IdP Authentik

Introdução

Single Sign-on (SSO) é uma tecnologia que permite aos usuários fazer login apenas uma vez e, em seguida, acessar múltiplas aplicações/serviços sem a necessidade de nova autenticação.

O SSO é sempre garantido pela operação conjunta de duas aplicações: um Provedor de Identidade e um Provedor de Serviço (também chamados de "IdP" e "SP"). O SSO do ONLYOFFICE implementa apenas o SP. Muitos provedores diferentes podem atuar como IdP, mas este artigo considera a implementação do Authentik.

Criando um IdP no Authentik

1. Cadastre-se no painel de administração do Authentik (https://authentik.yourdomain.com/if/admin/).
2. Vá para Personalização -> Mapeamentos de Propriedades.
3. Clique em Criar -> Mapeamento de Propriedades do Provedor SAML.
4. Desta forma, crie 3 Mapeamentos de Propriedades com os seguintes parâmetros:

   Nome	Nome do Atributo SAML	Expressão
   Mapeamento SAML givenName	givenName	return user.attributes["first_name"]
   Mapeamento SAML sn	sn	return user.attributes["last_name"]
   Mapeamento SAML mail	mail	return user.email

   Este mapeamento de propriedades deve ser configurado se os usuários tiverem atributos especificados no Authentik. Se os atributos forem diferentes, substitua-os pelos necessários; se não houver atributos, nenhuma configuração é necessária.

   
5. Vá para Provedores -> Criar.
6. Selecione o tipo SAML.
   
7. Preencha os seguintes campos:

   Nome	Docspace SAML
   Fluxo de autorização	default-provider-authorization-implicit-consent (Authorize Application)
   URL ACS	https://docspace.example.com/sso/acs
   Emissor	https://docspace.example.com/sso/metadata
   Binding do Provedor de Serviço	POST
   Assinar afirmações	true
   Assinar respostas	true
   Certificado de Assinatura	Pela primeira vez, você pode especificar Certificado Autoassinado do Authentik ou substituí-lo pelo seu próprio certificado
   Mapeamentos de propriedades	Se você configurou atributos no passo 4, você precisará adicioná-los da coluna da esquerda para a direita, selecionando e clicando na seta para a direita

   
   
8. Clique em Concluir.
9. Vá para Aplicações -> Criar.
10. Preencha os seguintes campos:

    Nome	Docspace SAML
    Slug	docspace
    Provedor	Selecione Docspace SAML
    Modo do mecanismo de política	any

11. Clique em Criar.
    
12. Vá para o Provedor SAML criado.
13. Encontre o link da URL de Metadados (geralmente é https://authentik.example.com/application/saml/docspace/metadata.xml)
14. Copie este link ou baixe o XML.
    

Configurando ONLYOFFICE SP

Certifique-se de que você está logado como Administrador no seu ONLYOFFICE DocSpace e vá para o menu Configurações, selecione a seção Integração e abra a aba Single Sign-On.

1. Habilite o SSO usando o interruptor Habilitar Autenticação Single Sign-on e cole o link copiado no campo URL para XML de Metadados do IdP.
2. Pressione o botão com a seta para cima para carregar os metadados do IdP. O formulário de Configurações do ONLYOFFICE SP será automaticamente preenchido com seus dados do Authentik IdP.
3. Se os usuários não tiverem atributos configurados e o passo 4 da seção Criando um IDP no Authentik não foi realizado, então os seguintes parâmetros devem ser especificados em Mapeamento de Atributos:

   Primeiro Nome	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
   Sobrenome	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
   Email	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

   
4. Crie um certificado na seção Certificados SP. Para isso, clique no botão Adicionar certificado na seção correspondente.
   
5. Na janela modal aberta, clique no link Gerar Novo Certificado Autoassinado e escolha a opção assinar e criptografar na lista Usar para. Antes de salvar o certificado, copie o texto do Certificado Público para a área de transferência e salve-o em um arquivo (será necessário para o Authentik), depois clique no botão OK.
   
   
6. Clique no botão Salvar.
7. A seção Metadados ONLYOFFICE SP com o botão Baixar Metadados SP XML deve ser aberta.
   
8. Retorne ao Authentik para adicionar o certificado copiado. Vá para Sistema -> Certificados -> Criar.
9. Digite um nome arbitrário e cole o certificado copiado.
   
10. Especifique este certificado nas configurações do provedor.
    

    Se a criptografia for necessária, então no passo 8 você precisa criar um certificado com uma chave privada e especificar este certificado no campo Certificado de Criptografia.

Verificando o funcionamento do ONLYOFFICE SP com o Authentik IdP

1. Vá para a página de Autenticação do ONLYOFFICE DocSpace (por exemplo, https://meuportal-endereco.com/login).
   
2. Clique no botão Single Sign-on. Se o botão não estiver presente, isso significa que o SSO não está habilitado.
3. Se todos os parâmetros do SP e IdP estiverem configurados corretamente, seremos redirecionados para o formulário de login do Authentik IdP.
4. Insira o login e a senha do usuário Authentik e clique no botão Entrar.
5. Se as credenciais estiverem corretas, seremos redirecionados para a página principal do portal (o usuário será criado automaticamente se estiver ausente, ou os dados serão atualizados se alterados no IDP).