Lançamento do ONLYOFFICE Docs 9.3: Editor de PDF aprimorado e mais opções de assinatura, visualização de várias páginas para documentos, Solver em planilhas, reprodução de GIFs no modo de apresentação de slides, atualizações com inteligência artificial e muito mais.
Lançamento do ONLYOFFICE Docs 9.3
Este artigo foi traduzido por IA

Habilitando Single Sign-on para a versão SaaS

Introdução

Se o seu plano de serviço SaaS inclui este recurso, a seção de Single Sign-on permite que você ative a autenticação de terceiros usando SAML, proporcionando assim uma maneira mais rápida, simples e segura para os usuários acessarem o portal.

Geralmente, a tecnologia de Single Sign-on permite que os usuários façam login apenas uma vez e, em seguida, acessem múltiplas aplicações/serviços sem a necessidade de reautenticação. Por exemplo, se um portal web inclui várias seções independentes grandes (fórum, chat, blogs, etc.), um usuário pode passar pelo procedimento de autenticação em um dos serviços e automaticamente obter acesso a todos os outros serviços sem precisar inserir as credenciais várias vezes.

Registrando seu Provedor de Identidade no Provedor de Serviço ONLYOFFICE

Um Provedor de Identidade (IdP) é um serviço que cria, mantém e gerencia informações de identidade do usuário e fornece autenticação de usuário para outros Provedores de Serviço dentro de uma federação. Serviços como OneLogin, ADFS, etc. atuam como Provedores de Identidade. Um Provedor de Serviço (SP) é uma entidade que fornece serviços web e confia em um Provedor de Identidade confiável para autenticação de usuário. No nosso caso, o Provedor de Serviço é o ONLYOFFICE.

Você pode habilitar o SSO com base no SAML para a troca de dados de autenticação/autorização entre um Provedor de Identidade e um Provedor de Serviço:

  • SAML (Security Assertion Markup Language) - um padrão XML que permite a transmissão de dados de autenticação/autorização de usuário entre um provedor de identidade e um provedor de serviço através de tokens de segurança que contêm asserções.

A segurança aprimorada é garantida pelo fato de que o ONLYOFFICE não armazena senhas de usuários; ele usa os resultados da autenticação no lado do Provedor de Identidade. Todas as informações necessárias do usuário são transmitidas através de um token de autenticação. Se as informações do usuário mudarem no lado do Provedor de Identidade, elas serão automaticamente atualizadas no portal durante a próxima autenticação SSO (observe que os dados só podem ser sincronizados em uma direção: do Provedor de Identidade para o ONLYOFFICE Workspace).

Após o Provedor de Identidade e o ONLYOFFICE Workspace serem mutuamente configurados para garantir o SSO, o processo de autenticação SSO do usuário será realizado no lado do Provedor de Identidade. O ONLYOFFICE Workspace receberá um token de autenticação (SAML) do Provedor de Identidade. Após a validação do token (usando assinaturas digitais e o tempo de vida do token), o ONLYOFFICE Workspace permitirá que o usuário acesse o portal.

Habilitando SSO

Para habilitar e configurar a autenticação SSO para o seu portal, proceda da seguinte forma:

Verifique a configuração do Provedor de Identidade antes de ajustar o Provedor de Serviço.

  1. Vá para a página de Configurações do portal. Para fazer isso, clique no ícone Ícone de Configurações no canto superior direito.
  2. Na seção Integração na barra lateral esquerda, clique no link Single Sign-on.
  3. Ative o interruptor Habilitar Autenticação Single Sign-on sob o título Single Sign-on.
  4. Preencha os campos necessários na seção Configurações SP do ONLYOFFICE. As informações necessárias podem ser especificadas de várias maneiras diferentes:
    • Insira o endereço URL para o arquivo de metadados. Se os metadados do seu IdP estiverem acessíveis externamente pelo link, insira o link no campo URL para XML de Metadados do IdP e clique no botão de seta para carregar os dados. Quando os dados forem carregados, todos os parâmetros necessários serão exibidos automaticamente no formulário estendido.
    • Carregue o arquivo de metadados. Se o seu IdP fornecer um arquivo de metadados, use o botão Selecionar arquivo para procurar o arquivo armazenado em sua máquina local. Quando o arquivo for carregado, todos os parâmetros necessários serão exibidos automaticamente no formulário estendido.
    • Especifique os parâmetros necessários manualmente. Se o arquivo de metadados não estiver disponível, insira os parâmetros necessários manualmente. Para obter os valores necessários, entre em contato com o administrador do seu IdP.

Os seguintes parâmetros estão disponíveis:

  • IdP Entity Id (campo obrigatório) - o identificador ou endereço URL do Provedor de Identidade que será usado pelo Provedor de Serviço para identificar inequivocamente o IdP.
    Ex.: https://example.com/idp/shibboleth

    onde example.com é o nome de domínio do seu serviço SSO.

  • URL do Endpoint de Single Sign-On do IdP (campo obrigatório) - o URL usado para o single sign-on no lado do Provedor de Identidade. É o endereço do endpoint no seu IdP para o qual o SP envia solicitações de autenticação.

    Defina o tipo de Binding necessário selecionando um dos botões de rádio correspondentes. Bindings especificam a maneira como as solicitações e respostas de autenticação são transmitidas entre o IdP e o SP sobre o protocolo de transporte subjacente: usando o binding HTTP POST ou HTTP Redirect.

  • URL do Endpoint de Single Logout do IdP - o URL usado para o single logout no lado do Provedor de Serviço. É o endereço do endpoint no seu IdP para o qual o SP envia solicitações/respostas de logout.

    Defina o tipo de Binding necessário selecionando um dos botões de rádio correspondentes. Bindings especificam a maneira como as solicitações e respostas de logout são transmitidas entre o IdP e o SP sobre o protocolo de transporte subjacente: usando o binding HTTP POST ou HTTP Redirect.

  • Formato do NameId - o parâmetro NameID permite que o SP identifique um usuário. Selecione um dos formatos disponíveis na lista.
É possível personalizar o botão usado para login no portal com o serviço de Single Sign-on na página de autenticação do ONLYOFFICE. Você pode fazer isso usando o campo Legenda do botão de login personalizado na seção Configurações SP do ONLYOFFICE.

Você também pode adicionar os certificados do IdP e SP.

Certificados Públicos do IdP

Certificados Públicos do IdP - esta seção permite que você adicione os certificados públicos do Provedor de Identidade usados pelo SP para verificar as solicitações e respostas do IdP.

Se você carregou os metadados do IdP, esses certificados serão adicionados ao seu portal automaticamente. Caso contrário, os certificados podem ser encontrados na sua conta IdP. Para adicionar um certificado manualmente, clique no botão Adicionar certificado. A janela Novo Certificado será aberta. Insira o certificado no campo Certificado Público e clique no botão OK.

Defina parâmetros adicionais para verificação de certificados marcando as caixas correspondentes.

Especifique quais assinaturas de solicitações/respostas enviadas do IdP para o SP devem ser verificadas:

  • Verificar Assinatura de Respostas de Autenticação - para verificar assinaturas das respostas de autenticação SAML enviadas para o SP.
  • Verificar Assinatura de Solicitações de Logout - para verificar assinaturas das solicitações de logout SAML enviadas para o SP.
  • Verificar Assinatura de Respostas de Logout - para verificar assinaturas das respostas de logout SAML enviadas para o SP.

Selecione o algoritmo necessário na lista Algoritmo Padrão de Verificação de Assinatura: rsa-sha1, rsa-sha256 ou rsa-sha512.

As configurações padrão são usadas apenas em casos onde os metadados do IdP não especificam qual algoritmo deve ser usado.

Você pode editar ou excluir os certificados adicionados usando o link correspondente.

Certificados SP

Certificados SP - esta seção permite que você adicione os certificados do Provedor de Serviço usados para assinar e criptografar as solicitações e respostas do SP.

Se o seu IdP exigir que os dados de entrada sejam assinados e/ou criptografados, crie ou adicione os certificados correspondentes nesta seção.

Clique no botão Adicionar certificado. A janela Novo Certificado será aberta. Você pode gerar um certificado autoassinado ou adicionar um certificado existente no campo Certificado Público e a chave privada correspondente no campo Chave Privada. Na lista Usar para, selecione uma das opções disponíveis: assinatura, criptografar, assinatura e criptografar. Quando estiver pronto, clique no botão OK.

Dependendo do propósito do certificado selecionado na lista Usar para ao carregar/gerar o certificado, os parâmetros adicionais do certificado são especificados. Os seguintes parâmetros definem quais solicitações/respostas enviadas do SP para o IdP devem ser assinadas:

  • Assinar Solicitações de Autenticação - para que o SP assine as solicitações de autenticação SAML enviadas para o IdP.
  • Assinar Solicitações de Logout - para que o SP assine as solicitações de logout SAML enviadas para o IdP.
  • Assinar Respostas de Logout - para que o SP assine as respostas de logout SAML enviadas para o IdP.

Se você selecionou a opção criptografar ou assinatura e criptografar na lista Usar para, o parâmetro Descriptografar Asserções também é verificado. A descriptografia é realizada usando a Chave Privada correspondente.

Selecione os algoritmos necessários nas listas:

  • Algoritmo de Assinatura: rsa-sha1, rsa-sha256 ou rsa-sha512.
  • Algoritmo Padrão de Descriptografia: aes128-cbc, aes256-cbc ou tripledes-cbc.

Você pode editar ou excluir os certificados adicionados usando o link correspondente.

Mapeamento de Atributos

Mapeamento de Atributos - esta seção permite que você defina a correspondência dos campos no módulo Pessoas do ONLYOFFICE com os atributos do usuário, que serão retornados do IdP. Quando um usuário faz login no SP do ONLYOFFICE usando as credenciais SSO, o SP do ONLYOFFICE recebe os atributos necessários e preenche os campos de nome completo e endereço de e-mail na conta do usuário com os valores recebidos do IdP. Se o usuário não existir no módulo Pessoas, ele será criado automaticamente. Se as informações do usuário foram alteradas no lado do IdP, elas serão atualizadas no SP também.

Os atributos disponíveis são:

  • Primeiro Nome (campo obrigatório) - um atributo em um registro de usuário que corresponde ao primeiro nome do usuário.
  • Sobrenome
  • Sobrenome (campo obrigatório) - um atributo em um registro de usuário que corresponde ao segundo nome do usuário.
  • Email (campo obrigatório) - um atributo em um registro de usuário que corresponde ao endereço de email do usuário.
  • Localização - um atributo em um registro de usuário que corresponde à localização do usuário.
  • Título - um atributo em um registro de usuário que corresponde ao título do usuário.
  • Telefone - um atributo em um registro de usuário que corresponde ao número de telefone do usuário.
Configurações avançadas

A opção Ocultar página de autenticação permite ocultar a página de autenticação padrão e redirecionar automaticamente para o serviço SSO.

Importante Se você precisar restaurar a página de autenticação padrão (para poder acessar o portal caso o servidor IDP falhe), você pode adicionar a chave /Auth.aspx?skipssoredirect=true após o nome de domínio do seu portal na barra de endereços do navegador.

Quando todas as configurações estiverem especificadas em seu portal, clique no botão Salvar. A seção Metadados SP do ONLYOFFICE será aberta.

Registrando o ONLYOFFICE como um Provedor de Serviço confiável no seu Provedor de Identidade

Agora você precisa adicionar o ONLYOFFICE como um Provedor de Serviço confiável em sua conta IdP especificando os metadados SP do ONLYOFFICE no IdP.

Para receber os dados necessários, consulte a seção Metadados SP do ONLYOFFICE da página SSO. Verifique se os dados SP estão publicamente acessíveis. Para isso, clique no botão Baixar XML de Metadados SP. O conteúdo do arquivo XML será exibido em uma nova aba do navegador. Salve os dados como um arquivo XML para poder carregá-lo no IdP.

Alternativamente, você pode copiar manualmente parâmetros separados clicando no botão Copiar para a área de transferência nos campos correspondentes.

Os seguintes parâmetros estão disponíveis:

  • ID da Entidade SP (link para o XML de metadados) - o endereço URL do XML do Provedor de Serviço, que pode ser baixado e usado pelo Provedor de Identidade para identificar inequivocamente o SP. Por padrão, o arquivo está localizado no seguinte endereço: http://example.com/sso/metadata, onde example.com é o nome de domínio do seu portal ONLYOFFICE ou IP público.
  • URL de Consumidor de Asserção SP (suporta vinculação POST e Redirect) - o endereço URL do Provedor de Serviço onde ele recebe e processa asserções do Provedor de Identidade. Por padrão, o seguinte endereço é usado: http://example.com/sso/acs, onde example.com é o nome de domínio do seu portal ONLYOFFICE ou IP público.
  • URL de Logout Único SP (suporta vinculação POST e Redirect) - o URL usado para o logout único no lado do Provedor de Identidade. É o endereço de endpoint no seu SP onde ele recebe e processa solicitações/respostas de logout do Provedor de Identidade. Por padrão, o seguinte endereço é usado: http://example.com/sso/slo/callback onde example.com é o nome de domínio do seu portal ONLYOFFICE ou IP público.
Esses parâmetros e conteúdos XML diferem dependendo da configuração do seu portal, por exemplo, se você mudar seu portal para HTTPS ou especificar um nome de domínio, os parâmetros também serão alterados, e você precisará reconfigurar seu IdP.

Fazendo login no SP do ONLYOFFICE

Após o SSO ser habilitado e configurado, o processo de login é realizado da seguinte forma:

  1. Um usuário solicita acesso ao ONLYOFFICE clicando no botão Single Sign-on (a legenda pode diferir se você especificou seu próprio texto ao configurar o SP do ONLYOFFICE) na página de Autenticação do portal ONLYOFFICE (SSO iniciado pelo SP).
  2. Se todas as configurações do IdP e SP estiverem corretas, o ONLYOFFICE envia a solicitação de autenticação para o IdP e redireciona o usuário para a página do IdP onde as credenciais são solicitadas.
  3. Se o usuário ainda não estiver logado no IdP, ele fornece as credenciais no lado do IdP.
  4. O IdP cria a resposta de autenticação que contém os dados do usuário e a envia para o ONLYOFFICE.
  5. O ONLYOFFICE recebe a resposta de autenticação do Provedor de Identidade e a valida.
  6. Se a resposta for validada, o ONLYOFFICE permite que o usuário faça login (o usuário será criado automaticamente se estiver ausente, ou os dados serão atualizados se alterados no IdP).

Também é possível usar a página de login no lado do Provedor de Identidade (SSO iniciado pelo IdP), inserir credenciais e então acessar o portal ONLYOFFICE sem reautenticação.

Fazendo logout do SP do ONLYOFFICE

O logout pode ser realizado de duas maneiras:

  1. Do portal ONLYOFFICE usando o menu Sair (neste caso, a solicitação será enviada do IdP para logout). O usuário também deve ser automaticamente desconectado do IdP quando fizer logout de todos os outros aplicativos acessados anteriormente via autenticação SSO.
  2. Da página de logout do IdP.

Editando perfis de usuário criados usando SSO

Os usuários criados usando a autenticação SSO são marcados com o ícone SSO na lista de usuários para o administrador do portal.

A possibilidade de editar tais perfis de usuário no módulo Pessoas é restrita. Os campos de perfil de usuário que foram criados usando a autenticação SSO estão desabilitados para edição no módulo Pessoas. Os dados do usuário só podem ser alterados no lado do IdP.

Artigo com o tag:
Veja todas as etiquetas