate a SP.
  • Verifica Firma Richieste Logout - per verificare le firme delle richieste di logout SAML inviate a SP.
  • Verifica Firma Risposte Logout - per verificare le firme delle risposte di logout SAML inviate a SP.

Seleziona l'algoritmo necessario dall'elenco Algoritmo Predefinito di Verifica Firma: rsa-sha1, rsa-sha256 o rsa-sha512.

Le impostazioni predefinite vengono utilizzate solo nei casi in cui i metadati dell'IdP non specificano quale algoritmo dovrebbe essere utilizzato.

Puoi modificare o eliminare i certificati aggiunti utilizzando il link corrispondente.

Certificati SP

Certificati SP - questa sezione ti consente di aggiungere i certificati del Service Provider utilizzati per firmare e crittografare le richieste e le risposte da SP.

Se il tuo IdP richiede che i dati in ingresso siano firmati e/o crittografati, crea o aggiungi i certificati corrispondenti in questa sezione.

Clicca sul pulsante Aggiungi certificato. Si apre la finestra Nuovo Certificato. Puoi generare un certificato auto-firmato o aggiungere un certificato esistente nel campo Certificato Pubblico e la chiave privata corrispondente nel campo Chiave Privata. Nell'elenco Usa per, seleziona una delle opzioni disponibili: firma, crittografa, firma e crittografa. Quando sei pronto, clicca sul pulsante OK.

A seconda dello scopo del certificato selezionato nell'elenco Usa per durante il caricamento/generazione del certificato, vengono specificati i parametri aggiuntivi del certificato. I seguenti parametri definiscono quali richieste/risposte inviate da SP a IdP devono essere firmate:

  • Firma Richieste Auth - per far sì che SP firmi le richieste di autenticazione SAML inviate a IdP.
  • Firma Richieste Logout - per far sì che SP firmi le richieste di logout SAML inviate a IdP.
  • Firma Risposte Logout - per far sì che SP firmi le risposte di logout SAML inviate a IdP.

Se hai selezionato l'opzione crittografa o firma e crittografa nell'elenco Usa per, viene controllato anche il parametro Decripta Asserzioni. La decrittazione viene eseguita utilizzando la corrispondente Chiave Privata.

Seleziona gli algoritmi necessari dagli elenchi:

  • Algoritmo di Firma: rsa-sha1, rsa-sha256 o rsa-sha512.
  • Algoritmo Predefinito di Decrittazione: aes128-cbc, aes256-cbc o tripledes-cbc.

Puoi modificare o eliminare i certificati aggiunti utilizzando il link corrispondente.

Mappatura degli Attributi

Mappatura degli Attributi - questa sezione ti consente di impostare la corrispondenza dei campi nel modulo Persone di ONLYOFFICE agli attributi utente, che verranno restituiti dall'IdP. Quando un utente accede a ONLYOFFICE SP utilizzando le credenziali SSO, ONLYOFFICE SP riceve gli attributi richiesti e popola i campi del nome completo e dell'indirizzo email nell'account utente con i valori ricevuti dall'IdP. Se l'utente non esiste nel modulo Persone, verrà creato automaticamente. Se le informazioni sull'utente sono state modificate sul lato IdP, verranno aggiornate anche in SP.

Gli attributi disponibili sono:

  • Nome (campo obbligatorio) - un attributo in un record utente che corrisponde al nome dell'utente.
  • Cognome
  • Cognome (campo obbligatorio) - un attributo nel record utente che corrisponde al secondo nome dell'utente.
  • Email (campo obbligatorio) - un attributo nel record utente che corrisponde all'indirizzo email dell'utente.
  • Località - un attributo nel record utente che corrisponde alla posizione dell'utente.
  • Titolo - un attributo nel record utente che corrisponde al titolo dell'utente.
  • Telefono - un attributo nel record utente che corrisponde al numero di telefono dell'utente.
Impostazioni Avanzate

L'opzione Nascondi pagina di autenticazione ti consente di nascondere la pagina di autenticazione predefinita e reindirizzare automaticamente al servizio SSO.

Importante Se hai bisogno di ripristinare la pagina di autenticazione predefinita (per poter accedere al portale se il tuo server IDP fallisce), puoi aggiungere la chiave /Auth.aspx?skipssoredirect=true dopo il nome di dominio del tuo portale nella barra degli indirizzi del browser.

Quando tutte le impostazioni sono specificate nel tuo portale, clicca sul pulsante Salva. Si aprirà la sezione Metadati SP di ONLYOFFICE.

Registrare ONLYOFFICE come Fornitore di Servizi fidato nel tuo Provider di Identità

Ora devi aggiungere ONLYOFFICE come Fornitore di Servizi fidato nel tuo account IdP specificando i metadati SP di ONLYOFFICE nell'IdP.

Per ricevere i dati necessari, fai riferimento alla sezione Metadati SP di ONLYOFFICE della pagina SSO. Verifica che i dati SP siano pubblicamente accessibili. Per farlo, clicca sul pulsante Scarica Metadati SP XML. Il contenuto del file XML verrà visualizzato in una nuova scheda del browser. Salva i dati come file XML per poterli caricare nell'IdP.

In alternativa, puoi copiare manualmente i parametri separati cliccando sul pulsante Copia negli appunti nei campi corrispondenti.

Sono disponibili i seguenti parametri:

  • ID Entità SP (link ai metadati XML) - l'indirizzo URL XML del Fornitore di Servizi, che può essere scaricato e utilizzato dal Provider di Identità per identificare inequivocabilmente il SP. Di default, il file si trova al seguente indirizzo: http://example.com/sso/metadata, dove example.com è il nome di dominio del tuo portale ONLYOFFICE o l'IP pubblico.
  • URL Consumer di Asserzioni SP (supporta binding POST e Redirect) - l'indirizzo URL del Fornitore di Servizi dove riceve e processa le asserzioni dal Provider di Identità. Di default, viene utilizzato il seguente indirizzo: http://example.com/sso/acs, dove example.com è il nome di dominio del tuo portale ONLYOFFICE o l'IP pubblico.
  • URL Logout Singolo SP (supporta binding POST e Redirect) - l'URL utilizzato per il logout singolo sul lato del Provider di Identità. È l'indirizzo endpoint nel tuo SP dove riceve e processa richieste/risposte di logout dal Provider di Identità. Di default, viene utilizzato il seguente indirizzo: http://example.com/sso/slo/callback dove example.com è il nome di dominio del tuo portale ONLYOFFICE o l'IP pubblico.
Questi parametri e i contenuti XML differiscono a seconda della configurazione del tuo portale, ad esempio, se passi il tuo portale a HTTPS o specifichi un nome di dominio, i parametri verranno modificati e dovrai riconfigurare il tuo IdP.

Accesso al SP di ONLYOFFICE

Dopo che il SSO è abilitato e configurato, il processo di accesso viene eseguito nel seguente modo:

  1. Un utente richiede l'accesso a ONLYOFFICE cliccando sul pulsante Single Sign-on (la didascalia può variare se hai specificato il tuo testo durante la configurazione del SP di ONLYOFFICE) alla pagina di Autenticazione del portale ONLYOFFICE (SSO avviato dal SP).
  2. Se tutte le impostazioni IdP e SP sono impostate correttamente, ONLYOFFICE invia la richiesta di autenticazione all'IdP e reindirizza l'utente alla pagina IdP dove vengono richieste le credenziali.
  3. Se l'utente non è già loggato nell'IdP, l'utente fornisce le credenziali sul lato IdP.
  4. IdP crea la risposta di autenticazione che contiene i dati utente e la invia a ONLYOFFICE.
  5. ONLYOFFICE riceve la risposta di autenticazione dal Provider di Identità e la valida.
  6. Se la risposta è validata, ONLYOFFICE consente all'utente di accedere (l'utente verrà creato automaticamente se mancante, o i dati verranno aggiornati se cambiati nell'IdP).

È anche possibile utilizzare la pagina di accesso sul lato del Provider di Identità (SSO avviato dall'IdP), inserire le credenziali e quindi accedere al portale ONLYOFFICE senza ri-autenticazione.

Disconnessione dal SP di ONLYOFFICE

Il logout può essere eseguito in due modi:

  1. Dal portale ONLYOFFICE utilizzando il menu Esci (in questo caso la richiesta verrà inviata dall'IdP per il logout). L'utente dovrebbe anche essere automaticamente disconnesso dall'IdP quando si disconnette da tutte le altre applicazioni precedentemente accessibili tramite autenticazione SSO.
  2. Dalla pagina di logout dell'IdP.

Modifica dei profili utente creati utilizzando SSO

Gli utenti creati utilizzando l'autenticazione SSO sono contrassegnati con l'icona SSO nella lista utenti per l'amministratore del portale.

La possibilità di modificare tali profili utente nel modulo Persone è limitata. I campi del profilo utente che sono stati creati utilizzando l'autenticazione SSO sono disabilitati per la modifica dal modulo Persone. I dati utente possono essere modificati solo sul lato IdP.

Voci con l'etichetta tag:
Sfoglia tutti i tag