Панель управленияv.2.9
История изменений Панели управления
Версия 2.9
Дата выпуска: 14.10.2020
- Панель управления доступна в бесплатной версии Community со всеми настройками, кроме замены логотипа для редакторов;
- В инсталляционные скрипты добавлена проверка vsyscall при установке Почтового сервера на Debian с ядром 4.18.0 и выше;
- Редизайн навигационного меню: добавлены разделы "Общие настройки" и "Настройки портала", добавлены иконки для пунктов меню;
- Добавлена страница расширенных настроек ребрендинга в общих настройках;
- Добавлена возможность сброса индексов для полнотекстового поиска;
- Обновлен
node.js, обновлены пакеты (переход на samlify для SSO);
- Добавлен блок Шифрование хранящихся данных в разделе Хранилище;
- Добавлен раздел Приватная комната только для серверных версий;
- Добавлена страница
upgrade с предложением перейти на Enterprise Edition;
- Добавлена страница
activate с возможностью загрузки файла лицензии;
- В настройку SSO добавлен пункт HideAuthPage для возможности скрыть страницу авторизации. При включении настройки HideAuthPage будет происходить автоматический редирект со страницы авторизации в SSO сервис.
- Добавлена настройка Войти в домен на странице авторизации.
- Переход на новую библиотеку
samlify;
- В настройку SSO добавлен пункт HideAuthPage для возможности скрыть страницу авторизации. При включении настройки HideAuthPage будет происходить автоматический редирект со страницы авторизации в SSO сервис.
Версия 2.7
Дата выпуска: 25.04.2019
- Расширено число сопоставляемых полей для пользователей, загружаемых по LDAP: фото пользователя, день рождения, контакты, основной телефон;
- Добавлена настройка для автоматической синхронизации LDAP по расписанию;
- Добавлена возможность назначения прав администратора группам пользователей на портале по LDAP;
- Обновлены правила для пользователей LDAP.
Версия 2.5.1
Дата выпуска: 07.04.2018
- Исправлена ошибка
Server internal error при использовании вложенных групп, входящих друг в друга в AD (bug #37414).
- Исправлена проблема, при которой данные пользователя пересылались между Service Provider и порталом только по протоколу HTTP, даже если был включен протокол HTTPS.
Версия 2.5.0
Дата выпуска: 15.03.2018
- Исправлена ошибка, при которой аккаунт пользователя, добавленного через LDAP, не подключался в сторонних клиентах (bug #26073);
- Исправлена ошибка, при которой пользователи, состоящие в группах с недопустимыми символами, не могли пройти авторизацию с помощью LDAP (bug #36891);
- Исправлена ошибка
Internal Server Error при обновлении пользователей, у которых поля location или title были сохранены со значением NULL.
Версия 2.4.0
Дата выпуска: 13.01.2018
- Исправлена ошибка
Invalid ssoConfig, возникавшая, если в ссылке на IDP присутствовал знак вопроса '?', например: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
- Исправлена ошибка
Invalid authentication token, при которой не добавлялся пользователь на портал по AD FS, если при передаче данных в зашифрованном виде присутствовали символы + или -.
Версия 2.3.0
Дата выпуска: 15.12.2017
- Для Панели управления добавлена история изменений и ссылка на нее;
- Исправлена ошибка, при которой не передавались параметры JWT при обновлении Сервера документов (bug #36270);
- Исправлена ошибка, при которой заголовок
Журнал аудита отображался на странице истории входов в систему (bug #36026);
- Теперь выполняется проверка связи текущей машины и доменного имени при использовании мультипортальности.
- Исправлена ошибка
LDAP Domain not found, которая появлялась, если в DN-записи не было DC-записей (у пользователей с Sun/Oracle DS); теперь, если LDAP-домен определить не получится, LDAP-домен будет приобретать значение unknown или значение ключа ldap.domain из файла конфигурации web.appsettings.config;
- Исправлена ошибка
Sizelimit Exceeded при попытке получения более 1000 пользователей из Active Directory;
- Увеличена скорость входа в систему при включенной настройке Принадлежность к группе;
- Добавлены дополнительные логи;
- Исправлена ошибка с зависанием LDAP-операций при использовании Mono версии 5.2.0 и старше;
- Исправлена ошибка при попытке входа в систему по адресу электронной почты, введенному в полях, отличных от
Mail Attribute;
- Исправлена ошибка с вложенными группами, при которой пользователи отображались не во всех группах.
Версия 2.2.0
Дата выпуска: 31.10.2017
- Добавлен вызов скрипта documentserver-prepare4shutdown.sh при обновлении Сервера документов для корректного сохранения редактируемых документов.
- Глобальные изменения в LDAP-интеграции, переход на одну библиотеку для работы с LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
- Login и email разбиты на 2 отдельных поля;
- Добавлена поддержка больших данных;
- Увеличена скорость работа по протоколу LDAP (соединение с сервером и получение данных теперь происходит один раз за сессию; добавлены лимиты, там, где нужно только определённое число результатов; исправлен долгий Login на больших данных; убран постоянный перебор для поиска параметра, отвечающего за SID);
- Исправлена проблема пересоздания пользователей;
- Исправлена проблема дублирования имени пользователя;
- Исправлена проблема, возникавшая, если такой адрес электронной почты уже существует;
- Удаление пользователей LDAP заменено на деактивацию учётной записи (для дальнейшей задачи миграции данных и повышения сохранности данных);
- Пересоздание пользователя с неизвестным SID, но с существующим Email заменено на обновление данных;
- Добавлена попытка сохранить правильный UserName/Login, если такой уже занят на портале.
- Добавлена поддержка AD FS;
- Ссылка Single Sign-on на странице авторизации заменена на кастомизируемую кнопку, возможность кастомизации кнопки добавлена на странице настроек SSO в Панели управления.
Версия 2.1.0
Дата выпуска: 03.07.2017
- Добавлена поддержка сервиса letsencrypt для генерации сертификата домена.
- Добавлен новый сервис
sso.auth;
- Добавлена новая страница настроек единого входа (SSO);
- Добавлена поддержка Shibboleth.
Версия 2.0.0
Дата выпуска: 25.05.2017
- Переход Панели управления с
MVC на Node.js.
Версия 1.6.0
Дата выпуска: 05.12.2016
- Добавлена LDAP-синхронизация пользователей и групп при сохранении настроек, после входа на портал и при использовании кнопки Синхронизировать;
- Изменено формирование адреса электронной почты для пользователей LDAP;
- Исправлена проблема создания пользователей с невалидными адресами электронной почты;
- Исправлена проблема дублирования пользователей;
- Добавлены иконки и подсказки в списке пользователей для администратора;
- Заблокированы для редактирования поля в профиле пользователя, импортированные по LDAP;
- Добавлено сохранение реального пароля LDAP в базу при входе на случай отключения LDAP Auth. LDAP-пользователи при отключении LDAP Auth станут обычными пользователями портала;
- Добавлен новый метод в API Settings - Sync LDAP;
- Добавлены новые переводы;
- Исправление ошибок.
- Внесены изменения на странице Обновление в Панели управления для Windows;
- Обновление происходит путем скачивания установочных пакетов для каждого модуля.
- Получение текущих версий установленных компонентов осуществляется через API-запрос к Серверу совместной работы.
- Получение новых, доступных для скачивания, версий осуществляется запросом к файлу https://download.onlyoffice.com/install/windows/updates.txt, в котором в формате JSON хранятся номера последних версий компонентов и ссылки на их скачивание.
Введение
Вы можете настроить Shibboleth 2.x - 3.x в качестве поставщика учетных записей (IDP) для корпоративных учетных записей в ONLYOFFICE. Процесс настройки состоит из двух основных шагов: регистрации вашего поставщика учетных записей в разделе SSO Панели управления ONLYOFFICE и регистрации ONLYOFFICE SP в поставщике учетных записей Shibboleth.
ONLYOFFICE SP поддерживает поток атрибутов givenName, sn, title, locality, mobile и mail корпоративной учетной записи от корпоративного поставщика учетных записей. Когда пользователь осуществляет вход с использованием корпоративной учетной записи, и ONLYOFFICE SP получает атрибуты с именами givenName, sn и mail (обязательные атрибуты), ONLYOFFICE SP заполняет полное имя и адрес электронной почты для учетной записи пользователя значениями, полученными от поставщика учетных записей.
Если вы хотите использовать SSO при подключении Десктопных редакторов ONLYOFFICE к ONLYOFFICE Workspace, отключите Приватные комнаты в Панели управления.
Регистрация Shibboleth в качестве корпоративного поставщика учетных записей в ONLYOFFICE SP
- Убедитесь, что вы зашли в качестве администратора вашей организации в Панель управления ONLYOFFICE, и щелкните вкладку SSO в разделе НАСТРОЙКИ ПОРТАЛА на левой боковой панели.
Вы можете зарегистрировать только одного корпоративного поставщика учетных записей для вашей организации на портале ONLYOFFICE.
- Включите SSO, используя переключатель Включить аутентификацию с помощью технологии единого входа.
- Введите метаданные для поставщика учетных записей, используя один из трех приведенных ниже вариантов:
- По ссылке (Загрузить данные) – если метаданные Shibboleth IdP доступны извне по ссылке (например, https://{shibboleth-idp-domain}/idp/shibboleth), вставьте ссылку в поле URL-адрес XML-файла метаданных IdP и нажмите кнопку со стрелкой вверх. После этого все настройки отобразятся в расширенной форме.
- Файл (ВЫБРАТЬ ФАЙЛ) – по умолчанию Shibboleth предоставляет файл метаданных IdP в
SHIBBOLETH_HOME/metadata. Если файл метаданных доступен, загрузите его, используя кнопку ВЫБРАТЬ ФАЙЛ и указав файл SHIBBOLETH_HOME/metadata/idp-metadata.xml с локальной машины. После этого все настройки отобразятся в расширенной форме.
- Параметры – если файл с метаданными недоступен, вручную введите значения и укажите запрашиваемые параметры: Идентификатор сущности поставщика учетных записей, URL-адрес конечной точки единого входа IdP, URL-адрес конечной точки единого выхода IdP, сертификаты для подписи и прочее. Для получения этих значений обратитесь к администратору Shibboleth.
- В поле Пользовательская надпись для кнопки входа вы можете ввести любой текст вместо стандартного "Single Sign-on". Этот текст будет отображаться на кнопке для входа с помощью сервиса Single Sign-on на странице аутентификации портала ONLYOFFICE.
- Если ваш Shibboleth IdP требует, чтобы входящие данные были подписаны и/или зашифрованы, то необходимо создать/добавить сертификаты для этого в разделе Сертификаты поставщика сервиса. В расширенных настройках также можно указать, какие запросы стоит подписывать, нужно ли расшифровывать данные, выбрать соответствующие алгоритмы подписи и расшифровки.
- В разделе Сопоставление атрибутов укажите соответствие полей модуля "Люди" ONLYOFFICE атрибутам пользователя, которые будут возвращаться из Shibboleth IdP.
В разделе Дополнительные параметры можно включить настройку Скрыть страницу аутентификации, чтобы cкрыть страницу аутентификации по умолчанию и автоматически перенаправлять на сервис SSO.
- Нажмите кнопку СОХРАНИТЬ.
- Должен открыться раздел Метаданные поставщика сервиса ONLYOFFICE.
- Проверьте, что настройки доступны публично, кликнув по кнопке СКАЧАТЬ XML-ФАЙЛ МЕТАДАННЫХ ПОСТАВЩИКА СЕРВИСА. Должно отобразиться содержимое XML-файла.
Регистрация ONLYOFFICE в качестве проверенного поставщика сервиса в Shibboleth IdP
- Настройте ONLYOFFICE SP в качестве проверяющей стороны в Shibboleth.
- Получите файл метаданных вашего портала ONLYOFFICE и сохраните его как XML-файл. Для получения файла метаданных войдите в Панель управления ONLYOFFICE в качестве администратора и щелкните вкладку SSO. Нажмите на кнопку СКАЧАТЬ XML-ФАЙЛ МЕТАДАННЫХ ПОСТАВЩИКА СЕРВИСА и сохраните данные как файл sp-ONLYOFFICE.xml.
- Добавьте ONLYOFFICE в качестве проверенного поставщика сервисов в Shibboleth посредством задания нового элемента
MetadataProvider в файле SHIBBOLETH_HOME/conf/metadata-providers.xml. Для этого добавьте приведенный ниже фрагмент кода в корневой элемент MetadataProvider. Предоставьте путь к XML-файлу метаданных вашей организации (сохраненному на предыдущем шаге a):
<MetadataProvider id="ONLYOFFICESP" xsi:type="FilesystemMetadataProvider" metadataFile="<PATH_TO_THE_SAVED_METADATA>/metadata/sp-ONLYOFFICE.xml"/>
- Настройте атрибуты пользователя, которые будут возвращаться из Shibboleth IdP.
- Отредактируйте файл
SHIBBOLETH_HOME/conf/attribute-resolver.xml. Закомментируйте или удалите все существующие определения атрибутов и коннекторов данных.
- Добавьте следующую запись атрибутов в раздел
resolver:AttributeResolver.
<resolver:AttributeResolver
xmlns:resolver="urn:mace:shibboleth:2.0:resolver"
xmlns:pc="urn:mace:shibboleth:2.0:resolver:pc"
xmlns:ad="urn:mace:shibboleth:2.0:resolver:ad"
xmlns:dc="urn:mace:shibboleth:2.0:resolver:dc"
xmlns:enc="urn:mace:shibboleth:2.0:attribute:encoder"
xmlns:sec="urn:mace:shibboleth:2.0:security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="urn:mace:shibboleth:2.0:resolver http://shibboleth.net/schema/idp/shibboleth-attribute-resolver.xsd
urn:mace:shibboleth:2.0:resolver:pc http://shibboleth.net/schema/idp/shibboleth-attribute-resolver-pc.xsd
urn:mace:shibboleth:2.0:resolver:ad http://shibboleth.net/schema/idp/shibboleth-attribute-resolver-ad.xsd
urn:mace:shibboleth:2.0:resolver:dc http://shibboleth.net/schema/idp/shibboleth-attribute-resolver-dc.xsd
urn:mace:shibboleth:2.0:attribute:encoder http://shibboleth.net/schema/idp/shibboleth-attribute-encoder.xsd
urn:mace:shibboleth:2.0:security http://shibboleth.net/schema/idp/shibboleth-security.xsd">
<!-- ========================================== -->
<!-- Attribute Definitions -->
<!-- ========================================== -->
<!-- Schema: Core schema attributes-->
<resolver:AttributeDefinition id="email" xsi:type="ad:Simple" sourceAttributeID="mail">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:mail" encodeType="false" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:0.9.2342.19200300.100.1.3" friendlyName="mail" encodeType="false" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="mobileNumber" sourceAttributeID="mobile">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:mobile" encodeType="false" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:0.9.2342.19200300.100.1.41" friendlyName="mobile" encodeType="false" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="surname" sourceAttributeID="sn">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:sn" encodeType="false" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:2.5.4.4" friendlyName="sn" encodeType="false" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="locality" sourceAttributeID="l">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:l" encodeType="false" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:2.5.4.7" friendlyName="l" encodeType="false" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="title" sourceAttributeID="title">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:title" encodeType="false" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:2.5.4.12" friendlyName="title" encodeType="false" />
</resolver:AttributeDefinition>
<resolver:AttributeDefinition xsi:type="ad:Simple" id="givenName" sourceAttributeID="givenName">
<resolver:Dependency ref="myLDAP" />
<resolver:AttributeEncoder xsi:type="enc:SAML1String" name="urn:mace:dir:attribute-def:givenName" encodeType="false" />
<resolver:AttributeEncoder xsi:type="enc:SAML2String" name="urn:oid:2.5.4.42" friendlyName="givenName" encodeType="false" />
</resolver:AttributeDefinition>
</resolver:AttributeResolver>
- Настройте атрибуты для включения в поставщик сервиса. Отредактируйте файл
SHIBBOLETH_HOME/conf/attribute-filter.xml и добавьте следующее:
<AttributeFilterPolicyGroup id="ShibbolethFilterPolicy"
xmlns="urn:mace:shibboleth:2.0:afp"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd">
<!-- Release some attributes to an SP. -->
<AttributeFilterPolicy id="ONLYOFFICESP">
<PolicyRequirementRule xsi:type="OR">
<Rule xsi:type="Requester" value="https://{portal-domain}/sso/metadata" />
</PolicyRequirementRule>
<AttributeRule attributeID="mail">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="surname">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="givenName">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="mobileNumber">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="title">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
<AttributeRule attributeID="locality">
<PermitValueRule xsi:type="ANY" />
</AttributeRule>
</AttributeFilterPolicy>
</AttributeFilterPolicyGroup>
Замените {portal-domain} на доменное имя вашего портала.
- Отредактируйте файл
SHIBBOLETH_HOME/conf/relying-party.xml.
- Скопируйте приведенный ниже XML-код и вставьте его в элементы
shibboleth.RelyingPartyOverrides, чтобы перезаписать настройки по умолчанию для Shibboleth IdP:
<util:list id="shibboleth.RelyingPartyOverrides">
<bean parent="RelyingPartyByName" c:relyingPartyIds="https://{portal-domain}/sso/metadata">
<property name="profileConfigurations">
<list>
<bean parent="Shibboleth.SSO" p:postAuthenticationFlows="attribute-release" />
<bean parent="SAML2.SSO" p:encryptAssertions="true" p:postAuthenticationFlows="attribute-release" />
<bean parent="SAML2.Logout" />
</list>
</property>
</bean>
Замените {portal-domain} на доменное имя вашего портала.
- Перезапустите программный агент (Linux) или службу (Windows) Shibboleth.
Проверка работы ONLYOFFICE SP и Shibboleth IdP
Вход в ONLYOFFICE на стороне SP
- Перейдите на страницу аутентификации ONLYOFFICE (например, https://myportal-address.com/auth.aspx).
- Нажмите на кнопку Single sign-on (название кнопки может отличаться, если вы указали свой вариант при настройке ONLYOFFICE SP). Если этой кнопки нет, то SSO не включен.
- Если всё настроено верно в SP и IdP, мы будем перенаправлены на форму логина в Shibboleth IdP:
- Введите логин и пароль учетной записи в Shibboleth IdP и поставьте галочку Don't Remember Login.
- Если учетные данные указаны правильно, откроется новое окно. Разрешите передачу данных, нажав на кнопку Accept.
- Если всё пройдёт хорошо, мы будем перенаправлены на главную страницу портала (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).
Профили пользователей, добавленных с помощью SSO-аутентификации
Возможность редактирования профилей пользователей, созданных с помощью SSO-аутентификации, ограничена. Поля профиля пользователя, полученные из IdP, заблокированы для редактирования (а именно: Имя, Фамилия, Email, Позиция и Местоположение). Эти поля можно отредактировать только из вашей учетной записи в IdP.
На следующем изображении показано меню "Действия" для пользователя SSO:
На следующем изображении показан профиль пользователя SSO, открытый на редактирование:
Пользователи, созданные с помощью SSO-аутентификации, отмечены в списке пользователей значком SSO для администраторов портала:
Чтобы выйти из Shibboleth IdP (если не была поставлена галочка Don't Remember Login при логине), нужно перейти по ссылке следующего вида: https://{shibboleth-idp-domain}/idp/profile/Logout