Lançamento do ONLYOFFICE Docs 9.3: Editor de PDF aprimorado e mais opções de assinatura, visualização de várias páginas para documentos, Solver em planilhas, reprodução de GIFs no modo de apresentação de slides, atualizações com inteligência artificial e muito mais.
Lançamento do ONLYOFFICE Docs 9.3
Este artigo foi traduzido por IA

Visão geral do Single Sign-on do ONLYOFFICE para a versão do servidor

Introdução

A funcionalidade de Single Sign-on fornecida pelo Painel de Controle permite que você habilite a autenticação de terceiros usando os serviços SSO instalados (Shibboleth, OneLogin ou Active Directory Federation Services).

Geralmente, a tecnologia Single Sign-on permite que os usuários façam login apenas uma vez e, em seguida, tenham acesso a múltiplas aplicações/serviços sem a necessidade de reautenticação. Por exemplo, se um portal web inclui várias seções independentes grandes (fórum, chat, blogs, etc.), um usuário pode passar pelo procedimento de autenticação em um dos serviços e obter automaticamente acesso a todos os outros serviços sem precisar inserir credenciais várias vezes.

O SSO é sempre garantido pela operação conjunta de duas aplicações: um Provedor de Identidade e um Provedor de Serviço (doravante referidos como "IdP" e "SP").

O SSO do ONLYOFFICE implementa apenas o SP. Muitos provedores diferentes podem atuar como um IdP, mas o ONLYOFFICE foi testado apenas com os seguintes serviços: Shibboleth, OneLogin e AD FS.

Usando a autenticação SSO, você obtém os seguintes principais benefícios:

  • Aumento da conveniência. Os usuários obtêm uma maneira mais rápida e fácil de acessar o portal sem a necessidade de memorizar várias senhas e logins.
  • Segurança aprimorada. O ONLYOFFICE não armazena senhas de usuários de nenhuma forma; ele usa os resultados da autenticação no lado do Provedor de Identidade.
  • Administração fácil. Todas as informações necessárias do usuário são transmitidas através de um token de autenticação. Se as informações do usuário mudarem no lado do Provedor de Identidade, elas serão automaticamente atualizadas no portal durante a próxima autenticação SSO. Se um perfil de usuário não existir no portal, ele será criado automaticamente quando o usuário fizer login no portal usando as credenciais SSO pela primeira vez.

No ONLYOFFICE, a autenticação SSO é implementada com base no padrão SAML seguro e amplamente utilizado. SAML (Security Assertion Markup Language) é um padrão XML que permite transmitir dados de autenticação/autorização de usuários entre um Provedor de Identidade e um Provedor de Serviço através de tokens de segurança, que contêm afirmações.

Este artigo descreve o processo de habilitação do SSO em geral. Se você procura configurações/exemplos específicos para determinados IdPs, consulte nossos artigos sobre como configurar o SP do ONLYOFFICE e Shibboleth, OneLogin ou AD FS IdPs.

Habilitando SSO: versão do servidor

Para habilitar e configurar a autenticação SSO para o seu portal, você precisa realizar os seguintes dois passos principais:

  1. Registrar seu Provedor de Identidade na página SSO do Painel de Controle do ONLYOFFICE. As informações que você deve especificar podem ser encontradas na sua conta do Provedor de Identidade.
    Se você deseja usar o SSO ao conectar os ONLYOFFICE Desktop Editors ao seu ONLYOFFICE Workspace, desative as Salas Privadas no Painel de Controle.
  2. Registrar o ONLYOFFICE como um Provedor de Serviço confiável na sua conta do Provedor de Identidade. Este procedimento difere dependendo do Provedor de Identidade selecionado.
Cada portal pode ser integrado com apenas um Provedor de Identidade ao mesmo tempo.

Registrando seu Provedor de Identidade no Provedor de Serviço do ONLYOFFICE

Para registrar seu IdP no SP do ONLYOFFICE, use a seção Configurações do SP do ONLYOFFICE na página SSO.

  1. No seu portal ONLYOFFICE, vá para o Painel de Controle e abra a página SSO na seção CONFIGURAÇÕES DO PORTAL na barra lateral esquerda.
  2. Clique no interruptor Habilitar Autenticação Single Sign-on.
  3. Preencha os campos obrigatórios na seção Configurações do SP do ONLYOFFICE. As informações necessárias podem ser especificadas de várias maneiras diferentes:
    • Insira o endereço URL para o arquivo de metadados. Se os metadados do seu IdP estiverem acessíveis externamente pelo link, insira o link no campo URL para o XML de Metadados do IdP e clique no botão Carregar dados. Quando os dados forem carregados, todos os parâmetros necessários serão exibidos automaticamente no formulário estendido.
    • Carregue o arquivo de metadados. Se o seu IdP fornecer um arquivo de metadados, use o botão Selecionar arquivo para procurar o arquivo armazenado em sua máquina local. Quando o arquivo for carregado, todos os parâmetros necessários serão exibidos automaticamente no formulário estendido.
    • Especifique os parâmetros necessários manualmente. Se o arquivo de metadados não estiver disponível, insira os parâmetros necessários manualmente. Para obter os valores necessários, entre em contato com o administrador do seu IdP.

Os seguintes parâmetros estão disponíveis:

  • IdP Entity Id (campo obrigatório) - o identificador ou endereço URL do Provedor de Identidade que será usado pelo Provedor de Serviço para identificar inequivocamente o IdP.
    Ex.: https://example.com/idp/shibboleth

    onde example.com é o nome de domínio do seu serviço SSO

  • IdP Single Sign-On Endpoint URL (campo obrigatório) - o URL usado para o single sign-on no lado do Provedor de Identidade. É o endereço do endpoint no seu IdP para o qual o SP envia solicitações de autenticação.

    Defina o tipo de Binding necessário selecionando um dos botões de rádio correspondentes. Os bindings especificam a maneira como as solicitações e respostas de autenticação são transmitidas entre o IdP e o SP sobre o protocolo de transporte subjacente: usando o binding HTTP POST ou HTTP Redirect.

  • IdP Single Logout Endpoint URL - o URL usado para o single logout no lado do Provedor de Serviço. É o endereço do endpoint no seu IdP para o qual o SP envia solicitações/respostas de logout.

    Defina o tipo de Binding necessário selecionando um dos botões de rádio correspondentes. Os bindings especificam a maneira como as solicitações e respostas de logout são transmitidas entre o IdP e o SP sobre o protocolo de transporte subjacente: usando o binding HTTP POST ou HTTP Redirect.

  • NameId Format - o parâmetro NameID permite que o SP identifique um usuário. Selecione um dos formatos disponíveis na lista.
É possível personalizar o botão usado para fazer login no portal com o serviço Single Sign-on na página de autenticação do ONLYOFFICE. Você pode fazer isso usando o campo Legenda do botão de login personalizado na seção Configurações do SP do ONLYOFFICE.

Você também pode adicionar os certificados do IdP e do SP.

Certificados Públicos do IdP

Certificados Públicos do IdP - esta seção permite que você adicione os certificados públicos do Provedor de Identidade usados pelo SP para verificar as solicitações e respostas do IdP.

Se você carregou os metadados do IdP, esses certificados serão adicionados ao Painel de Controle automaticamente. Caso contrário, os certificados podem ser encontrados na sua conta do IdP. Para adicionar um certificado manualmente, clique no botão Adicionar certificado. A janela Novo Certificado será aberta. Insira o certificado no campo Certificado Público e clique no botão OK.

Defina parâmetros adicionais para verificação de certificados marcando as caixas correspondentes.

Especifique quais assinaturas de solicitações/respostas enviadas do IdP para o SP devem ser verificadas:

  • Verificar Assinatura de Resposta de Autenticação - para verificar assinaturas das respostas de autenticação SAML enviadas para o SP.
  • Verificar Assinatura de Solicitação de Logout - para verificar assinaturas das solicitações de logout SAML enviadas para o SP.
  • Verificar Assinatura de Resposta de Logout - para verificar assinaturas das respostas de logout SAML enviadas para o SP.

Selecione o algoritmo necessário na lista Algoritmo Padrão de Verificação de Assinatura: rsa-sha1, rsa-sha256 ou rsa-sha512.

As configurações padrão são usadas apenas em casos onde os metadados do IdP não especificam qual algoritmo deve ser usado.

Você pode editar ou excluir os certificados adicionados usando o link correspondente.

Certificados do SP

Certificados do SP - esta seção permite que você adicione os certificados do Provedor de Serviço usados para assinar e criptografar as solicitações e respostas do SP.

Se o seu IdP exigir que os dados de entrada sejam assinados e/ou criptografados, crie ou adicione os certificados correspondentes nesta seção.

Clique no botão Adicionar certificado. A janela Novo Certificado será aberta. Você pode gerar um certificado autoassinado ou adicionar um certificado existente no campo Certificado Público e a chave privada correspondente no campo Chave Privada. Na lista Usar para, selecione uma das opções disponíveis: assinatura, criptografar, assinatura e criptografar. Quando estiver pronto, clique no botão OK.

Dependendo do propósito do certificado selecionado na lista Usar para ao carregar/gerar o certificado, os parâmetros adicionais do certificado são especificados. Os seguintes parâmetros definem quais solicitações/respostas enviadas do SP para o IdP devem ser assinadas:

  • Assinar Solicitações de Autenticação - para que o SP assine as solicitações de autenticação SAML enviadas para o IdP.
  • Assinar Solicitações de Logout - para que o SP assine as solicitações de logout SAML enviadas para o IdP.
  • Assinar Respostas de Logout - para que o SP assine as respostas de logout SAML enviadas para o IdP.

Se você selecionou a opção criptografar ou assinatura e criptografar na lista Usar para, o parâmetro Descriptografar Afirmações também é marcado. A descriptografia é realizada usando a Chave Privada correspondente.

Selecione os algoritmos necessários nas listas:

  • Algoritmo de Assinatura: rsa-sha1, rsa-sha256 ou rsa-sha512.
  • Algoritmo Padrão de Descriptografia: aes128-cbc, aes256-cbc ou tripledes-cbc.

Você pode editar ou excluir os certificados adicionados usando o link correspondente.

Mapeamento de Atributos

Mapeamento de Atributos - esta seção permite definir a correspondência dos campos no módulo Pessoas do ONLYOFFICE aos atributos do usuário, que serão retornados do IdP. Quando um usuário faz login no SP do ONLYOFFICE usando as credenciais SSO, o SP do ONLYOFFICE recebe os atributos necessários e preenche os campos de nome completo e endereço de e-mail na conta do usuário com os valores recebidos do IdP. Se o usuário não existir no módulo Pessoas, ele será criado automaticamente. Se as informações do usuário forem alteradas no lado do IdP, elas serão atualizadas no SP também.

Os atributos disponíveis são:

  • Nome (campo obrigatório) - um atributo em um registro de usuário que corresponde ao primeiro nome do usuário.
  • Sobrenome (campo obrigatório) - um atributo em um registro de usuário que corresponde ao sobrenome do usuário.
  • Email (campo obrigatório) - um atributo em um registro de usuário que corresponde ao endereço de e-mail do usuário.
  • Localização - um atributo em um registro de usuário que corresponde à localização do usuário.
  • Cargo - um atributo em um registro de usuário que corresponde ao cargo do usuário.
  • Telefone - um atributo em um registro de usuário que corresponde ao número de telefone do usuário.
Configurações Avançadas

A opção Ocultar página de autenticação permite ocultar a página de autenticação padrão e redirecionar automaticamente para o serviço SSO.

Importante Se você precisar restaurar a página de autenticação padrão (para poder acessar o portal caso seu servidor IDP falhe), você pode adicionar a chave /Auth.aspx?skipssoredirect=true após o nome de domínio do seu portal na barra de endereço do navegador.

Quando todas as configurações estiverem especificadas no Painel de Controle, clique no botão Salvar. A seção Metadados do ONLYOFFICE SP será aberta.

Registrando o ONLYOFFICE como um Provedor de Serviço confiável no seu Provedor de Identidade

Agora você precisa adicionar o ONLYOFFICE como um Provedor de Serviço confiável na sua conta IdP especificando os metadados do ONLYOFFICE SP no IdP.

Para receber os dados necessários, consulte a seção Metadados do ONLYOFFICE SP da página SSO. Verifique se os dados do SP estão publicamente acessíveis. Para isso, clique no botão Baixar XML de Metadados do SP. O conteúdo do arquivo XML será exibido em uma nova aba do navegador. Salve os dados como um arquivo XML para poder carregá-lo no IdP.

Alternativamente, você pode copiar manualmente parâmetros separados clicando no botão Copiar para a área de transferência nos campos correspondentes.

Os seguintes parâmetros estão disponíveis:

  • ID da Entidade SP (link para XML de metadados) - o endereço URL do XML do Provedor de Serviço, que pode ser baixado e usado pelo Provedor de Identidade para identificar inequivocamente o SP. Por padrão, o arquivo está localizado no seguinte endereço: http://example.com/sso/metadata, onde example.com é o nome de domínio do seu portal ONLYOFFICE ou IP público.
  • URL do Consumidor de Asserção SP (suporta binding POST e Redirect) - o endereço URL do Provedor de Serviço onde ele recebe e processa asserções do Provedor de Identidade. Por padrão, o seguinte endereço é usado: http://example.com/sso/acs, onde example.com é o nome de domínio do seu portal ONLYOFFICE ou IP público.
  • URL de Logout Único SP (suporta binding POST e Redirect) - o URL usado para o logout único no lado do Provedor de Identidade. É o endereço de endpoint no seu SP onde ele recebe e processa solicitações/respostas de logout do Provedor de Identidade. Por padrão, o seguinte endereço é usado: http://example.com/sso/slo/callback, onde example.com é o nome de domínio do seu portal ONLYOFFICE ou IP público.
Esses parâmetros e conteúdos XML diferem dependendo da configuração do seu portal, por exemplo, se você mudar seu portal para HTTPS ou especificar um nome de domínio, os parâmetros também serão alterados, e você precisará reconfigurar seu IdP.

Fazendo login no ONLYOFFICE SP

Após o SSO ser habilitado e configurado, o processo de login é realizado da seguinte forma:

  1. Um usuário solicita acesso ao ONLYOFFICE clicando no botão Single Sign-on (a legenda pode diferir se você tiver especificado seu próprio texto ao configurar o SP do ONLYOFFICE) na página de Autenticação do portal ONLYOFFICE (SSO iniciado pelo SP).
  2. Se todas as configurações do IdP e SP estiverem corretas, o ONLYOFFICE envia a solicitação de autenticação para o IdP e redireciona o usuário para a página do IdP onde ele/ela é solicitado(a) a fornecer as credenciais.
  3. Se o usuário ainda não estiver logado no IdP, ele/ela fornece as credenciais no IdP.
  4. O IdP cria a resposta de autenticação que contém os dados do usuário e a envia para o ONLYOFFICE.
  5. O ONLYOFFICE recebe a resposta de autenticação do Provedor de Identidade e a valida.
  6. Se a resposta for validada, o ONLYOFFICE permite que o usuário faça login (o usuário será criado automaticamente se estiver ausente, ou os dados serão atualizados se alterados no IdP).

Também é possível usar a página de login no lado do Provedor de Identidade (SSO iniciado pelo IdP), inserir as credenciais e então acessar o portal ONLYOFFICE sem reautenticação.

Fazendo logout do ONLYOFFICE SP

O logout pode ser feito de 2 maneiras disponíveis:

  1. Do portal ONLYOFFICE usando o menu Sair (neste caso, a solicitação será enviada do IdP para logout). O usuário também deve ser automaticamente desconectado do IdP caso ele/ela tenha sido desconectado(a) de todos os outros aplicativos acessados anteriormente via autenticação SSO.
  2. Da página de logout do IdP.

Editando perfis de usuário criados usando SSO

Os usuários criados usando a autenticação SSO são marcados com o ícone SSO na lista de usuários para o administrador do portal.

A possibilidade de editar tais perfis de usuário no módulo Pessoas é restrita. Os campos de perfil de usuário que foram criados usando a autenticação SSO estão desabilitados para edição no módulo Pessoas. Os dados do usuário só podem ser alterados no lado do IdP.

Artigo com o tag:
Veja todas as etiquetas