Статьи с тэгом :
Закрыть
История изменений
Закрыть
Попробовать в облаке
Справочный центр
Панель управления

Настройка ONLYOFFICE SP и OneLogin IdP

Панель управленияv.2.9 История изменений Панели управления ONLYOFFICE

Версия 2.9.1

Дата выпуска: 10.12.2020

Исправления ошибок

  • Исправления ошибок и улучшения производительности.

Версия 2.9

Дата выпуска: 14.10.2020

Общее

  • Панель управления доступна в бесплатной версии Community со всеми настройками, кроме замены логотипа для редакторов;
  • В инсталляционные скрипты добавлена проверка vsyscall при установке Почтового сервера на Debian с ядром 4.18.0 и выше;
  • Редизайн навигационного меню: добавлены разделы "Общие настройки" и "Настройки портала", добавлены иконки для пунктов меню;
  • Добавлена страница расширенных настроек ребрендинга в общих настройках;
  • Добавлена возможность сброса индексов для полнотекстового поиска;
  • Обновлен node.js, обновлены пакеты (переход на samlify для SSO);
  • Добавлен блок Шифрование хранящихся данных в разделе Хранилище;
  • Добавлен раздел Приватная комната только для серверных версий;
  • Добавлена страница upgrade с предложением перейти на Enterprise Edition;
  • Добавлена страница activate с возможностью загрузки файла лицензии;
  • В настройку SSO добавлен пункт HideAuthPage для возможности скрыть страницу авторизации. При включении настройки HideAuthPage будет происходить автоматический редирект со страницы авторизации в SSO сервис.

LDAP

  • Добавлена настройка Войти в домен на странице авторизации.

Single Sign-on

  • Переход на новую библиотеку samlify;
  • В настройку SSO добавлен пункт HideAuthPage для возможности скрыть страницу авторизации. При включении настройки HideAuthPage будет происходить автоматический редирект со страницы авторизации в SSO сервис.

Версия 2.7

Дата выпуска: 25.04.2019

LDAP

  • Расширено число сопоставляемых полей для пользователей, загружаемых по LDAP: фото пользователя, день рождения, контакты, основной телефон;
  • Добавлена настройка для автоматической синхронизации LDAP по расписанию;
  • Добавлена возможность назначения прав администратора группам пользователей на портале по LDAP;
  • Обновлены правила для пользователей LDAP.

Версия 2.5.1

Дата выпуска: 07.04.2018

LDAP

  • Исправлена ошибка Server internal error при использовании вложенных групп, входящих друг в друга в AD (bug #37414).

Single Sign-on

  • Исправлена проблема, при которой данные пользователя пересылались между Service Provider и порталом только по протоколу HTTP, даже если был включен протокол HTTPS.

Версия 2.5.0

Дата выпуска: 15.03.2018

LDAP

  • Исправлена ошибка, при которой аккаунт пользователя, добавленного через LDAP, не подключался в сторонних клиентах (bug #26073);
  • Исправлена ошибка, при которой пользователи, состоящие в группах с недопустимыми символами, не могли пройти авторизацию с помощью LDAP (bug #36891);
  • Исправлена ошибка Internal Server Error при обновлении пользователей, у которых поля location или title были сохранены со значением NULL.

Версия 2.4.0

Дата выпуска: 13.01.2018

Single Sign-on

  • Исправлена ошибка Invalid ssoConfig, возникавшая, если в ссылке на IDP присутствовал знак вопроса '?', например: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
  • Исправлена ошибка Invalid authentication token, при которой не добавлялся пользователь на портал по AD FS, если при передаче данных в зашифрованном виде присутствовали символы + или -.

Версия 2.3.0

Дата выпуска: 15.12.2017

Общее

  • Для Панели управления добавлена история изменений и ссылка на нее;
  • Исправлена ошибка, при которой не передавались параметры JWT при обновлении Сервера документов (bug #36270);
  • Исправлена ошибка, при которой заголовок Журнал аудита отображался на странице истории входов в систему (bug #36026);
  • Теперь выполняется проверка связи текущей машины и доменного имени при использовании мультипортальности.

LDAP

  • Исправлена ошибка LDAP Domain not found, которая появлялась, если в DN-записи не было DC-записей (у пользователей с Sun/Oracle DS); теперь, если LDAP-домен определить не получится, LDAP-домен будет приобретать значение unknown или значение ключа ldap.domain из файла конфигурации web.appsettings.config;
  • Исправлена ошибка Sizelimit Exceeded при попытке получения более 1000 пользователей из Active Directory;
  • Увеличена скорость входа в систему при включенной настройке Принадлежность к группе;
  • Добавлены дополнительные логи;
  • Исправлена ошибка с зависанием LDAP-операций при использовании Mono версии 5.2.0 и старше;
  • Исправлена ошибка при попытке входа в систему по адресу электронной почты, введенному в полях, отличных от Mail Attribute;
  • Исправлена ошибка с вложенными группами, при которой пользователи отображались не во всех группах.

Версия 2.2.0

Дата выпуска: 31.10.2017

Общее

  • Добавлен вызов скрипта documentserver-prepare4shutdown.sh при обновлении Сервера документов для корректного сохранения редактируемых документов.

LDAP

  • Глобальные изменения в LDAP-интеграции, переход на одну библиотеку для работы с LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
  • Login и email разбиты на 2 отдельных поля;
  • Добавлена поддержка больших данных;
  • Увеличена скорость работа по протоколу LDAP (соединение с сервером и получение данных теперь происходит один раз за сессию; добавлены лимиты, там, где нужно только определённое число результатов; исправлен долгий Login на больших данных; убран постоянный перебор для поиска параметра, отвечающего за SID);
  • Исправлена проблема пересоздания пользователей;
  • Исправлена проблема дублирования имени пользователя;
  • Исправлена проблема, возникавшая, если такой адрес электронной почты уже существует;
  • Удаление пользователей LDAP заменено на деактивацию учётной записи (для дальнейшей задачи миграции данных и повышения сохранности данных);
  • Пересоздание пользователя с неизвестным SID, но с существующим Email заменено на обновление данных;
  • Добавлена попытка сохранить правильный UserName/Login, если такой уже занят на портале.

Single Sign-on

  • Добавлена поддержка AD FS;
  • Ссылка Single Sign-on на странице авторизации заменена на кастомизируемую кнопку, возможность кастомизации кнопки добавлена на странице настроек SSO в Панели управления.

Версия 2.1.0

Дата выпуска: 03.07.2017

HTTPS

  • Добавлена поддержка сервиса letsencrypt для генерации сертификата домена.

Single Sign-on

  • Добавлен новый сервис sso.auth;
  • Добавлена новая страница настроек единого входа (SSO);
  • Добавлена поддержка Shibboleth.

Версия 2.0.0

Дата выпуска: 25.05.2017

Общее

  • Переход Панели управления с MVC на Node.js.

Версия 1.6.0

Дата выпуска: 05.12.2016

LDAP

  • Добавлена LDAP-синхронизация пользователей и групп при сохранении настроек, после входа на портал и при использовании кнопки Синхронизировать;
  • Изменено формирование адреса электронной почты для пользователей LDAP;
  • Исправлена проблема создания пользователей с невалидными адресами электронной почты;
  • Исправлена проблема дублирования пользователей;
  • Добавлены иконки и подсказки в списке пользователей для администратора;
  • Заблокированы для редактирования поля в профиле пользователя, импортированные по LDAP;
  • Добавлено сохранение реального пароля LDAP в базу при входе на случай отключения LDAP Auth. LDAP-пользователи при отключении LDAP Auth станут обычными пользователями портала;
  • Добавлен новый метод в API Settings - Sync LDAP;
  • Добавлены новые переводы;
  • Исправление ошибок.

Панель управления для Windows

  • Внесены изменения на странице Обновление в Панели управления для Windows;
  • Обновление происходит путем скачивания установочных пакетов для каждого модуля.
  • Получение текущих версий установленных компонентов осуществляется через API-запрос к Серверу совместной работы.
  • Получение новых, доступных для скачивания, версий осуществляется запросом к файлу https://download.onlyoffice.com/install/windows/updates.txt, в котором в формате JSON хранятся номера последних версий компонентов и ссылки на их скачивание.

Введение

Технология единого входа (англ. Single Sign-On или SSO) - технология, которая позволяет пользователям осуществлять вход в систему только один раз, а затем получать доступ ко множеству приложений/сервисов без повторной аутентификации.

Если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.

SSO - это всегда совместная работа двух приложений: поставщика учетных записей (англ. Identity Provider, далее по тексту сокращенно "IdP") и поставщика сервиса (англ. Service Provider, далее по тексту сокращенно "SP"). ONLYOFFICE SSO реализует только SP. В качестве IdP может выступать множество различных провайдеров, но в этой статье мы рассмотрим реализацию OneLogin.

Если вы хотите использовать SSO при подключении Десктопных редакторов ONLYOFFICE к ONLYOFFICE Workspace, отключите Приватные комнаты в Панели управления.

Подготовка ONLYOFFICE Workspace для настройки SSO

  1. Установите версию ONLYOFFICE Workspace v. 11.0.0 для Docker или любую более позднюю версию с поддержкой SSO.
  2. Привяжите доменное имя, например, myportal-address.com.
  3. На портале перейдите в Панель управления -> HTTPS, создайте и примените сертификат letsencrypt для шифрования трафика (для включения HTTPS на портале).

Создание IdP в OneLogin

  1. Зарегистрируйтесь в OneLogin, если ещё не зарегистрировались.
  2. Войдите в OneLogin под учетной записью администратора.
  3. Перейдите в раздел Administration.
  4. Кликните по меню Applications. Нажмите кнопку Add App.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  5. В строке для поиска Find Application введите следующий текст: SAML Test Connector (Advanced):
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  6. Выберите найденный вариант.
  7. В новом открывшемся окне напишите любое имя в поле Display Name, например "IDP OneLogin Onlyoffice v11 Test", чтобы отличать это приложение от других, смените иконки на собственные и нажмите кнопку Save.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  8. Перейдите в подменю Configuration и заполните поля в соответствии с приведенной ниже таблицей:
    Вместо myportal-address.com укажите собственное доменное имя или публичный IP-адрес, на котором располагается ONLYOFFICE SP.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
    Application Details
    RelayState https://myportal-address.com
    Audience (EntityID) https://myportal-address.com/sso/
    Recipient https://myportal-address.com/sso/acs
    ACS (Consumer) URL Validator* ^https:\/\/myportal-address\.com\/sso\/acs\/$
    ACS (Consumer) URL* https://myportal-address.com/sso/acs
    Single Logout URL https://myportal-address.com/sso/slo/callback
    SAML initiator Service Provider
    SAML nameID format Email
    SAML issuer type Specific
    SAML signature element Assertion
    Encrypt assertion
    SAML encryption method AES-128-CBC
    Sign SLO Request
    Sign SLO Response
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  9. Нажмите кнопку Save и перейдите в подменю Parameters.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  10. Используйте кнопку +, чтобы создать 5 параметров (givenName, sn, mail, title, mobile). Для каждого из них отметьте опцию Include in SAML assertion и укажите значение из списка Value, подходящее для выдачи из каталога полей LDAP-каталога:
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  11. Когда все нужные поля для атрибутов в утверждениях SAML будут заполнены в IdP, получится примерно такой же результат, как на следующем изображении. Нажмите кнопку Save.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  12. Перейдите в подменю SSO. В списке сертификатов нужно выбрать действующий, нажав на ссылку Change, если у вас несколько сертификатов. В поле SAML Signature Algorithm оставьте опцию SHA-1 и нажмите кнопку Save:
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  13. Скопируйте ссылку из поля Issuer URL (например, https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) и перейдите на портал ONLYOFFICE под учетной записью администратора. Откройте страницу Панель управления -> SSO.

Настройка ONLYOFFICE SP

  1. Убедитесь, что вы зашли в качестве администратора в Панель управления ONLYOFFICE, и щелкните вкладку SSO в разделе НАСТРОЙКИ ПОРТАЛА на левой боковой панели.
    Вы можете зарегистрировать только одного корпоративного поставщика учетных записей для вашей организации на портале ONLYOFFICE.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  2. Включите SSO, используя переключатель Включить аутентификацию с помощью технологии единого входа. Ссылку, скопированную из поля Issuer URL в OneLogin, вставьте в поле URL-адрес XML-файла метаданных IdP.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP

    Нажмите кнопку со стрелкой вверх, чтобы загрузить метаданные IdP. Форма Настройки поставщика сервиса ONLYOFFICE будет автоматически заполнена данными из OneLogin IdP.

  3. В поле Пользовательская надпись для кнопки входа вы можете ввести любой текст вместо стандартного "Single Sign-on". Этот текст будет отображаться на кнопке для входа с помощью сервиса Single Sign-on на странице аутентификации портала ONLYOFFICE.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  4. Теперь необходимо создать сертификат в разделе Сертификаты поставщика сервиса. Для этого нажмите на кнопку Добавить сертификат в соответствующем разделе.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  5. В открывшемся модальном окне нажмите на ссылку Сгенерировать новый самоподписанный сертификат, в списке Использовать для выберите signing and encrypt. Перед тем как сохранить, скопируйте текст Открытого сертификата в буфер обмена (он понадобится для OneLogin), после чего нажмите кнопку OK.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  6. Должно получиться так:
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  7. Форму с заголовком Сопоставление атрибутов настраивать не нужно, так как мы указали эти же параметры при создании OneLogin IdP. Используются следующие значения:
    First Name givenName
    Last Name sn
    Email mail
    Location l
    Title title
    Phone mobile

    В разделе Дополнительные параметры можно включить настройку Скрыть страницу аутентификации, чтобы cкрыть страницу аутентификации по умолчанию и автоматически перенаправлять на сервис SSO.

  8. Нажмите кнопку Сохранить. Должен открыться раздел Метаданные поставщика сервиса ONLYOFFICE. Проверьте, что настройки доступны публично, кликнув по кнопке СКАЧАТЬ XML-ФАЙЛ МЕТАДАННЫХ ПОСТАВЩИКА СЕРВИСА. Должно отобразиться содержимое XML-файла.
  9. Вернитесь в OneLogin для настройки шифрования, откройте ваше приложение и перейдите в настройку Configuration. Листайте в самый низ, там должно появиться новое поле SAML Encryption для ввода ключа шифрования. В это поле нужно вставить скопированный текст Открытого сертификата из 4 пункта данной инструкции и нажать Save:
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP

Создание пользователей в OneLogin и предоставление им доступа к ONLYOFFICE

Чтобы создать пользователей в OneLogin и предоставить им доступ к ONLYOFFICE SP, выполните следующие действия:

  1. перейдите на страницу All Users в OneLogin под учетной записью администратора,
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  2. создайте нового пользователя или отредактируйте уже существующего,
  3. перейдите в подменю Applications и нажмите кнопку +,
  4. выберите наше новое созданное приложение из списка и нажмите CONTINUE,
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  5. в новом открывшемся окне добавьте недостающие данные и нажмите кнопку SAVE
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  6. теперь пользователь может работать в ONLYOFFICE SP.

Проверка работы ONLYOFFICE SP и OneLogin IdP

Вход в ONLYOFFICE на стороне SP
  1. Перейдите на страницу аутентификации ONLYOFFICE (например, https://myportal-address.com/Auth.aspx).
  2. Нажмите на кнопку Single sign-on (название кнопки может отличаться, если вы указали свой вариант при настройке ONLYOFFICE SP). Если этой кнопки нет, то SSO не включен.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  3. Если всё настроено верно в SP и IdP, мы будем перенаправлены на форму логина в OneLogin IdP:
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  4. Введите логин и пароль пользователя, которому дан доступ к ONLYOFFICE SP, и нажмите кнопку LOG IN.
  5. Если учетные данные указаны правильно, мы будем перенаправлены на главную страницу портала (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
Выход из ONLYOFFICE SP
  1. Выход SSO-пользователя с портала ONLYOFFICE можно осуществить, используя пункт меню Выйти. Пользователь также должен автоматически выйти из OneLogin IdP, если он вышел из всех других приложений, к которым ему дали доступ в OneLogin и куда он произвёл вход до этого.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  2. При удачном выходе вы будете перенаправлены на страницу аутентификации портала.
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
  3. Если снова нажать на кнопку Single Sign-on, вы будете снова перенаправлены на страницу логина в OneLogin (значит logout с портала прошёл успешно):
    Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP

Профили пользователей, добавленных с помощью SSO-аутентификации

Возможность редактирования профилей пользователей, созданных с помощью SSO-аутентификации, ограничена. Поля профиля пользователя, полученные из IdP, заблокированы для редактирования (а именно: Имя, Фамилия, Email, Позиция и Местоположение). Эти поля можно отредактировать только из вашей учетной записи в IdP.

На следующем изображении показано меню "Действия" для пользователя SSO:

Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP

На следующем изображении показан профиль пользователя SSO, открытый на редактирование:

Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP

Пользователи, созданные с помощью SSO-аутентификации, отмечены в списке пользователей значком SSO для администраторов портала:

Настройка ONLYOFFICE SP и OneLogin IdP Настройка ONLYOFFICE SP и OneLogin IdP
Скачать Разместите на собственном сервере Доступно для
Docker, Windows и Linux
Вас также может заинтересовать:
Закрыть