Справочный центр

Панель управления

Настройка портала. Начало работы Обновление ONLYOFFICE Groups для Windows до последней версии Подключение ONLYOFFICE Docs к ONLYOFFICE Groups

Настройка ONLYOFFICE SP и OneLogin IdP

Панель управления v3.5 История изменений Панели управления ONLYOFFICE

Open in new window

Version 3.5

Release date: 03/14/2023

General

Changed API methods for migration, implemented progressQueue.
Changed settings for connecting third-party storages. Added tooltips for fields. Added the 'Server Side Encryption Method' block for Amazon AWS S3.
Added logos for dark theme in the Branding section. Logos for the About page are now separate fields in the Advanced tab.
Added the ability to set the portal memory quota.

Version 3.1.1

Release date: 08/08/2022

General

Fixed issue with file indexing.
Fixed elasticsearch container errors when updating ONLYOFFICE Groups.
Fixed issue with brand logos after updating in the Docker installation.
Fixed texts and layout for the Migration feature.

Version 3.1

Release date: 05/25/2022

General

Added the Data Import page that allows to import data from Nextcloud, ownCloud and GoogleWorkspace to ONLYOFFICE Workspace.
Moved Elasticsearch to a separate container.
Fixed bugs.

Version 3.0

Release date: 06/07/2021

Update

License agreement dialog when installing docker components added.
The inactive button with an action for uninstalled components (downloading and installing the available version) fixed.

Indexing progress display added.

LoginHistory and AuditTrail

New empty screens added.

Restore

New checks when restoring data from a local or a 3rd party storage.

SSO

SSOAuth was removed from Control Panel. It's now available as a portal setting in Community Server.

General improvements and bug fixes

Bugs 47721, 49101, 49187, 49273, 49272, 49324, 46386, 49585 from the internal bugtracker fixed.
3rd party licenses and copyright updated.

Version 2.9.1

Release date: 12/10/2020

Bug fixes

Bug Fixes & Performance Improvements.

Version 2.9

Release date: 10/14/2020

General

Control Panel is available in the free Community version with all settings excepting the editors logo replacement;
Added the vsyscall check to the installation scripts when installing Mail Server on Debian with kernel 4.18.0 and later;
Redesign of the navigation menu: added Common and Portal settings sections, added icons to menu items;
Added the advanced rebranding page in the Common Settings;
Added the possibility to reindex the full-text search;
Updated node.js, updated packages (transition to samlify for SSO);
Added the Encryption at rest block in the Storage section;
Added the Private Room section for the server version only;
Added the upgrade page with a proposal to upgrade to Enterprise Edition;
Added the activate page with a possibility to upload a license file;
Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

LDAP

Added the Sign in to domain option on the authorization page.

Single Sign-on

Transition to the new samlify library;
Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

Version 2.7

Release date: 04/25/2019

LDAP

Added more fields mapped for the users loaded via LDAP: user photo, birthday, contacts, primary phone number;
Added the setting to autosync LDAP on schedule;
Added the possibility to give administrator rights to the user group at the portal via LDAP;
Updated the rules for LDAP users.

Version 2.5.1

Release date: 04/07/2018

LDAP

Fixed the Server internal error error when using the groups enclosed inside each other in the AD (bug #37414).

Single Sign-on

Fixed the issue when the user data between the Service Provider and the portal was transferred via HTTP only, even when HTTPS was enabled.

Version 2.4.0

Release date: 01/13/2018

Single Sign-on

Fixed the Invalid ssoConfig error which occurred when the link to the IdP contained the question mark '?', e.g.: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
Fixed the Invalid authentication token error which prevented from adding a user to the portal using the AD FS, in case the + or - characters were present when sending the encrypted data.

Version 2.3.0

Release date: 12/15/2017

General

Added the changelog for Control Panel and link to it;
Fixed the bug when JWT parameters were not sent when updating Document Server(bug #36270);
Fixed the bug when Audit Trail heading was present at the login history page (bug #36026);
The current machine is now checked for being linked with the domain name for multiple portals.

LDAP

Fixed the bug with the LDAP Domain not found error which occurred if the DN record had no DC records (the users with Sun/Oracle DS were affected); now if the LDAP domain could not be specified, the LDAP domain will acquire the unknown value or the ldap.domain value from the web.appsettings.config configuration file;
Fixed the bug with the Sizelimit Exceeded error when trying to get more than 1000 users from the Active Directory;
Increased the login speed with the Group Membership setting enabled;
Added additional logging;
Fixed the bug with LDAP operation hanging when using Mono v5.2.0 and older;
Fixed the bug with the error when trying to login using the email address entered in the fields different from the Mail Attribute;
Fixed the bug occurring in the enclosed groups, when the users were displayed not in all groups.

Version 2.2.0

Release date: 10/31/2017

General

Added the documentserver-prepare4shutdown.sh script launch when updating the document-server for the correct edited document saving.

LDAP

Dramatically changed LDAP integration, migrated to the single library for the work with LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
Login and email are now split into two separate fields;
Added the support for big data;
Increased the work speed via the LDAP protocol (the connection to the server and receiving the data is now made once per session, added the limits when only a certain number of results is necessary, fixed the slow login for bit data, removed the sorting out used to find the SID parameter);
Fixed the user re-creation issue;
Fixed the duplicate username issue;
Fixed the already existing email issue;
Replaced the LDAP user deletion with account deactivation (for further data migration and data safety);
Instead of re-creating a user with an unknown SID but an existing email the data is updated;
Added the attempt to save the correct UserName/Login in case a similar one is already taken on the portal.

Single Sign-on

Added the AD FS support;
Replaced the Single Sign-on link at the authorization page with the customizable button, added the button customization to the SSO setting of the Control Panel.

Version 2.1.0

Release date: 07/03/2017

HTTPS

Added the support of letsencrypt service for the domain certificate generation.

Single Sign-on

Added the new sso.auth service;
Added the new SSO settings page;
Added the support for Shibboleth.

Version 2.0.0

Release date: 05/25/2017

General

The Control Panel migrated from MVC to Node.js.

Version 1.6.0

Release date: 12/05/2016

LDAP

Added LDAP synchronization for users and groups when saving the settings, after login and using the Sync button;
Changed email formation for LDAP users;
Fixed the problem of creation of users with invalid emails;
Fixed the problem of duplicate users;
Added icons and hints to the users in the list for the admin;
Blocked for editing the user profile fields imported using LDAP;
Added the real LDAP password saving to the database during login in case LDAP Auth is disabled, now the LDAP users will become common portal users when LDAP Auth is disabled;
Added new API Settings method - Sync LDAP;
Added new translations;
Bug fixes.

Version for Windows

Made changes at the Update page for the Control Panel for Windows;
Updates are performed using the downloaded installation packages for each module.
The current installed component version numbers are obtained via API request to the Community Server.
The new versions available for download are obtained via the request to the https://download.onlyoffice.com/install/windows/updates.txt file, where all the latest component version numbers and links for their download are stored in the JSON format.

Введение

Технология единого входа (англ. Single Sign-On или SSO) - технология, которая позволяет пользователям осуществлять вход в систему только один раз, а затем получать доступ ко множеству приложений/сервисов без повторной аутентификации.

Если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.

SSO - это всегда совместная работа двух приложений: поставщика учетных записей (англ. Identity Provider, далее по тексту сокращенно "IdP") и поставщика сервиса (англ. Service Provider, далее по тексту сокращенно "SP"). ONLYOFFICE SSO реализует только SP. В качестве IdP может выступать множество различных провайдеров, но в этой статье мы рассмотрим реализацию OneLogin.

Если вы хотите использовать SSO при подключении Десктопных редакторов ONLYOFFICE к ONLYOFFICE Workspace, отключите Приватные комнаты в Панели управления.

Подготовка ONLYOFFICE Workspace для настройки SSO

Установите версию ONLYOFFICE Workspace v. 11.0.0 для Docker или любую более позднюю версию с поддержкой SSO.
Привяжите доменное имя, например, myportal-address.com.
На портале перейдите в Панель управления -> HTTPS, создайте и примените сертификат letsencrypt для шифрования трафика (для включения HTTPS на портале).

Создание IdP в OneLogin

Зарегистрируйтесь в OneLogin, если ещё не зарегистрировались.
Войдите в OneLogin под учетной записью администратора.
Перейдите в раздел Administration.
Кликните по меню Applications. Нажмите кнопку Add App.
В строке для поиска Find Application введите следующий текст: SAML Custom Connector (Advanced):
Выберите найденный вариант.
В новом открывшемся окне напишите любое имя в поле Display Name, например "IDP OneLogin Onlyoffice v11 Test", чтобы отличать это приложение от других, смените иконки на собственные и нажмите кнопку Save.

Перейдите в подменю Configuration и заполните поля в соответствии с приведенной ниже таблицей:

Вместо myportal-address.com укажите собственное доменное имя или публичный IP-адрес, на котором располагается ONLYOFFICE SP.

Application Details
RelayState	https://myportal-address.com
Audience (EntityID)	https://myportal-address.com/sso/
Recipient	https://myportal-address.com/sso/acs
ACS (Consumer) URL Validator*	^https:\/\/myportal-address\.com\/sso\/acs\/$
ACS (Consumer) URL*	https://myportal-address.com/sso/acs
Single Logout URL	https://myportal-address.com/sso/slo/callback
SAML initiator	Service Provider
SAML nameID format	Email
SAML issuer type	Specific
SAML signature element	Assertion
Encrypt assertion	(отметьте галочкой эту опцию)
SAML encryption method	AES-128-CBC
Sign SLO Request	(отметьте галочкой эту опцию)
Sign SLO Response	(отметьте галочкой эту опцию)

Нажмите кнопку Save и перейдите в подменю Parameters.
Используйте кнопку +, чтобы создать 5 параметров (givenName, sn, mail, title, mobile). Для каждого из них отметьте опцию Include in SAML assertion и укажите значение из списка Value, подходящее для выдачи из каталога полей LDAP-каталога:
Когда все нужные поля для атрибутов в утверждениях SAML будут заполнены в IdP, получится примерно такой же результат, как на следующем изображении. Нажмите кнопку Save.
Перейдите в подменю SSO. В списке сертификатов нужно выбрать действующий, нажав на ссылку Change, если у вас несколько сертификатов. В поле SAML Signature Algorithm оставьте опцию SHA-1 и нажмите кнопку Save:
Скопируйте ссылку из поля Issuer URL (например, https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) и перейдите на портал ONLYOFFICE под учетной записью администратора. Откройте страницу Панель управления -> SSO.

Настройка ONLYOFFICE SP

Убедитесь, что вы зашли в качестве администратора в Панель управления ONLYOFFICE, и щелкните вкладку SSO в разделе НАСТРОЙКИ ПОРТАЛА на левой боковой панели.
Вы можете зарегистрировать только одного корпоративного поставщика учетных записей для вашей организации на портале ONLYOFFICE.
Включите SSO, используя переключатель Включить аутентификацию с помощью технологии единого входа. Ссылку, скопированную из поля Issuer URL в OneLogin, вставьте в поле URL-адрес XML-файла метаданных IdP.

Нажмите кнопку со стрелкой вверх, чтобы загрузить метаданные IdP. Форма Настройки поставщика сервиса ONLYOFFICE будет автоматически заполнена данными из OneLogin IdP.
В поле Пользовательская надпись для кнопки входа вы можете ввести любой текст вместо стандартного "Single Sign-on". Этот текст будет отображаться на кнопке для входа с помощью сервиса Single Sign-on на странице аутентификации портала ONLYOFFICE.
Теперь необходимо создать сертификат в разделе Сертификаты поставщика сервиса. Для этого нажмите на кнопку Добавить сертификат в соответствующем разделе.
В открывшемся модальном окне нажмите на ссылку Сгенерировать новый самоподписанный сертификат, в списке Использовать для выберите signing and encrypt. Перед тем как сохранить, скопируйте текст Открытого сертификата в буфер обмена (он понадобится для OneLogin), после чего нажмите кнопку OK.
Должно получиться так:

Форму с заголовком Сопоставление атрибутов настраивать не нужно, так как мы указали эти же параметры при создании OneLogin IdP. Используются следующие значения:

First Name	givenName
Last Name	sn
Email	mail
Location	l
Title	title
Phone	mobile

В разделе Дополнительные параметры можно включить настройку Скрыть страницу аутентификации, чтобы cкрыть страницу аутентификации по умолчанию и автоматически перенаправлять на сервис SSO.

ВажноЕсли вам необходимо восстановить страницу аутентификации по умолчанию (чтобы иметь доступ к порталу, если ваш сервер IDP выйдет из строя), можно добавить ключ /Auth.aspx?skipssoredirect=true после доменного имени портала в адресной строке браузера.

Нажмите кнопку Сохранить. Должен открыться раздел Метаданные поставщика сервиса ONLYOFFICE. Проверьте, что настройки доступны публично, кликнув по кнопке СКАЧАТЬ XML-ФАЙЛ МЕТАДАННЫХ ПОСТАВЩИКА СЕРВИСА. Должно отобразиться содержимое XML-файла.
Вернитесь в OneLogin для настройки шифрования, откройте ваше приложение и перейдите в настройку Configuration. Листайте в самый низ, там должно появиться новое поле SAML Encryption для ввода ключа шифрования. В это поле нужно вставить скопированный текст Открытого сертификата из 4 пункта данной инструкции и нажать Save:

Создание пользователей в OneLogin и предоставление им доступа к ONLYOFFICE

Чтобы создать пользователей в OneLogin и предоставить им доступ к ONLYOFFICE SP, выполните следующие действия:

перейдите на страницу All Users в OneLogin под учетной записью администратора,
создайте нового пользователя или отредактируйте уже существующего,
перейдите в подменю Applications и нажмите кнопку +,
выберите наше новое созданное приложение из списка и нажмите CONTINUE,
в новом открывшемся окне добавьте недостающие данные и нажмите кнопку SAVE
теперь пользователь может работать в ONLYOFFICE SP.

Проверка работы ONLYOFFICE SP и OneLogin IdP

Вход в ONLYOFFICE на стороне SP

Перейдите на страницу аутентификации ONLYOFFICE (например, https://myportal-address.com/Auth.aspx).
Нажмите на кнопку Single sign-on (название кнопки может отличаться, если вы указали свой вариант при настройке ONLYOFFICE SP). Если этой кнопки нет, то SSO не включен.
Если всё настроено верно в SP и IdP, мы будем перенаправлены на форму логина в OneLogin IdP:
Введите логин и пароль пользователя, которому дан доступ к ONLYOFFICE SP, и нажмите кнопку LOG IN.
Если учетные данные указаны правильно, мы будем перенаправлены на главную страницу портала (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).

Выход из ONLYOFFICE SP

Выход SSO-пользователя с портала ONLYOFFICE можно осуществить, используя пункт меню Выйти. Пользователь также должен автоматически выйти из OneLogin IdP, если он вышел из всех других приложений, к которым ему дали доступ в OneLogin и куда он произвёл вход до этого.
При удачном выходе вы будете перенаправлены на страницу аутентификации портала.
Если снова нажать на кнопку Single Sign-on, вы будете снова перенаправлены на страницу логина в OneLogin (значит logout с портала прошёл успешно):

Профили пользователей, добавленных с помощью SSO-аутентификации

Возможность редактирования профилей пользователей, созданных с помощью SSO-аутентификации, ограничена. Поля профиля пользователя, полученные из IdP, заблокированы для редактирования (а именно: Имя, Фамилия, Email, Позиция и Местоположение). Эти поля можно отредактировать только из вашей учетной записи в IdP.

На следующем изображении показано меню "Действия" для пользователя SSO: