Статьи с тэгом :
Закрыть
История изменений
Закрыть
Попробовать в облаке
Справочный центр
Панель управления

Настройка ONLYOFFICE SP и Shibboleth IdP

Панель управленияv2.9 История изменений Панели управления ONLYOFFICE

Версия 2.9.1

Дата выпуска: 10.12.2020

Исправления ошибок

  • Исправления ошибок и улучшения производительности.

Версия 2.9

Дата выпуска: 14.10.2020

Общее

  • Панель управления доступна в бесплатной версии Community со всеми настройками, кроме замены логотипа для редакторов;
  • В инсталляционные скрипты добавлена проверка vsyscall при установке Почтового сервера на Debian с ядром 4.18.0 и выше;
  • Редизайн навигационного меню: добавлены разделы "Общие настройки" и "Настройки портала", добавлены иконки для пунктов меню;
  • Добавлена страница расширенных настроек ребрендинга в общих настройках;
  • Добавлена возможность сброса индексов для полнотекстового поиска;
  • Обновлен node.js, обновлены пакеты (переход на samlify для SSO);
  • Добавлен блок Шифрование хранящихся данных в разделе Хранилище;
  • Добавлен раздел Приватная комната только для серверных версий;
  • Добавлена страница upgrade с предложением перейти на Enterprise Edition;
  • Добавлена страница activate с возможностью загрузки файла лицензии;
  • В настройку SSO добавлен пункт HideAuthPage для возможности скрыть страницу авторизации. При включении настройки HideAuthPage будет происходить автоматический редирект со страницы авторизации в SSO сервис.

LDAP

  • Добавлена настройка Войти в домен на странице авторизации.

Single Sign-on

  • Переход на новую библиотеку samlify;
  • В настройку SSO добавлен пункт HideAuthPage для возможности скрыть страницу авторизации. При включении настройки HideAuthPage будет происходить автоматический редирект со страницы авторизации в SSO сервис.

Версия 2.7

Дата выпуска: 25.04.2019

LDAP

  • Расширено число сопоставляемых полей для пользователей, загружаемых по LDAP: фото пользователя, день рождения, контакты, основной телефон;
  • Добавлена настройка для автоматической синхронизации LDAP по расписанию;
  • Добавлена возможность назначения прав администратора группам пользователей на портале по LDAP;
  • Обновлены правила для пользователей LDAP.

Версия 2.5.1

Дата выпуска: 07.04.2018

LDAP

  • Исправлена ошибка Server internal error при использовании вложенных групп, входящих друг в друга в AD (bug #37414).

Single Sign-on

  • Исправлена проблема, при которой данные пользователя пересылались между Service Provider и порталом только по протоколу HTTP, даже если был включен протокол HTTPS.

Версия 2.5.0

Дата выпуска: 15.03.2018

LDAP

  • Исправлена ошибка, при которой аккаунт пользователя, добавленного через LDAP, не подключался в сторонних клиентах (bug #26073);
  • Исправлена ошибка, при которой пользователи, состоящие в группах с недопустимыми символами, не могли пройти авторизацию с помощью LDAP (bug #36891);
  • Исправлена ошибка Internal Server Error при обновлении пользователей, у которых поля location или title были сохранены со значением NULL.

Версия 2.4.0

Дата выпуска: 13.01.2018

Single Sign-on

  • Исправлена ошибка Invalid ssoConfig, возникавшая, если в ссылке на IDP присутствовал знак вопроса '?', например: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
  • Исправлена ошибка Invalid authentication token, при которой не добавлялся пользователь на портал по AD FS, если при передаче данных в зашифрованном виде присутствовали символы + или -.

Версия 2.3.0

Дата выпуска: 15.12.2017

Общее

  • Для Панели управления добавлена история изменений и ссылка на нее;
  • Исправлена ошибка, при которой не передавались параметры JWT при обновлении Сервера документов (bug #36270);
  • Исправлена ошибка, при которой заголовок Журнал аудита отображался на странице истории входов в систему (bug #36026);
  • Теперь выполняется проверка связи текущей машины и доменного имени при использовании мультипортальности.

LDAP

  • Исправлена ошибка LDAP Domain not found, которая появлялась, если в DN-записи не было DC-записей (у пользователей с Sun/Oracle DS); теперь, если LDAP-домен определить не получится, LDAP-домен будет приобретать значение unknown или значение ключа ldap.domain из файла конфигурации web.appsettings.config;
  • Исправлена ошибка Sizelimit Exceeded при попытке получения более 1000 пользователей из Active Directory;
  • Увеличена скорость входа в систему при включенной настройке Принадлежность к группе;
  • Добавлены дополнительные логи;
  • Исправлена ошибка с зависанием LDAP-операций при использовании Mono версии 5.2.0 и старше;
  • Исправлена ошибка при попытке входа в систему по адресу электронной почты, введенному в полях, отличных от Mail Attribute;
  • Исправлена ошибка с вложенными группами, при которой пользователи отображались не во всех группах.

Версия 2.2.0

Дата выпуска: 31.10.2017

Общее

  • Добавлен вызов скрипта documentserver-prepare4shutdown.sh при обновлении Сервера документов для корректного сохранения редактируемых документов.

LDAP

  • Глобальные изменения в LDAP-интеграции, переход на одну библиотеку для работы с LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
  • Login и email разбиты на 2 отдельных поля;
  • Добавлена поддержка больших данных;
  • Увеличена скорость работа по протоколу LDAP (соединение с сервером и получение данных теперь происходит один раз за сессию; добавлены лимиты, там, где нужно только определённое число результатов; исправлен долгий Login на больших данных; убран постоянный перебор для поиска параметра, отвечающего за SID);
  • Исправлена проблема пересоздания пользователей;
  • Исправлена проблема дублирования имени пользователя;
  • Исправлена проблема, возникавшая, если такой адрес электронной почты уже существует;
  • Удаление пользователей LDAP заменено на деактивацию учётной записи (для дальнейшей задачи миграции данных и повышения сохранности данных);
  • Пересоздание пользователя с неизвестным SID, но с существующим Email заменено на обновление данных;
  • Добавлена попытка сохранить правильный UserName/Login, если такой уже занят на портале.

Single Sign-on

  • Добавлена поддержка AD FS;
  • Ссылка Single Sign-on на странице авторизации заменена на кастомизируемую кнопку, возможность кастомизации кнопки добавлена на странице настроек SSO в Панели управления.

Версия 2.1.0

Дата выпуска: 03.07.2017

HTTPS

  • Добавлена поддержка сервиса letsencrypt для генерации сертификата домена.

Single Sign-on

  • Добавлен новый сервис sso.auth;
  • Добавлена новая страница настроек единого входа (SSO);
  • Добавлена поддержка Shibboleth.

Версия 2.0.0

Дата выпуска: 25.05.2017

Общее

  • Переход Панели управления с MVC на Node.js.

Версия 1.6.0

Дата выпуска: 05.12.2016

LDAP

  • Добавлена LDAP-синхронизация пользователей и групп при сохранении настроек, после входа на портал и при использовании кнопки Синхронизировать;
  • Изменено формирование адреса электронной почты для пользователей LDAP;
  • Исправлена проблема создания пользователей с невалидными адресами электронной почты;
  • Исправлена проблема дублирования пользователей;
  • Добавлены иконки и подсказки в списке пользователей для администратора;
  • Заблокированы для редактирования поля в профиле пользователя, импортированные по LDAP;
  • Добавлено сохранение реального пароля LDAP в базу при входе на случай отключения LDAP Auth. LDAP-пользователи при отключении LDAP Auth станут обычными пользователями портала;
  • Добавлен новый метод в API Settings - Sync LDAP;
  • Добавлены новые переводы;
  • Исправление ошибок.

Панель управления для Windows

  • Внесены изменения на странице Обновление в Панели управления для Windows;
  • Обновление происходит путем скачивания установочных пакетов для каждого модуля.
  • Получение текущих версий установленных компонентов осуществляется через API-запрос к Серверу совместной работы.
  • Получение новых, доступных для скачивания, версий осуществляется запросом к файлу https://download.onlyoffice.com/install/windows/updates.txt, в котором в формате JSON хранятся номера последних версий компонентов и ссылки на их скачивание.

Введение

Технология единого входа (англ. Single Sign-On или SSO) - технология, которая позволяет пользователям осуществлять вход в систему только один раз, а затем получать доступ ко множеству приложений/сервисов без повторной аутентификации.

Если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.

SSO - это всегда совместная работа двух приложений: поставщика учетных записей (англ. Identity Provider, далее по тексту сокращенно "IdP") и поставщика сервиса (англ. Service Provider, далее по тексту сокращенно "SP"). ONLYOFFICE SSO реализует только SP. В качестве IdP может выступать множество различных провайдеров, но в этой статье мы рассмотрим реализацию Shibboleth.

Если вы хотите использовать SSO при подключении Десктопных редакторов ONLYOFFICE к ONLYOFFICE Workspace, отключите Приватные комнаты в Панели управления.

Подготовка ONLYOFFICE Workspace для настройки SSO

  1. Установите версию ONLYOFFICE Workspace v. 11.0.0 для Docker или любую более позднюю версию с поддержкой SSO.
  2. Привяжите доменное имя, например, myportal-address.com.
  3. На портале перейдите в Панель управления -> HTTPS, создайте и примените сертификат letsencrypt для шифрования трафика (для включения HTTPS на портале).

Создание Shibboleth IdP

Требования
  • Для разворачивания Shibboleth IDP потребуется чистая хостовая машина CentOS 7.
  • Нужно, чтобы на хостовой машине для IDP было правильно настроено время и установлен сервис синхронизации времени:
    timedatectl  status
    yum install ntp
    systemctl enable ntpd.service
    ntpdate time.apple.com
  • На машине должен быть установлен пакет unzip:
    yum install unzip
  • Нужно, чтобы на машине был установлен Docker и Docker Compose.
  • К машине должен быть привязан домен (например your-idp-domain.com)
Создание Shibboleth IdP

Для создания, конфигурирования и запуска Shibboleth IDP нужно скачать и выполнить скрипт install.sh

Что делает скрипт:

  • качает docker-файлы для создания образов и контейнеров для Shibboleth Idp с github,
  • меняет стандартный домен idptestbed.edu в файлах конфигурации на указанный при запуске,
  • добавляет доступ по протоколу SAML для указанного домена ONLYOFFICE SP,
  • указывает, какие атрибуты необходимы ONLYOFFICE SP для выдачи информации по пользователям от Shibboleth IDP (настройка Сопоставление атрибутов),
  • создает и настраивает LDAP и создает пользователей для выдачи,
  • включает динамическую загрузку метаданных от ONLYOFFICE SP в Shibboleth IDP,
  • включает Shibboleth SLO, если необходимо.
  1. Скачайте скрипт install.sh:
    curl -L https://bit.ly/3fwo5e6 -o install.sh
  2. Сделайте скрипт исполняемым:
    chmod +x install.sh
  3. Выполните скрипт, заменив параметры на свои:
    ./install.sh -id your-idp-domain.com -sd myportal-address.com --no_slo

    Параметры скрипта:

    • -id - домен текущей машины для Shibboleth IDP.
    • -sd - домен на котором развёрнут ONLYOFFICE SP.
    • --no_slo - выключает Single Logout в Shibboleth IDP (необязательный параметр).
  4. Дождитесь, когда в конце выполнения Shibboleth IDP запустится.
  5. Для проверки, что Shibboleth IDP стартовал корректно, перейдите в браузере по ссылке https://your-idp-domain.com/idp/shibboleth Должна отобразиться xml.
  6. Скопируйте ссылку https://{your_idp_domain}/idp/shibboleth (например, https://your-idp-domain.com/idp/shibboleth) и перейдите на портал ONLYOFFICE под учетной записью администратора. Откройте страницу Панель управления -> SSO.

Настройка ONLYOFFICE SP

  1. Убедитесь, что вы зашли в качестве администратора вашей организации в Панель управления ONLYOFFICE, и щелкните вкладку SSO в разделе НАСТРОЙКИ ПОРТАЛА на левой боковой панели.
    Вы можете зарегистрировать только одного корпоративного поставщика учетных записей для вашей организации на портале ONLYOFFICE.
    Настройка Shibboleth IdP и ONLYOFFICE SP Настройка Shibboleth IdP и ONLYOFFICE SP
  2. Включите SSO, используя переключатель Включить аутентификацию с помощью технологии единого входа и вставьте ссылку на Shibboleth IdP в поле URL-адрес XML-файла метаданных IdP.
    Настройка Shibboleth IdP и ONLYOFFICE SP Настройка Shibboleth IdP и ONLYOFFICE SP
  3. Нажмите кнопку со стрелкой вверх, чтобы загрузить метаданные IdP. Форма Настройки поставщика сервиса ONLYOFFICE будет автоматически заполнена данными из Shibboleth IdP.

    Поскольку мы выключили SLO при запуске скрипта install.sh, указав параметр --no_slo, то поле IdP Single Logout Endpoint URL останется пустым.

  4. После загрузки метаданных IdP в разделе IdP Public certificates будет добавлено два сертификата. Вы также увидите всплывающее окно со следующим текстом: 'Несколько сертификатов проверки Idp не поддеживаются. Пожалуйста, оставьте только основной сертификат.'.

    Необходимо удалить второй сертификат в списке и оставить только первый, который является основным. Используйте ссылку Удалить рядом со вторым сертификатом, чтобы удалить его. Если не удалить этот сертификат, настройки не удастся сохранить.

  5. В поле Пользовательская надпись для кнопки входа вы можете ввести любой текст вместо стандартного "Single Sign-on". Этот текст будет отображаться на кнопке для входа с помощью сервиса Single Sign-on на странице аутентификации портала ONLYOFFICE.
    Настройка Shibboleth IdP и ONLYOFFICE SP Настройка Shibboleth IdP и ONLYOFFICE SP
  6. Теперь необходимо сгенерировать самоподписанные сертификаты или добавить любые другие в разделе Сертификаты поставщика сервиса.
    Важно!В списке Использовать для выберите опцию signing and encrypt, так как Shibboleth IdP автоматически настроен с помощью скрипта install.sh на проверку цифровой подписи и шифрование данных.
    Настройка Shibboleth IdP и ONLYOFFICE SP Настройка Shibboleth IdP и ONLYOFFICE SP

    Должно получиться примерно так:

    Настройка Shibboleth IdP и ONLYOFFICE SP Настройка Shibboleth IdP и ONLYOFFICE SP
  7. В разделе Сопоставление атрибутов укажите соответствие полей модуля "Люди" ONLYOFFICE атрибутам пользователя, которые будут возвращаться из Shibboleth IdP.
    First Name urn:oid:2.5.4.42
    Last Name urn:oid:2.5.4.4
    Email urn:oid:0.9.2342.19200300.100.1.3
    Location urn:oid:2.5.4.7
    Title urn:oid:2.5.4.12
    Phone urn:oid:0.9.2342.19200300.100.1.41
    Настройка Shibboleth IdP и ONLYOFFICE SP Настройка Shibboleth IdP и ONLYOFFICE SP

    В разделе Дополнительные параметры можно включить настройку Скрыть страницу аутентификации, чтобы cкрыть страницу аутентификации по умолчанию и автоматически перенаправлять на сервис SSO.

  8. Нажмите кнопку СОХРАНИТЬ.
  9. Должен открыться раздел Метаданные поставщика сервиса ONLYOFFICE.
  10. Проверьте, что настройки доступны публично, кликнув по кнопке СКАЧАТЬ XML-ФАЙЛ МЕТАДАННЫХ ПОСТАВЩИКА СЕРВИСА. Должно отобразиться содержимое XML-файла.
    Настройка Shibboleth IdP и ONLYOFFICE SP Настройка Shibboleth IdP и ONLYOFFICE SP

    Обычно эта xml используется для настройки Shibboleth IDP, но поскольку скрипт install.sh включает DynamicHTTPMetadataProvider, то нам это делать не нужно (Shibboleth IDP сам её выкачает при первом запросе на логин).

Проверка работы ONLYOFFICE SP и Shibboleth IdP

Скрипт install.sh создал 4 пользователей, под которыми можно протестировать работу ONLYOFFICE SP и Shibboleth IdP.

Email Username Password Comment
student1@{your_idp_domain} student1 password Эталон
student2@{your_idp_domain} student2 password Без givenName
student3@{your_idp_domain} student3 password С умлаутами
staff1@{your_idp_domain} staff1 password Только обязательные поля
Вход в ONLYOFFICE на стороне SP
  1. Перейдите на страницу аутентификации ONLYOFFICE (например, https://myportal-address.com/Auth.aspx).
  2. Нажмите на кнопку Single sign-on (название кнопки может отличаться, если вы указали свой вариант при настройке ONLYOFFICE SP). Если этой кнопки нет, то SSO не включен.
    Настройка Shibboleth IdP и ONLYOFFICE SP Настройка Shibboleth IdP и ONLYOFFICE SP
  3. Если всё настроено верно в SP и IdP, мы будем перенаправлены на форму логина в Shibboleth IdP:
    Настройка Shibboleth IdP и ONLYOFFICE SP Настройка Shibboleth IdP и ONLYOFFICE SP
  4. Введите логин и пароль учетной записи в Shibboleth IdP (username: student1, password: password) и поставьте галочку Don't Remember Login.
  5. Если учетные данные указаны правильно, откроется новое окно. Разрешите передачу данных, нажав на кнопку Accept.
    Настройка Shibboleth IdP и ONLYOFFICE SP Настройка Shibboleth IdP и ONLYOFFICE SP
  6. Если всё пройдёт хорошо, мы будем перенаправлены на главную страницу портала (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).
    Настройка Shibboleth IdP и ONLYOFFICE SP Настройка Shibboleth IdP и ONLYOFFICE SP
Профили пользователей, добавленных с помощью SSO-аутентификации

Возможность редактирования профилей пользователей, созданных с помощью SSO-аутентификации, ограничена. Поля профиля пользователя, полученные из IdP, заблокированы для редактирования (а именно: Имя, Фамилия, Email, Позиция и Местоположение). Эти поля можно отредактировать только из вашей учетной записи в IdP.

На следующем изображении показано меню "Действия" для пользователя SSO:

Настройка Shibboleth IdP и ONLYOFFICE SP Настройка Shibboleth IdP и ONLYOFFICE SP

На следующем изображении показан профиль пользователя SSO, открытый на редактирование:

Настройка Shibboleth IdP и ONLYOFFICE SP Настройка Shibboleth IdP и ONLYOFFICE SP

Пользователи, созданные с помощью SSO-аутентификации, отмечены в списке пользователей значком SSO для администраторов портала:

Настройка Shibboleth IdP и ONLYOFFICE SP Настройка Shibboleth IdP и ONLYOFFICE SP

Чтобы выйти из Shibboleth IdP (если не была поставлена галочка Don't Remember Login при логине), нужно перейти по ссылке следующего вида: https://{shibboleth-idp-domain}/idp/profile/Logout

Скачать Разместите на собственном сервере Доступно для
Docker, Windows и Linux
Вас также может заинтересовать:
Закрыть