Configurando ONLYOFFICE SP e OneLogin IdP

Introdução

Single Sign-on (SSO) é uma tecnologia que permite aos usuários fazer login apenas uma vez e, em seguida, acessar múltiplas aplicações/serviços sem a necessidade de nova autenticação.

O SSO é sempre garantido pela operação conjunta de duas aplicações: um Provedor de Identidade e um Provedor de Serviço (doravante referidos como "IdP" e "SP"). O ONLYOFFICE SSO implementa apenas o SP. Muitos provedores diferentes podem atuar como um IdP, mas este artigo considera a implementação do OneLogin.

Preparando o ONLYOFFICE Workspace para a configuração do SSO

1. Instale o ONLYOFFICE Workspace v. 11.0.0 para Docker ou qualquer versão posterior com suporte a SSO.
2. Adicione um nome de domínio, por exemplo, meuportal-endereco.com.
3. No seu portal, vá para o Painel de Controle -> HTTPS, crie e aplique o certificado letsencrypt para a criptografia de tráfego (para habilitar HTTPS no seu portal).

Criando um IdP no OneLogin

1. Inscreva-se no OneLogin, se ainda não estiver registrado.
2. Faça login no OneLogin como administrador.
3. Vá para a seção Administração.
4. Clique no menu Aplicações. Clique no botão Adicionar App.
   
5. No campo de busca Encontrar Aplicação, digite o seguinte texto: SAML Custom Connector (Advanced):
   
6. Selecione a opção encontrada.
7. Na nova janela que se abre, insira qualquer Nome de Exibição, por exemplo, "IDP OneLogin Onlyoffice v11 Test", para distinguir esta aplicação das outras, substitua os ícones pelos seus próprios e clique no botão Salvar.
   
8. Vá para o submenu Configuração e preencha os campos de acordo com a tabela abaixo:
   Por favor, especifique seu próprio nome de domínio ou IP público onde seu ONLYOFFICE SP está hospedado em vez de meuportal-endereco.com.
   

   Detalhes da Aplicação
   RelayState	https://meuportal-endereco.com
   Audience (EntityID)	https://meuportal-endereco.com/sso/
   Recipient	https://meuportal-endereco.com/sso/acs
   ACS (Consumer) URL Validator*	^https:\/\/meuportal-endereco\.com\/sso\/acs\/$
   ACS (Consumer) URL*	https://meuportal-endereco.com/sso/acs
   Single Logout URL	https://meuportal-endereco.com/sso/slo/callback
   SAML initiator	Provedor de Serviço
   SAML nameID format	Email
   SAML issuer type	Específico
   SAML signature element	Asserção
   Encrypt assertion	(marque esta caixa)
   SAML encryption method	AES-128-CBC
   Sign SLO Request	(marque esta caixa)
   Sign SLO Response	(marque esta caixa)

   
9. Clique no botão Salvar e vá para o submenu Parâmetros.
   
10. Use o botão + para criar 5 parâmetros (givenName, sn, mail, title, mobile). Marque a opção Incluir na asserção SAML e especifique um valor da lista Valor, adequado para emissão a partir do catálogo de campos do diretório LDAP, para todos eles:
    
11. Depois de preencher todos os campos necessários para os atributos de asserção SAML no IdP, você deve obter um resultado quase igual ao mostrado na figura abaixo. Clique no botão Salvar button.
    
12. Vá para o submenu SSO. Escolha um certificado válido na lista de certificados clicando no link Alterar, se você tiver vários certificados. No campo Algoritmo de Assinatura SAML, mantenha a opção SHA-1 e clique no botão Salvar:
    
13. Copie o link do campo URL do Emissor (por exemplo, https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) e vá para o portal ONLYOFFICE, fazendo login como administrador. Abra a página Painel de Controle -> SSO.

Configurando ONLYOFFICE SP

1. Certifique-se de que você está logado como Administrador no seu Painel de Controle do ONLYOFFICE e clique na aba SSO na seção CONFIGURAÇÕES DO PORTAL na barra lateral esquerda.
   Você só pode registrar um Provedor de Identidade empresarial para sua organização no portal ONLYOFFICE.
   
2. Ative o SSO usando o interruptor Habilitar Autenticação de Logon Único e cole o link copiado da URL do emissor do OneLogin no campo URL para Idp Metadata XML.
   

   Pressione o botão com a seta para cima para carregar os metadados do IdP. O formulário Configurações do ONLYOFFICE SP será preenchido automaticamente com seus dados do OneLogin IdP.

3. No campo Legenda do botão de login personalizado, você pode inserir qualquer texto em vez do padrão (Logon Único). Este texto será exibido no botão usado para fazer login no portal com o serviço de Logon Único na página de autenticação do ONLYOFFICE.
   
4. Agora você precisa criar um certificado na seção Certificados SP. Para fazer isso, clique no botão Adicionar certificado na seção correspondente.
   
5. Na janela modal aberta, clique no link Gerar Novo Certificado Autoassinado e escolha a opção assinar e criptografar na lista Usar para. Antes de salvar o certificado, copie o texto do Certificado Público para a área de transferência (será necessário para o OneLogin), então clique no botão OK.
   
6. Você deve obter um resultado semelhante:
   
7. Não é necessário ajustar o formulário Mapeamento de Atributos já que especificamos os mesmos parâmetros ao criar o OneLogin IdP. Os seguintes valores são usados:

   Nome	givenName
   Sobrenome	sn
   Email	mail
   Localização	l
   Título	title
   Telefone	mobile

   Na seção Configurações Avançadas, você pode marcar a opção Ocultar página de autenticação para ocultar a página de autenticação padrão e redirecionar automaticamente para o serviço SSO.

   ImportanteSe você precisar restaurar a página de autenticação padrão (para poder acessar o portal se o servidor IDP falhar), você pode adicionar a chave /Auth.aspx?skipssoredirect=true após o nome de domínio do seu portal na barra de endereços do navegador.
8. Clique no botão Salvar. A seção Metadados do ONLYOFFICE SP deve ser aberta. Verifique se nossas configurações estão publicamente disponíveis clicando no botão Baixar Metadados SP XML. O conteúdo do arquivo XML deve ser exibido.
9. Retorne ao OneLogin para configurar a criptografia, abra seu aplicativo e vá para a configuração Configuração. Role a página para baixo - o novo campo Criptografia SAML para inserir uma chave de criptografia deve aparecer. Cole o texto do Certificado Público copiado do passo 4 desta instrução neste campo e clique no botão Salvar:
   

Criando usuários no OneLogin e concedendo-lhes acesso ao ONLYOFFICE

Para criar usuários no OneLogin e fornecer-lhes acesso ao nosso ONLYOFFICE SP, execute as seguintes etapas:

1. vá para o OneLogin Todos os Usuários página, entrando como administrador,
   
2. criar um novo usuário ou editar um existente,
3. ir para o submenu Aplicações e clicar no botão +,
4. selecionar nossa aplicação recém-criada da lista e clicar em CONTINUAR,
   
5. em uma nova janela que se abre, adicionar os dados faltantes e clicar no botão SALVAR,
   
6. agora o usuário pode trabalhar no ONLYOFFICE SP.

Verificando o funcionamento do ONLYOFFICE SP com o OneLogin IdP

Entrando no ONLYOFFICE pelo lado do SP

1. Acesse a página de Autenticação do ONLYOFFICE (por exemplo, https://meuportal-endereco.com/Auth.aspx).
2. Clique no botão Single sign-on (a legenda pode diferir se você especificou seu próprio texto ao configurar o ONLYOFFICE SP). Se o botão estiver ausente, isso significa que o SSO não está habilitado.
   
3. Se todos os parâmetros do SP e IdP estiverem configurados corretamente, seremos redirecionados para o formulário de login do OneLogin IdP:
   
4. Insira o login e a senha do usuário que recebeu acesso ao ONLYOFFICE SP e clique no botão ENTRAR.
5. Se as credenciais estiverem corretas, seremos redirecionados para a página principal do portal (o usuário será criado automaticamente se estiver ausente, ou os dados serão atualizados se alterados no IDP).
   

Saindo do ONLYOFFICE SP

1. Um usuário SSO pode sair do portal ONLYOFFICE usando o menu Sair. O usuário também deve ser automaticamente desconectado do OneLogin IdP caso ele/ela seja desconectado de todos os outros aplicativos aos quais ele/ela teve acesso no OneLogin e que ele/ela tenha feito login anteriormente.
   
2. Se você saiu com sucesso, será redirecionado para a página de autenticação do portal.
   
3. Se você clicar no botão Single Sign-on novamente, será redirecionado para a página de login do OneLogin novamente (isso significa que você saiu com sucesso do portal):
   

Perfis para usuários adicionados com autenticação SSO

A possibilidade de editar perfis de usuários criados usando a autenticação SSO é restrita. Os campos do perfil do usuário recebidos do IdP estão desabilitados para edição (ou seja, Nome, Sobrenome, Email, Título e Localização). Você pode editar esses campos apenas a partir da sua conta IdP.

A figura abaixo mostra o menu Ações para um usuário SSO:

A figura a seguir mostra um perfil de usuário SSO aberto para edição:

Os usuários criados usando a autenticação SSO são marcados com o ícone SSO na lista de usuários para os administradores do portal: