Статьи с тэгом :
Закрыть
История изменений
Закрыть
Справочный центр
Панель управления

Общие сведения о функции единого входа (SSO) ONLYOFFICE

Панель управленияv.2.9 История изменений Панели управления

Версия 2.9

Дата выпуска: 14.10.2020

Общее

  • Панель управления доступна в бесплатной версии Community со всеми настройками, кроме замены логотипа для редакторов;
  • В инсталляционные скрипты добавлена проверка vsyscall при установке Почтового сервера на Debian с ядром 4.18.0 и выше;
  • Редизайн навигационного меню: добавлены разделы "Общие настройки" и "Настройки портала", добавлены иконки для пунктов меню;
  • Добавлена страница расширенных настроек ребрендинга в общих настройках;
  • Добавлена возможность сброса индексов для полнотекстового поиска;
  • Обновлен node.js, обновлены пакеты (переход на samlify для SSO);
  • Добавлен блок Шифрование хранящихся данных в разделе Хранилище;
  • Добавлен раздел Приватная комната только для серверных версий;
  • Добавлена страница upgrade с предложением перейти на Enterprise Edition;
  • Добавлена страница activate с возможностью загрузки файла лицензии;
  • В настройку SSO добавлен пункт HideAuthPage для возможности скрыть страницу авторизации. При включении настройки HideAuthPage будет происходить автоматический редирект со страницы авторизации в SSO сервис.

LDAP

  • Добавлена настройка Войти в домен на странице авторизации.

Single Sign-on

  • Переход на новую библиотеку samlify;
  • В настройку SSO добавлен пункт HideAuthPage для возможности скрыть страницу авторизации. При включении настройки HideAuthPage будет происходить автоматический редирект со страницы авторизации в SSO сервис.

Версия 2.7

Дата выпуска: 25.04.2019

LDAP

  • Расширено число сопоставляемых полей для пользователей, загружаемых по LDAP: фото пользователя, день рождения, контакты, основной телефон;
  • Добавлена настройка для автоматической синхронизации LDAP по расписанию;
  • Добавлена возможность назначения прав администратора группам пользователей на портале по LDAP;
  • Обновлены правила для пользователей LDAP.

Версия 2.5.1

Дата выпуска: 07.04.2018

LDAP

  • Исправлена ошибка Server internal error при использовании вложенных групп, входящих друг в друга в AD (bug #37414).

Single Sign-on

  • Исправлена проблема, при которой данные пользователя пересылались между Service Provider и порталом только по протоколу HTTP, даже если был включен протокол HTTPS.

Версия 2.5.0

Дата выпуска: 15.03.2018

LDAP

  • Исправлена ошибка, при которой аккаунт пользователя, добавленного через LDAP, не подключался в сторонних клиентах (bug #26073);
  • Исправлена ошибка, при которой пользователи, состоящие в группах с недопустимыми символами, не могли пройти авторизацию с помощью LDAP (bug #36891);
  • Исправлена ошибка Internal Server Error при обновлении пользователей, у которых поля location или title были сохранены со значением NULL.

Версия 2.4.0

Дата выпуска: 13.01.2018

Single Sign-on

  • Исправлена ошибка Invalid ssoConfig, возникавшая, если в ссылке на IDP присутствовал знак вопроса '?', например: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
  • Исправлена ошибка Invalid authentication token, при которой не добавлялся пользователь на портал по AD FS, если при передаче данных в зашифрованном виде присутствовали символы + или -.

Версия 2.3.0

Дата выпуска: 15.12.2017

Общее

  • Для Панели управления добавлена история изменений и ссылка на нее;
  • Исправлена ошибка, при которой не передавались параметры JWT при обновлении Сервера документов (bug #36270);
  • Исправлена ошибка, при которой заголовок Журнал аудита отображался на странице истории входов в систему (bug #36026);
  • Теперь выполняется проверка связи текущей машины и доменного имени при использовании мультипортальности.

LDAP

  • Исправлена ошибка LDAP Domain not found, которая появлялась, если в DN-записи не было DC-записей (у пользователей с Sun/Oracle DS); теперь, если LDAP-домен определить не получится, LDAP-домен будет приобретать значение unknown или значение ключа ldap.domain из файла конфигурации web.appsettings.config;
  • Исправлена ошибка Sizelimit Exceeded при попытке получения более 1000 пользователей из Active Directory;
  • Увеличена скорость входа в систему при включенной настройке Принадлежность к группе;
  • Добавлены дополнительные логи;
  • Исправлена ошибка с зависанием LDAP-операций при использовании Mono версии 5.2.0 и старше;
  • Исправлена ошибка при попытке входа в систему по адресу электронной почты, введенному в полях, отличных от Mail Attribute;
  • Исправлена ошибка с вложенными группами, при которой пользователи отображались не во всех группах.

Версия 2.2.0

Дата выпуска: 31.10.2017

Общее

  • Добавлен вызов скрипта documentserver-prepare4shutdown.sh при обновлении Сервера документов для корректного сохранения редактируемых документов.

LDAP

  • Глобальные изменения в LDAP-интеграции, переход на одну библиотеку для работы с LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
  • Login и email разбиты на 2 отдельных поля;
  • Добавлена поддержка больших данных;
  • Увеличена скорость работа по протоколу LDAP (соединение с сервером и получение данных теперь происходит один раз за сессию; добавлены лимиты, там, где нужно только определённое число результатов; исправлен долгий Login на больших данных; убран постоянный перебор для поиска параметра, отвечающего за SID);
  • Исправлена проблема пересоздания пользователей;
  • Исправлена проблема дублирования имени пользователя;
  • Исправлена проблема, возникавшая, если такой адрес электронной почты уже существует;
  • Удаление пользователей LDAP заменено на деактивацию учётной записи (для дальнейшей задачи миграции данных и повышения сохранности данных);
  • Пересоздание пользователя с неизвестным SID, но с существующим Email заменено на обновление данных;
  • Добавлена попытка сохранить правильный UserName/Login, если такой уже занят на портале.

Single Sign-on

  • Добавлена поддержка AD FS;
  • Ссылка Single Sign-on на странице авторизации заменена на кастомизируемую кнопку, возможность кастомизации кнопки добавлена на странице настроек SSO в Панели управления.

Версия 2.1.0

Дата выпуска: 03.07.2017

HTTPS

  • Добавлена поддержка сервиса letsencrypt для генерации сертификата домена.

Single Sign-on

  • Добавлен новый сервис sso.auth;
  • Добавлена новая страница настроек единого входа (SSO);
  • Добавлена поддержка Shibboleth.

Версия 2.0.0

Дата выпуска: 25.05.2017

Общее

  • Переход Панели управления с MVC на Node.js.

Версия 1.6.0

Дата выпуска: 05.12.2016

LDAP

  • Добавлена LDAP-синхронизация пользователей и групп при сохранении настроек, после входа на портал и при использовании кнопки Синхронизировать;
  • Изменено формирование адреса электронной почты для пользователей LDAP;
  • Исправлена проблема создания пользователей с невалидными адресами электронной почты;
  • Исправлена проблема дублирования пользователей;
  • Добавлены иконки и подсказки в списке пользователей для администратора;
  • Заблокированы для редактирования поля в профиле пользователя, импортированные по LDAP;
  • Добавлено сохранение реального пароля LDAP в базу при входе на случай отключения LDAP Auth. LDAP-пользователи при отключении LDAP Auth станут обычными пользователями портала;
  • Добавлен новый метод в API Settings - Sync LDAP;
  • Добавлены новые переводы;
  • Исправление ошибок.

Панель управления для Windows

  • Внесены изменения на странице Обновление в Панели управления для Windows;
  • Обновление происходит путем скачивания установочных пакетов для каждого модуля.
  • Получение текущих версий установленных компонентов осуществляется через API-запрос к Серверу совместной работы.
  • Получение новых, доступных для скачивания, версий осуществляется запросом к файлу https://download.onlyoffice.com/install/windows/updates.txt, в котором в формате JSON хранятся номера последних версий компонентов и ссылки на их скачивание.

Введение

Функция Единый вход (англ. Single Sign-On или SSO), доступная в Панели управления, позволяет включить возможность аутентификации с помощью доверенной третьей стороны, используя установленные у вас сервисы SSO (Shibboleth, OneLogin или Active Directory Federation Services).

В общих чертах, технология единого входа позволяет пользователям осуществлять вход в систему только один раз, а затем получать доступ ко множеству приложений/сервисов без повторной аутентификации. Например, если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.

SSO - это всегда совместная работа двух приложений: поставщика учетных записей (англ. Identity Provider, далее по тексту сокращенно "IdP") и поставщика сервиса (англ. Service Provider, далее по тексту сокращенно "SP").

ONLYOFFICE SSO реализует только SP. В качестве IdP может выступать множество различных провайдеров, но ONLYOFFICE был протестирован только со следующими сервисами: Shibboleth, OneLogin и AD FS.

Используя SSO-аутентификацию, вы получаете следующие преимущества:

  • Повышенное удобство. Пользователи получают более быстрый и простой способ доступа на портал, не требующий запоминания множества логинов и паролей.
  • Повышенный уровень безопасности. ONLYOFFICE не хранит пароли пользователей ни в каком виде, а использует результаты аутентификации на стороне поставщика учетных записей.
  • Удобное администрирование. Вся необходимая информация о пользователе передается в аутентификационном токене. При изменении информации о пользователе на стороне поставщика учетных записей данные автоматически обновятся на портале при последующей аутентификации с помощью SSO. Если профиль пользователя отсутствует на портале, он будет автоматически создан при первом входе пользователя на портал с помощью учетных данных SSO.

В ONLYOFFICE SSO-аутентификация реализована на базе безопасного и широко используемого стандарта SAML. SAML (Security Assertion Markup Language, язык разметки декларации безопасности) - стандарт на базе языка XML, позволяющий передавать данные об аутентификации и авторизации между поставщиком учетных записей и поставщиком сервиса через токены безопасности, содержащие утверждения.

В данной статье описан процесс включения SSO в целом. Если вас интересуют конкретные настройки или примеры для определенных поставщиков учетных записей, обратитесь к нашим статьям о настройке поставщика сервиса ONLYOFFICE и поставщиков учетных записей Shibboleth, OneLogin или AD FS.

Включение SSO

Чтобы включить и настроить на портале аутентификацию с помощью SSO, необходимо выполнить два следующих основных шага:

  1. Зарегистрировать поставщика учетных записей на странице SSO в Панели управления ONLYOFFICE. Информацию, которую требуется указать, можно найти в вашем аккаунте поставщика учетных записей.
    Если вы хотите использовать SSO при подключении Десктопных редакторов ONLYOFFICE к ONLYOFFICE Workspace, отключите Приватные комнаты в Панели управления.
  2. Зарегистрировать ONLYOFFICE в качестве проверенного поставщика сервиса в аккаунте поставщика учетных записей. Эта процедура различается в зависимости от выбранного поставщика учетных записей.
Каждый портал можно одновременно интегрировать только с одним поставщиком учетных записей.

Регистрация поставщика учетных записей в поставщике сервиса ONLYOFFICE

Для регистрации поставщика учетных записей в ONLYOFFICE SP используйте раздел Настройки поставщика сервиса ONLYOFFICE на странице SSO.

  1. На портале ONLYOFFICE перейдите в Панель управления и откройте страницу SSO в разделе НАСТРОЙКИ ПОРТАЛА на левой боковой панели.
  2. Нажмите на переключатель Включить аутентификацию с помощью технологии единого входа.
  3. Заполните требуемые поля в разделе Настройки поставщика сервиса ONLYOFFICE. Нужную информацию можно указать несколькими разными способами:
    • Введите URL-адрес файла метаданных. Если метаданные поставщика учетных записей доступны извне по ссылке, вставьте эту ссылку в поле URL-адрес XML-файла метаданных IdP и нажмите кнопку Загрузить данные. Когда данные будут загружены, все требуемые параметры автоматически отобразятся в расширенной форме.
    • Загрузите файл метаданных. Если поставщик учетных записей предоставляет файл метаданных, используйте кнопку Выбрать файл, чтобы найти файл, сохраненный на локальной машине. Когда файл будет загружен, все требуемые параметры автоматически отобразятся в расширенной форме.
    • Укажите требуемые параметры вручную. Если файл метаданных недоступен, введите нужные параметры вручную. Для получения нужных значений обратитесь к администратору вашего поставщика учетных записей.

Доступны следующие параметры:

  • Идентификатор сущности поставщика учетных записей (обязательное поле) - идентификатор поставщика учетных записей или URL-адрес, который будет использоваться поставщиком сервиса, чтобы однозначно идентифицировать поставщика учетных записей.
    https://example.com/idp/shibboleth

    где example.com - это доменное имя вашего SSO-сервиса

  • URL-адрес конечной точки единого входа IdP (обязательное поле) - URL-адрес, используемый для единого входа на стороне поставщика учетных записей. Это адрес конечной точки в поставщике учетных записей, на который поставщик сервиса отправляет запросы аутентификации.

    Задайте нужный тип Привязки, выбрав одну из соответствующих радиокнопок. Привязки определяют, каким образом запросы и ответы аутентификации передаются между поставщиком учетных записей и поставщиком сервиса по стандартному транспортному протоколу: с помощью привязки HTTP POST или привязки HTTP Redirect.

  • URL-адрес конечной точки единого выхода IdP - URL-адрес, используемый для единого выхода на стороне поставщика сервиса. Это адрес конечной точки в поставщике учетных записей, на который поставщик сервиса отправляет запросы и ответы выхода.

    Задайте нужный тип Привязки, выбрав одну из соответствующих радиокнопок. Привязки определяют, каким образом запросы и ответы выхода передаются между поставщиком учетных записей и поставщиком сервиса по стандартному транспортному протоколу: с помощью привязки HTTP POST или привязки HTTP Redirect.

  • Формат NameId - параметр NameID позволяет поставщику сервиса идентифицировать пользователя. Выберите в списке один из доступных форматов.
Вы можете кастомизировать кнопку, используемую для входа на портал с помощью сервиса Single Sign-on на странице аутентификации ONLYOFFICE. Это можно сделать с помощью поля Пользовательская надпись для кнопки входа в разделе Настройки поставщика сервиса ONLYOFFICE.

Можно также добавить сертификаты поставщика учетных записей и поставщика сервиса.

Открытые сертификаты поставщика учетных записей

В разделе Открытые сертификаты поставщика учетных записей можно добавить открытые сертификаты поставщика учетных записей, используемые поставщиком сервиса для проверки запросов и ответов от поставщика учетных записей.

Если вы загрузили метаданные поставщика учетных записей, эти сертификаты будут автоматически добавлены в Панель управления. В противном случае сертификаты можно найти в вашем аккаунте поставщика учетных записей. Чтобы добавить сертификат вручную, нажмите кнопку Добавить сертификат. Откроется окно Новый сертификат. Вставьте сертификат в поле Открытый сертификат и нажмите кнопку OK.

Задайте дополнительные параметры для сертификатов, поставив соответствующие галочки.

Укажите, подписи каких запросов/ответов, отправляемых от поставщика учетных записей поставщику сервиса, следует проверять:

  • Проверять подпись ответов аутентификации - чтобы проверять подписи ответов аутентификации SAML, отправляемых поставщику сервиса.
  • Проверять подпись запросов выхода - чтобы проверять подписи запросов выхода SAML, отправляемых поставщику сервиса.
  • Проверять подпись ответов выхода - чтобы проверять подписи ответов выхода SAML, отправляемых поставщику сервиса.

Выберите нужный алгоритм из списка Стандартный алгоритм проверки подписи: rsa-sha1, rsa-sha256 или rsa-sha512.

Настройки по умолчанию используются только в тех случаях, если в метаданных поставщика учетных записей не указано, какой алгоритм должен использоваться.

Можно редактировать или удалить добавленные сертификаты, используя соответствующую ссылку.

Сертификаты поставщика сервиса

В разделе Сертификаты поставщика сервиса можно добавить сертификаты поставщика сервиса, используемые для подписи и шифрования запросов и ответов от поставщика сервиса.

Если ваш поставщик учетных записей требует, чтобы входящие данные были подписаны и/или зашифрованы, создайте или добавьте сертификаты в этом разделе.

Нажмите кнопку Добавить сертификат. Откроется окно Новый сертификат. Вы можете сгенерировать самоподписанный сертификат или добавить уже имеющийся сертификат в поле Открытый сертификат, а соответствующий ему закрытый ключ - в поле Закрытый ключ. В списке Использовать для выберите один из доступных вариантов: signing, encrypt, signing and encrypt. Когда все будет готово, нажмите кнопку OK.

В зависимости от предназначения сертификата, выбранного в списке Использовать для при загрузке/генерации сертификата, указываются дополнительные параметры сертификата. Следующие параметры определяют, какие запросы/ответы, отправляемые от поставщика сервиса поставщику учетных записей, следует подписывать:

  • Подписывать запросы аутентификации - чтобы поставщик сервиса подписывал запросы аутентификации SAML, отправляемые поставщику учетных записей.
  • Подписывать запросы выхода - чтобы поставщик сервиса подписывал запросы выхода SAML, отправляемые поставщику учетных записей.
  • Подписывать ответы выхода - чтобы поставщик сервиса подписывал ответы выхода SAML, отправляемые поставщику учетных записей.

Если вы выбрали опцию encrypt или signing and encrypt в списке Использовать для, также будет отмечен параметр Расшифровывать утверждения. Расшифровка осуществляется с помощью соответствующего Закрытого ключа.

Выберите нужные алгоритмы из списков:

  • Алгоритм подписи: rsa-sha1, rsa-sha256 или rsa-sha512.
  • Стандартный алгоритм расшифровки: aes128-cbc, aes256-cbc или tripledes-cbc.

Можно редактировать или удалить добавленные сертификаты, используя соответствующую ссылку.

Сопоставление атрибутов

В разделе Сопоставление атрибутов можно указать соответствие полей модуля Люди ONLYOFFICE атрибутам пользователя, которые будут возвращаться из поставщика учетных записей. Когда пользователь осуществляет вход в ONLYOFFICE SP с использованием учетных данных SSO, ONLYOFFICE SP получает требуемые атрибуты и заполняет полное имя и адрес электронной почты для учетной записи пользователя значениями, полученными от поставщика учетных записей. Если такого пользователя нет в модуле "Люди", он будет создан автоматически. Если информация о пользователе была изменена на стороне поставщика учетных записей, данные также обновятся в поставщике сервиса.

Доступны следующие атрибуты:

  • Имя (обязательное поле) - атрибут в записи пользователя, соответствующий имени пользователя.
  • Фамилия (обязательное поле) - атрибут в записи пользователя, соответствующий фамилии пользователя.
  • Электронная почта (обязательное поле) - атрибут в записи пользователя, соответствующий адресу электронной почты пользователя.
  • Местоположение - атрибут в записи пользователя, соответствующий местоположению пользователя.
  • Должность - атрибут в записи пользователя, соответствующий должности пользователя.
  • Телефон - атрибут в записи пользователя, соответствующий номеру телефона пользователя.
Дополнительные параметры

Настройка Скрыть страницу аутентификации позволяет cкрыть страницу аутентификации по умолчанию и автоматически перенаправлять на сервис SSO.

Когда все параметры будут указаны в Панели управления, нажмите кнопку Сохранить. Откроется раздел Метаданные поставщика сервиса ONLYOFFICE.

Регистрация ONLYOFFICE в качестве проверенного поставщика сервиса в поставщике учетных записей

Теперь необходимо добавить ONLYOFFICE в качестве проверенного поставщика сервиса в ваш аккаунт поставщика учетных записей, указав в поставщике учетных записей метаданные ONLYOFFICE SP.

Для получения нужных данных обратитесь к разделу Метаданные поставщика сервиса ONLYOFFICE на странице SSO. Убедитесь, что данные поставщика сервиса доступны публично. Для этого нажмите кнопку Скачать XML-файл метаданных поставщика сервиса. Содержимое XML-файла отобразится в новой вкладке браузера. Сохраните данные как XML-файл, чтобы можно было загрузить его в поставщик учетных записей.

Можно также вручную скопировать отдельные параметры, нажав на кнопку Копировать в буфер обмена в соответствующих полях.

Доступны следующие параметры:

  • Идентификатор сущности поставщика сервиса (ссылка на XML-файл метаданных) - URL-адрес XML-файла поставщика сервиса. Файл можно скачать, и он будет использоваться поставщиком учетных записей, чтобы однозначно идентифицировать поставщика сервиса. По умолчанию файл размещается по следующему адресу: http://example.com/sso/metadata, где example.com - это доменное имя или публичный IP-адрес портала ONLYOFFICE.
  • URL-адрес службы обработчика утверждений поставщика сервиса (поддерживаются привязки Redirect и POST) - URL-адрес поставщика сервиса, по которому он получает и обрабатывает утверждения от поставщика учетных записей. По умолчанию используется следующий адрес: http://example.com/sso/acs, где example.com - это доменное имя или публичный IP-адрес портала ONLYOFFICE.
  • URL-адрес единого выхода поставщика сервиса (поддерживаются привязки Redirect и POST) - URL-адрес, используемый для единого выхода на стороне поставщика учетных записей. Это адрес конечной точки в поставщике сервиса, по которому он получает и обрабатывает запросы и ответы выхода от поставщика учетных записей. По умолчанию используется следующий адрес: http://example.com/sso/slo/callback, где example.com - это доменное имя или публичный IP-адрес портала ONLYOFFICE.
Эти параметры и содержимое XML-файла различаются в зависимости от настроек вашего портала, например, если вы переключите портал на HTTPS или привяжете доменное имя, данные параметры тоже изменятся и потребуется заново настраивать поставщик учетных записей.

Вход в ONLYOFFICE SP

После того как Единый вход включен и настроен, процесс входа осуществляется следующим образом:

  1. Пользователь запрашивает доступ к ONLYOFFICE, нажав на кнопку Single Sign-on (название кнопки может отличаться, если вы указали свой вариант при настройке ONLYOFFICE SP) на странице аутентификации портала ONLYOFFICE (единый вход, инициированный поставщиком сервиса).
  2. Если всё настроено верно в SP и IdP, ONLYOFFICE отправляет запрос аутентификации поставщику учетных записей и перенаправляет пользователя на страницу поставщика учетных записей, где пользователю надо ввести учетные данные.
  3. Если пользователь ещё не осуществил вход в поставщик учетных записей, он вводит свои учетные данные в IdP.
  4. Поставщик учетных записей создает ответ аутентификации, содержащий данные пользователя, и отправляет его поставщику сервиса ONLYOFFICE.
  5. ONLYOFFICE получает ответ аутентификации от поставщика учетных записей и проверяет его подлинность.
  6. Если подлинность ответа подтверждена, ONLYOFFICE позволяет пользователю войти (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).

Можно также использовать страницу входа на стороне поставщика учетных записей (единый вход, инициированный поставщиком учетных записей), ввести учетные данные и получить доступ к порталу ONLYOFFICE без повторной аутентификации.

Выход из ONLYOFFICE SP

Выход можно осуществить двумя доступными способами:

  1. С портала ONLYOFFICE, используя пункт меню Выйти (в этом случае отправляется запрос от IdP на выход). Пользователь также должен автоматически выйти из IdP, если он вышел из всех остальных приложений, к которым ранее получил доступ с помощью SSO-аутентификации.
  2. Со страницы выхода поставщика учетных записей.

Редактирование профилей пользователей, созданных с помощью SSO

Пользователи, созданные с помощью SSO-аутентификации, отмечены в списке пользователей значком "SSO" для администраторов портала.

Возможность редактирования профилей этих пользователей в модуле "Люди" ограничена. Поля профиля пользователя, созданные с помощью SSO-аутентификации, заблокированы для редактирования в модуле "Люди". Информацию о таких пользователях можно изменить только на стороне поставщика учетных записей.

Try now for free Try and make your decision No need to install anything
to see all the features in action
Вас также может заинтересовать:
Закрыть