Статьи с тэгом :
Закрыть
История изменений
Закрыть
Попробовать в облаке
Попробовать в облаке
Справочный центр
Панель управления

Настройка ONLYOFFICE SP и AD FS IdP

Панель управления v2.9 История изменений Панели управления ONLYOFFICE

Version 2.9.1

Release date: 12/10/2020

Bug fixes

  • Bug Fixes & Performance Improvements.

Version 2.9

Release date: 10/14/2020

General

  • Control Panel is available in the free Community version with all settings excepting the editors logo replacement;
  • Added the vsyscall check to the installation scripts when installing Mail Server on Debian with kernel 4.18.0 and later;
  • Redesign of the navigation menu: added Common and Portal settings sections, added icons to menu items;
  • Added the advanced rebranding page in the Common Settings;
  • Added the possibility to reindex the full-text search;
  • Updated node.js, updated packages (transition to samlify for SSO);
  • Added the Encryption at rest block in the Storage section;
  • Added the Private Room section for the server version only;
  • Added the upgrade page with a proposal to upgrade to Enterprise Edition;
  • Added the activate page with a possibility to upload a license file;
  • Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

LDAP

  • Added the Sign in to domain option on the authorization page.

Single Sign-on

  • Transition to the new samlify library;
  • Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

Version 2.7

Release date: 04/25/2019

LDAP

  • Added more fields mapped for the users loaded via LDAP: user photo, birthday, contacts, primary phone number;
  • Added the setting to autosync LDAP on schedule;
  • Added the possibility to give administrator rights to the user group at the portal via LDAP;
  • Updated the rules for LDAP users.

Version 2.5.1

Release date: 04/07/2018

LDAP

  • Fixed the Server internal error error when using the groups enclosed inside each other in the AD (bug #37414).

Single Sign-on

  • Fixed the issue when the user data between the Service Provider and the portal was transferred via HTTP only, even when HTTPS was enabled.

Version 2.4.0

Release date: 01/13/2018

Single Sign-on

  • Fixed the Invalid ssoConfig error which occurred when the link to the IdP contained the question mark '?', e.g.: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
  • Fixed the Invalid authentication token error which prevented from adding a user to the portal using the AD FS, in case the + or - characters were present when sending the encrypted data.

Version 2.3.0

Release date: 12/15/2017

General

  • Added the changelog for Control Panel and link to it;
  • Fixed the bug when JWT parameters were not sent when updating Document Server(bug #36270);
  • Fixed the bug when Audit Trail heading was present at the login history page (bug #36026);
  • The current machine is now checked for being linked with the domain name for multiple portals.

LDAP

  • Fixed the bug with the LDAP Domain not found error which occurred if the DN record had no DC records (the users with Sun/Oracle DS were affected); now if the LDAP domain could not be specified, the LDAP domain will acquire the unknown value or the ldap.domain value from the web.appsettings.config configuration file;
  • Fixed the bug with the Sizelimit Exceeded error when trying to get more than 1000 users from the Active Directory;
  • Increased the login speed with the Group Membership setting enabled;
  • Added additional logging;
  • Fixed the bug with LDAP operation hanging when using Mono v5.2.0 and older;
  • Fixed the bug with the error when trying to login using the email address entered in the fields different from the Mail Attribute;
  • Fixed the bug occurring in the enclosed groups, when the users were displayed not in all groups.

Version 2.2.0

Release date: 10/31/2017

General

  • Added the documentserver-prepare4shutdown.sh script launch when updating the document-server for the correct edited document saving.

LDAP

  • Dramatically changed LDAP integration, migrated to the single library for the work with LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
  • Login and email are now split into two separate fields;
  • Added the support for big data;
  • Increased the work speed via the LDAP protocol (the connection to the server and receiving the data is now made once per session, added the limits when only a certain number of results is necessary, fixed the slow login for bit data, removed the sorting out used to find the SID parameter);
  • Fixed the user re-creation issue;
  • Fixed the duplicate username issue;
  • Fixed the already existing email issue;
  • Replaced the LDAP user deletion with account deactivation (for further data migration and data safety);
  • Instead of re-creating a user with an unknown SID but an existing email the data is updated;
  • Added the attempt to save the correct UserName/Login in case a similar one is already taken on the portal.

Single Sign-on

  • Added the AD FS support;
  • Replaced the Single Sign-on link at the authorization page with the customizable button, added the button customization to the SSO setting of the Control Panel.

Version 2.1.0

Release date: 07/03/2017

HTTPS

  • Added the support of letsencrypt service for the domain certificate generation.

Single Sign-on

  • Added the new sso.auth service;
  • Added the new SSO settings page;
  • Added the support for Shibboleth.

Version 2.0.0

Release date: 05/25/2017

General

  • The Control Panel migrated from MVC to Node.js.

Version 1.6.0

Release date: 12/05/2016

LDAP

  • Added LDAP synchronization for users and groups when saving the settings, after login and using the Sync button;
  • Changed email formation for LDAP users;
  • Fixed the problem of creation of users with invalid emails;
  • Fixed the problem of duplicate users;
  • Added icons and hints to the users in the list for the admin;
  • Blocked for editing the user profile fields imported using LDAP;
  • Added the real LDAP password saving to the database during login in case LDAP Auth is disabled, now the LDAP users will become common portal users when LDAP Auth is disabled;
  • Added new API Settings method - Sync LDAP;
  • Added new translations;
  • Bug fixes.

Version for Windows

  • Made changes at the Update page for the Control Panel for Windows;
  • Updates are performed using the downloaded installation packages for each module.
  • The current installed component version numbers are obtained via API request to the Community Server.
  • The new versions available for download are obtained via the request to the https://download.onlyoffice.com/install/windows/updates.txt file, where all the latest component version numbers and links for their download are stored in the JSON format.

Введение

Технология единого входа (англ. Single Sign-On или SSO) - технология, которая позволяет пользователям осуществлять вход в систему только один раз, а затем получать доступ ко множеству приложений/сервисов без повторной аутентификации.

Если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.

SSO - это всегда совместная работа двух приложений: поставщика учетных записей (англ. Identity Provider, далее по тексту сокращенно "IdP") и поставщика сервиса (англ. Service Provider, далее по тексту сокращенно "SP"). ONLYOFFICE SSO реализует только SP. В качестве IdP может выступать множество различных провайдеров, но в этой статье мы рассмотрим реализацию Active Directory Federation Services (AD FS).

Если вы хотите использовать SSO при подключении Десктопных редакторов ONLYOFFICE к ONLYOFFICE Workspace, отключите Приватные комнаты в Панели управления.

Системные требования

Системные требования включают в себя следующее программное обеспечение, которое было протестировано и корректно работает с ONLYOFFICE SSO:

  • Windows Server 2008 R2, Windows Server 2016;
  • AD FS версии 3.0 или более поздней версии.

Подготовка ONLYOFFICE Workspace для настройки SSO

  1. Установите версию ONLYOFFICE Workspace для Docker или любую более позднюю версию с поддержкой SSO (AD FS поддерживается, начиная с версии 9.5 Сервера совместной работы).
  2. Привяжите доменное имя, например, myportal-address.com.
  3. На портале перейдите в Панель управления -> HTTPS, создайте и примените сертификат letsencrypt для шифрования трафика (для включения HTTPS на портале).

Подготовка AD FS для настройки SSO

  1. Установите последнюю версию AD DS (Active Directory Domain Service) со всеми официальными обновлениями и исправлениями.
  2. Установите последнюю версию AD FS со всеми официальными обновлениями и исправлениями.
    Для развёртывания AD FS с нуля можно воспользоваться следующей инструкцией.
  3. Проверьте, что ссылка на файл метаданных AD FS доступна публично. Для этого:
    1. В консоли Диспетчер сервера откройте Tools (Инструменты) -> AD FS Management (Управление AD FS),
    2. Перейдите в AD FS \ Service \ Endpoints (AD FS \ Служба \ Конечные точки),
    3. Найдите в таблице строку с типом Federation Metadata (Метаданные федерации). Ссылка на файл метаданных IdP формируется по следующей схеме:
      https://{ad-fs-domain}/{path-to-FederationMetadata.xml}
      Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP

      Можно также воспользоваться следующей командой PowerShell:

      PS C:\Users\Administrator> (Get-ADFSEndpoint | Where {$_.Protocol -eq "FederationMetadata" -or $_.Protocol -eq "Federation Metadata"}).FullUrl.ToString()

      В результате вы должны получить ссылку следующего вида:

      https://onlyofficevm.northeurope.cloudapp.azure.com/FederationMetadata/2007-06/FederationMetadata.xml
    4. Для проверки, что AD FS стартовал корректно, перейдите в браузере по ссылке, полученной ранее. Должна скачаться/отобразится xml. Скопируйте ссылку на xml-файл метаданных: она потребуется на следующем шаге.

Настройка ONLYOFFICE SP

  1. Убедитесь, что вы зашли в качестве администратора в Панель управления ONLYOFFICE, и щелкните вкладку SSO в разделе НАСТРОЙКИ ПОРТАЛА на левой боковой панели.
    Вы можете зарегистрировать только одного корпоративного поставщика учетных записей для вашей организации на портале ONLYOFFICE.
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  2. Включите SSO, используя переключатель Включить аутентификацию с помощью технологии единого входа. Ссылку, скопированную из AD FS, вставьте в поле URL-адрес XML-файла метаданных IdP.
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP

    Нажмите кнопку со стрелкой вверх, чтобы загрузить метаданные IdP. Форма Настройки поставщика сервиса ONLYOFFICE будет автоматически заполнена данными из AD FS IdP.

  3. В поле Пользовательская надпись для кнопки входа вы можете ввести любой текст вместо стандартного "Single Sign-on". Этот текст будет отображаться на кнопке для входа с помощью сервиса Single Sign-on на странице аутентификации портала ONLYOFFICE.
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  4. В селекторе Формат NameID выберите следующее значение: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  5. В разделе Открытые сертификаты поставщика учетных записей \ Дополнительные параметры уберите галочку Проверять подпись ответов выхода, так как AD FS не требует этого по умолчанию.
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  6. Теперь необходимо добавить сертификаты в раздел Сертификаты поставщика сервиса. Можно сгенерировать самоподписанные сертификаты или добавить любые другие.
    в окне Новый сертификат переключите селектор Использовать для на signing and encrypt, так как AD FS IdP автоматически настроен на проверку цифровой подписи и шифрование данных.
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP

    Должно получиться примерно так:

    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  7. В разделе Сертификаты поставщика сервиса \ Дополнительные параметры, уберите галочку Подписывать ответы выхода, так как AD FS не требует этого по умолчанию.
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
    Форму с заголовком Сопоставление атрибутов настраивать не нужно, так как эти параметры мы настоим в AD FS IdP позже. В разделе Дополнительные параметры можно включить настройку Скрыть страницу аутентификации, чтобы cкрыть страницу аутентификации по умолчанию и автоматически перенаправлять на сервис SSO.
    ВажноЕсли вам необходимо восстановить страницу аутентификации по умолчанию (чтобы иметь доступ к порталу, если ваш сервер IDP выйдет из строя), можно добавить ключ /Auth.aspx?skipssoredirect=true после доменного имени портала в адресной строке браузера.
  8. Нажмите кнопку Сохранить. Должен открыться раздел Метаданные поставщика сервиса ONLYOFFICE.
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP

    Проверьте, что настройки доступны публично, кликнув по кнопке СКАЧАТЬ XML-ФАЙЛ МЕТАДАННЫХ ПОСТАВЩИКА СЕРВИСА. Должно отобразиться содержимое XML-файла.

  9. Скопируйте ссылку на файл метаданных ONLYOFFICE SP из поля Идентификатор сущности поставщика сервиса (ссылка на XML-файл метаданных) и перейдите на машину, где установлен AD FS.
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP

Настройка AD FS IdP

  1. Включите строгую проверку подлинности для приложений .NET.

    Приложения .NET Framework 3.5/4.0/4.5.x можно переключить на протокол по умолчанию TLS 1.2, включив раздел реестра SchUseStrongCrypto. Этот раздел реестра принудительно заставит приложения .NET использовать TLS 1.2.

    Для AD FS на Windows Server 2016 и Windows Server 2012 R2 используйте ключ .NET Framework 4.0/4.5.x: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319

    Для .NET Framework 3.5 используйте следующий раздел реестра:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727] "SchUseStrongCrypto"=dword:00000001

    Для .NET Framework 4.0/4.5.x используйте следующий раздел реестра:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 "SchUseStrongCrypto"=dword:00000001
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP

    Можно также воспользоваться следующей командой PowerShell:

    New-ItemProperty -path 'HKLM:\SOFTWARE\Microsoft\.NetFramework\v4.0.30319' -name 'SchUseStrongCrypto' -value '1' -PropertyType 'DWord' -Force | Out-Null

    Для получения дополнительной информации обратитесь к этой статье.

  2. В консоли Диспетчер сервера откройте Tools (Инструменты) -> AD FS Management (Управление AD FS),
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  3. В панели управления AD FS выберите Trust Relationships > Relying Party Trusts (Отношения доверия -> Отношения доверия проверяющей стороны). Выберите команду Add Relying Party Trust... (Добавить отношение доверия проверяющей стороны...) справа. Откроется Мастер добавления отношений доверия проверяющей стороны,
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  4. В окне мастера выберите переключатель Import data about the relying party published online or on a local network (Импорт данных о проверяющей стороне, опубликованных в Интернете или локальной сети), вставьте скопированную ранее ссылку на файл метаданных ONLYOFFICE SP в поле Federation metadata address (host name or URL) (Адрес метаданных федерации (имя узла или URL-адрес)) и нажмите кнопку Next (Далее),
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  5. В поле Display name (Отображаемое имя) укажите любое имя и нажмите кнопку Next (Далее),
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  6. Выберите опцию I do not want to configure multi-factor authentication settings for this relying party trust at this time (Сейчас не настраивать параметры для этого отношения доверия с проверяющей стороной) и нажмите кнопку Next (Далее),
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  7. Выберите опцию Permit all users to access this relying party (Разрешить доступ к этой проверяющей стороне всем пользователям) и нажмите кнопку Next (Далее),
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  8. Проверьте полученные настройки и нажмите кнопку Next (Далее),
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  9. Оставьте опцию, выбранную по умолчанию, без изменений и нажмите кнопку Close (Закрыть),
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  10. Откроется новое окно. На вкладке Issuance Transform Rules (Правила преобразования выдачи) нажмите кнопку Add Rule... (Добавить правило...),
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  11. Выберите опцию Send LDAP Attributes as Claims (Отправка атрибутов LDAP как утверждений) из списка Claim rule template (Шаблон правила утверждения) и нажмите кнопку Next (Далее),
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  12. Напишите любое имя в поле Claim rule name (Имя правила утверждения). Выберите опцию Active Directory из списка Attribute store (Хранилище атрибутов) и заполните форму Mapping of LDAP attributes to outgoing claim types (Сопоставление атрибутов LDAP типам исходящих утверждений) согласно приведенной ниже таблице. Когда все будет готово, нажмите кнопку Finish (Завершить).
    LDAP Attribute (Атрибут LDAP) Outgoing Claim Type (Тип исходящего утверждения)
    Given-Name givenName
    Surname sn
    E-Mail-Addresses mail
    Telephone-Number mobile
    Title title
    physicalDeliveryOfficeName l
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  13. В окне Edit Claim Rules (Изменить правила утверждений) снова нажимите кнопку Add Rule... (Добавить правило...), выберите опцию Transform an Incoming Claim (Преобразование входящего утверждения) из списка Claim rule template (Шаблон правила утверждения) и нажмите кнопку Next (Далее),
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  14. Напишите любое имя в поле Claim rule name (Имя правила утверждения) и выберите следующие параметры из списков:
    • Incoming claim type (Тип входящего утверждения): mail,
    • Outgoing claim type (Тип исходящего утверждения): Name ID,
    • Outgoing name ID format (Формат ИД исходящего имени): Email
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP

    Когда все будет готово, нажмите кнопку Finish (Завершить).

    Должно получиться примерно так:

    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP

    Если не будет работать logout из AD FS, то стоит добавить Custom Claim Rule (настраиваемое правило утверждения), где {portal-domain} нужно заменить на домен своего SP, а {ad-fs-domain} заменить на домен IdP:

    c:[Type == "mail"]
     => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://{ad-fs-domain}/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://{portal-domain}/sso/metadata");
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  15. Нажмите кнопку OK,
  16. Для работы SSO из интранета потребуется включить опцию Forms Authentication (Проверка подлинности с помощью форм) в окне Edit Global Authentication Policy (Изменить глобальную политику проверки подлинности), вызываемом через контекстное меню AD FS / Authentication Policies (AD FS / Политики проверки подлинности),
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  17. Откройте свойства созданной проверяющей стороны и перейдите на вкладку Advanced (Дополнительные параметры),
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP

    Выберите опцию SHA-1 в списке Secure hash algorithm (Алгоритм SHA).

    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP

Проверка работы ONLYOFFICE SP и AD FS IdP

Вход в ONLYOFFICE на стороне SP
  1. Перейдите на страницу аутентификации ONLYOFFICE (например, https://myportal-address.com/auth.aspx).
  2. Нажмите на кнопку Single sign-on (название кнопки может отличаться, если вы указали свой вариант при настройке ONLYOFFICE SP). Если этой кнопки нет, то SSO не включен.
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  3. Если всё настроено верно в SP и IdP, мы будем перенаправлены на форму логина в AD FS IdP:
    Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
  4. Введите логин и пароль учетной записи в AD FS IdP и нажмите кнопку Sign in.
  5. Если учетные данные указаны правильно, мы будем перенаправлены на главную страницу портала (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).
Профили пользователей, добавленных с помощью SSO-аутентификации

Возможность редактирования профилей пользователей, созданных с помощью SSO-аутентификации, ограничена. Поля профиля пользователя, полученные из IdP, заблокированы для редактирования (а именно: Имя, Фамилия, Email, Позиция и Местоположение). Эти поля можно отредактировать только из вашей учетной записи в IdP.

На следующем изображении показано меню "Действия" для пользователя SSO:

Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP

На следующем изображении показан профиль пользователя SSO, открытый на редактирование:

Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP

Пользователи, созданные с помощью SSO-аутентификации, отмечены в списке пользователей значком SSO для администраторов портала:

Настройка ONLYOFFICE SP и AD FS IdP Настройка ONLYOFFICE SP и AD FS IdP
Скачать Разместите на собственном сервере Доступно для
Docker, Windows и Linux
Вас также может заинтересовать:
Закрыть