Настройка ONLYOFFICE SP и OneLogin IdP

Панель управленияv.2.9 История изменений Панели управления

Введение

Технология единого входа (англ. Single Sign-On или SSO) - технология, которая позволяет пользователям осуществлять вход в систему только один раз, а затем получать доступ ко множеству приложений/сервисов без повторной аутентификации.

SSO - это всегда совместная работа двух приложений: поставщика учетных записей (англ. Identity Provider, далее по тексту сокращенно "IdP") и поставщика сервиса (англ. Service Provider, далее по тексту сокращенно "SP"). ONLYOFFICE SSO реализует только SP. В качестве IdP может выступать множество различных провайдеров, но в этой статье мы рассмотрим реализацию OneLogin.

Подготовка ONLYOFFICE Workspace для настройки SSO

1. Установите версию ONLYOFFICE Workspace для Docker или любую более позднюю версию с поддержкой SSO (OneLogin поддерживается, начиная с версии 9.1.0 Сервера совместной работы).
2. Привяжите доменное имя, например, myportal-address.com.
3. На портале перейдите в Панель управления -> HTTPS, создайте и примените сертификат letsencrypt для шифрования трафика (для включения HTTPS на портале).
4. Перейдите на хостовую машину, скопируйте значения закрытого ключа и открытого сертификата, которые вы использовали для включения HTTPS, и сохраните их в любом текстовом редакторе, например, в Блокноте (эти значения потребуются позже для настройки SSO).

Создание IdP в OneLogin

1. Зарегистрируйтесь в OneLogin, если ещё не зарегистрировались.
2. Войдите в OneLogin под учетной записью администратора.
3. Перейдите в меню APPS -> Add Apps.
4. В строке для поиска Find Application введите следующий текст: SAML Test Connector (Idp:
   
5. Среди полученных вариантов выберите подходящий, например, SAML Test Connector (IdP) w/encrypt.
6. В новом открывшемся окне напишите любое имя в поле Display Name, чтобы отличать это приложение от других, смените иконки на собственные и нажмите кнопку Save.
   
7. Перейдите в подменю Configuration и заполните поля в соответствии с приведенной ниже таблицей:
   Вместо myportal-address.com укажите собственное доменное имя или публичный IP-адрес, на котором располагается ONLYOFFICE SP.

   Application Details
   RelayState	https://myportal-address.com
   Audience	https://myportal-address.com/sso/
   Recipient	https://myportal-address.com/sso/acs
   ACS (Consumer) URL Validator	^https:\/\/myportal-address\.com\/sso\/acs\/$
   ACS (Consumer) URL	https://myportal-address.com/sso/acs
   Single Logout URL	https://myportal-address.com/sso/slo/callback
   SAML Encryption
   Public key *	-----BEGIN CERTIFICATE----- MIIE9zCCA9+gAwIBAgISA5VHo5m3/9NM1/gv8SDlE7vxMA0GCSqGSIb3DQEBCwUA MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0xNzA1MzExNTEzMDBaFw0x NzA4MjkxNTEzMDBaMBUxEzARBgNVBAMTCmRvY2tlcjQudGswggEiMA0GCSqGSIb3 DQEBAQUAA4IBDwAwggEKAoIBAQC/LuH8Hcu0DUz2b8lFiUYHK1l2R55m/3ap9DsA /BbOJdbnFm/v5dTgUL4Vx73aX8vl2I5ePh5siNrhEuc7d8VfQ62WqLHM/3jz0wVi vFJN4rRVZAOK/S7zfTGf6HUloi0Jg+Rol2zh0IfWUN+UczClJ0b0zewYEF8ZLhNY W65X2fx6BahK6zbRotNj3tJy0zib6znqBOPhT999pnk5L0S+CfzNhVHH/V+lPVtX Tu9tSILnFQpVAsv3oKo/7n/N/F9t5bI/kMllXQFReq1a+9KTOv0OlZgEd7xMu8ht 707IdILRBAW3f1iMMT43DpmjkcST7NnNEbsLXSlBIwKz8GENAgMBAAGjggIKMIIC BjAOBgNVHQ8BAf8EBAMCBaAwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsGAQUFBwMC MAwGA1UdEwEB/wQCMAAwHQYDVR0OBBYEFOqivMdw2WduQJmO1lXsq9E3zEvmMB8G A1UdIwQYMBaAFKhKamMEfd265tE5t6ZFZe/zqOyhMG8GCCsGAQUFBwEBBGMwYTAu BggrBgEFBQcwAYYiaHR0cDovL29jc3AuaW50LXgzLmxldHNlbmNyeXB0Lm9yZzAv BggrBgEFBQcwAoYjaHR0cDovL2NlcnQuaW50LXgzLmxldHNlbmNyeXB0Lm9yZy8w FQYDVR0RBA4wDIIKZG9ja2VyNC50azCB/gYDVR0gBIH2MIHzMAgGBmeBDAECATCB 5gYLKwYBBAGC3xMBAQEwgdYwJgYIKwYBBQUHAgEWGmh0dHA6Ly9jcHMubGV0c2Vu Y3J5cHQub3JnMIGrBggrBgEFBQcCAjCBngyBm1RoaXMgQ2VydGlmaWNhdGUgbWF5 IG9ubHkgYmUgcmVsaWVkIHVwb24gYnkgUmVseWluZyBQYXJ0aWVzIGFuZCBvbmx5 IGluIGFjY29yZGFuY2Ugd2l0aCB0aGUgQ2VydGlmaWNhdGUgUG9saWN5IGZvdW5k IGF0IGh0dHBzOi8vbGV0c2VuY3J5cHQub3JnL3JlcG9zaXRvcnkvMA0GCSqGSIb3 DQEBCwUAA4IBAQBItwpwwcQGMvap2hGhBQnZoS8bJ5iuq24KmEl3TrLdtLyklPy2 oR1HXgfW5fpTCGP744pVBwGXO2A8+2J6/wcNybo/odoB9dSzAMfRtXQR83XN4F8l 6E5zShBZ1kkzJayk4RytSzBR+uyTR1J7erK1MxlmOgQfLp2JqQsdEO6qpycER5pY mK77eWGrEE2+tOwgY4amlnLgBSif+nieUgQiSRboHGSF6nizES2pBKTk595P4pzK 9W5ax4zjqwQnMQujcjrHm7kbny2gFLH1wl0MY0yRlBytaFOhSWvr2g5JDFjgoFtd xEe8PMKA+cfU+0SznX/ynMgrz4MqSRRtQChx -----END CERTIFICATE-----

   * Здесь представлен пример сертификата HTTPS для доменного имени myportal-address.com, созданный с помощью сервиса letsencrypt.
   
8. Нажмите кнопку Save и перейдите в подменю Parameters. Используйте ссылку Add parameter, чтобы создать 5 параметров (givenName, sn, mail, title, mobile), для каждого из них отметив опцию Include in SAML assertion:
   
9. Отредактируйте значение каждого параметра, выбирая подходящее значение из списка:
   
10. Когда все нужные поля для атрибутов в утверждениях SAML будут заполнены в IdP, получится примерно такой же результат, как на следующем изображении. Нажмите кнопку Save.
    
11. Перейдите в подменю SSO:
    
    Скопируйте ссылку из поля Issuer URL (например, https://app.onelogin.com/saml/metadata/666179) и перейдите на портал ONLYOFFICE под учетной записью администратора. Откройте страницу Панель управления -> SSO.

Настройка ONLYOFFICE SP

1. Убедитесь, что вы зашли в качестве администратора в Панель управления ONLYOFFICE, и щелкните вкладку SSO в разделе НАСТРОЙКИ ПОРТАЛА на левой боковой панели.
   Вы можете зарегистрировать только одного корпоративного поставщика учетных записей для вашей организации на портале ONLYOFFICE.
   
2. Включите SSO, используя переключатель Включить аутентификацию с помощью технологии единого входа. Ссылку, скопированную из поля Issuer URL в OneLogin, вставьте в поле URL-адрес XML-файла метаданных IdP.
   

   Нажмите кнопку со стрелкой вверх, чтобы загрузить метаданные IdP. Форма Настройки поставщика сервиса ONLYOFFICE будет автоматически заполнена данными из OneLogin IdP.

3. В поле Пользовательская надпись для кнопки входа вы можете ввести любой текст вместо стандартного "Single Sign-on". Этот текст будет отображаться на кнопке для входа с помощью сервиса Single Sign-on на странице аутентификации портала ONLYOFFICE.
   
4. Теперь необходимо добавить сертификаты в раздел Сертификаты поставщика сервиса. Можно добавить сертификаты, взятые ранее при настройке HTTPS, или любые другие.
   открытый сертификат в OneLogin должен быть тем же, что и сертификат, загруженный в разделе Сертификаты поставщика сервиса, и закрытый ключ должен к нему подходить.

   Должно получиться примерно так:

   
   Форму с заголовком Сопоставление атрибутов настраивать не нужно, так как мы указали эти же параметры при создании OneLogin IdP. В разделе Дополнительные параметры можно включить настройку Скрыть страницу аутентификации, чтобы cкрыть страницу аутентификации по умолчанию и автоматически перенаправлять на сервис SSO.
5. Нажмите кнопку Сохранить. Должен открыться раздел Метаданные поставщика сервиса ONLYOFFICE. Проверьте, что настройки доступны публично, кликнув по кнопке СКАЧАТЬ XML-ФАЙЛ МЕТАДАННЫХ ПОСТАВЩИКА СЕРВИСА. Должно отобразиться содержимое XML-файла.

Создание пользователей в OneLogin и предоставление им доступа к ONLYOFFICE

Чтобы создать пользователей в OneLogin и предоставить им доступ к ONLYOFFICE SP, выполните следующие действия:

1. перейдите на страницу All Users в OneLogin под учетной записью администратора,
   
2. создайте нового пользователя или отредактируйте уже существующего,
3. перейдите в подменю Applications,
4. выберите наше новое созданное приложение из списка и нажмите CONTINUE,
   
5. в новом открывшемся окне добавьте недостающие данные, если это необходимо, или просто закройте его,
   
6. нажмите кнопку SAVE USER,
7. теперь пользователь может работать в ONLYOFFICE SP.

Проверка работы ONLYOFFICE SP и OneLogin IdP

Вход в ONLYOFFICE на стороне SP

1. Перейдите на страницу аутентификации ONLYOFFICE (например, https://myportal-address.com/auth.aspx).
2. Нажмите на кнопку Single sign-on (название кнопки может отличаться, если вы указали свой вариант при настройке ONLYOFFICE SP). Если этой кнопки нет, то SSO не включен.
   
3. Если всё настроено верно в SP и IdP, мы будем перенаправлены на форму логина в OneLogin IdP:
   
4. Введите логин и пароль пользователя, которому дан доступ к ONLYOFFICE SP, и нажмите кнопку LOG IN.
5. Если выдаётся такая страница, то пользователю не предоставлен доступ к ONLYOFFICE SP:
   

   В этом случае нужно выйти из OneLogin и повторить шаги 1-4, но используя учетные данные другого пользователя.

6. Если учетные данные указаны правильно, мы будем перенаправлены на главную страницу портала (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).

Профили пользователей, добавленных с помощью SSO-аутентификации

Возможность редактирования профилей пользователей, созданных с помощью SSO-аутентификации, ограничена. Поля профиля пользователя, полученные из IdP, заблокированы для редактирования (а именно: Имя, Фамилия, Email, Позиция и Местоположение). Эти поля можно отредактировать только из вашей учетной записи в IdP.

На следующем изображении показано меню "Действия" для пользователя SSO:

На следующем изображении показан профиль пользователя SSO, открытый на редактирование:

Пользователи, созданные с помощью SSO-аутентификации, отмечены в списке пользователей значком SSO для администраторов портала:

Выход из ONLYOFFICE SP

1. Выход можно осуществить с портала, используя пункт меню Выйти. Пользователь также должен автоматически выйти из OneLogin IdP, если он вышел из всех других приложений, к которым ему дали доступ в OneLogin и куда он произвёл вход до этого.
   
2. При удачном выходе вы будете перенаправлены страницу аутентификации портала.
3. Если перейти на страницу с приложением (например, https://companypage.onelogin.com/login), вы увидите форму логина:
   

Вход в ONLYOFFICE на стороне Onlogin IdP

1. Перейдите на страницу вашей компании в OneLogin (например, https://companypage.onelogin.com/login).
2. Войдите, используя ваши учетные данные в OnleLogin.
   
3. Если учетные данные указаны правильно, вы будете перенаправлены на страницу с приложениями, доступ к которым предоставил вам администратор вашей компании в OneLogin. Нажмите на нужное приложение (например, SAML Test Connector (IdP) w/encrypt).
   
4. Если всё настроено верно, вы будете перенаправлены на портал myportal-address.com.

Выход из OneLogin IdP

1. Перейдите на страницу вашей компании в OneLogin (например, https://companypage.onelogin.com/) и нажмите на пункт меню Выход:
   
2. Если всё пройдёт правильно, вы выйдете из портала и будете перенаправлены на страницу логина в OneLogin.