Панель управленияv.2.9
История изменений Панели управления ONLYOFFICE
Версия 2.9.1
Дата выпуска: 10.12.2020
- Исправления ошибок и улучшения производительности.
Версия 2.9
Дата выпуска: 14.10.2020
- Панель управления доступна в бесплатной версии Community со всеми настройками, кроме замены логотипа для редакторов;
- В инсталляционные скрипты добавлена проверка vsyscall при установке Почтового сервера на Debian с ядром 4.18.0 и выше;
- Редизайн навигационного меню: добавлены разделы "Общие настройки" и "Настройки портала", добавлены иконки для пунктов меню;
- Добавлена страница расширенных настроек ребрендинга в общих настройках;
- Добавлена возможность сброса индексов для полнотекстового поиска;
- Обновлен
node.js, обновлены пакеты (переход на samlify для SSO);
- Добавлен блок Шифрование хранящихся данных в разделе Хранилище;
- Добавлен раздел Приватная комната только для серверных версий;
- Добавлена страница
upgrade с предложением перейти на Enterprise Edition;
- Добавлена страница
activate с возможностью загрузки файла лицензии;
- В настройку SSO добавлен пункт HideAuthPage для возможности скрыть страницу авторизации. При включении настройки HideAuthPage будет происходить автоматический редирект со страницы авторизации в SSO сервис.
- Добавлена настройка Войти в домен на странице авторизации.
- Переход на новую библиотеку
samlify;
- В настройку SSO добавлен пункт HideAuthPage для возможности скрыть страницу авторизации. При включении настройки HideAuthPage будет происходить автоматический редирект со страницы авторизации в SSO сервис.
Версия 2.7
Дата выпуска: 25.04.2019
- Расширено число сопоставляемых полей для пользователей, загружаемых по LDAP: фото пользователя, день рождения, контакты, основной телефон;
- Добавлена настройка для автоматической синхронизации LDAP по расписанию;
- Добавлена возможность назначения прав администратора группам пользователей на портале по LDAP;
- Обновлены правила для пользователей LDAP.
Версия 2.5.1
Дата выпуска: 07.04.2018
- Исправлена ошибка
Server internal error при использовании вложенных групп, входящих друг в друга в AD (bug #37414).
- Исправлена проблема, при которой данные пользователя пересылались между Service Provider и порталом только по протоколу HTTP, даже если был включен протокол HTTPS.
Версия 2.5.0
Дата выпуска: 15.03.2018
- Исправлена ошибка, при которой аккаунт пользователя, добавленного через LDAP, не подключался в сторонних клиентах (bug #26073);
- Исправлена ошибка, при которой пользователи, состоящие в группах с недопустимыми символами, не могли пройти авторизацию с помощью LDAP (bug #36891);
- Исправлена ошибка
Internal Server Error при обновлении пользователей, у которых поля location или title были сохранены со значением NULL.
Версия 2.4.0
Дата выпуска: 13.01.2018
- Исправлена ошибка
Invalid ssoConfig, возникавшая, если в ссылке на IDP присутствовал знак вопроса '?', например: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
- Исправлена ошибка
Invalid authentication token, при которой не добавлялся пользователь на портал по AD FS, если при передаче данных в зашифрованном виде присутствовали символы + или -.
Версия 2.3.0
Дата выпуска: 15.12.2017
- Для Панели управления добавлена история изменений и ссылка на нее;
- Исправлена ошибка, при которой не передавались параметры JWT при обновлении Сервера документов (bug #36270);
- Исправлена ошибка, при которой заголовок
Журнал аудита отображался на странице истории входов в систему (bug #36026);
- Теперь выполняется проверка связи текущей машины и доменного имени при использовании мультипортальности.
- Исправлена ошибка
LDAP Domain not found, которая появлялась, если в DN-записи не было DC-записей (у пользователей с Sun/Oracle DS); теперь, если LDAP-домен определить не получится, LDAP-домен будет приобретать значение unknown или значение ключа ldap.domain из файла конфигурации web.appsettings.config;
- Исправлена ошибка
Sizelimit Exceeded при попытке получения более 1000 пользователей из Active Directory;
- Увеличена скорость входа в систему при включенной настройке Принадлежность к группе;
- Добавлены дополнительные логи;
- Исправлена ошибка с зависанием LDAP-операций при использовании Mono версии 5.2.0 и старше;
- Исправлена ошибка при попытке входа в систему по адресу электронной почты, введенному в полях, отличных от
Mail Attribute;
- Исправлена ошибка с вложенными группами, при которой пользователи отображались не во всех группах.
Версия 2.2.0
Дата выпуска: 31.10.2017
- Добавлен вызов скрипта documentserver-prepare4shutdown.sh при обновлении Сервера документов для корректного сохранения редактируемых документов.
- Глобальные изменения в LDAP-интеграции, переход на одну библиотеку для работы с LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
- Login и email разбиты на 2 отдельных поля;
- Добавлена поддержка больших данных;
- Увеличена скорость работа по протоколу LDAP (соединение с сервером и получение данных теперь происходит один раз за сессию; добавлены лимиты, там, где нужно только определённое число результатов; исправлен долгий Login на больших данных; убран постоянный перебор для поиска параметра, отвечающего за SID);
- Исправлена проблема пересоздания пользователей;
- Исправлена проблема дублирования имени пользователя;
- Исправлена проблема, возникавшая, если такой адрес электронной почты уже существует;
- Удаление пользователей LDAP заменено на деактивацию учётной записи (для дальнейшей задачи миграции данных и повышения сохранности данных);
- Пересоздание пользователя с неизвестным SID, но с существующим Email заменено на обновление данных;
- Добавлена попытка сохранить правильный UserName/Login, если такой уже занят на портале.
- Добавлена поддержка AD FS;
- Ссылка Single Sign-on на странице авторизации заменена на кастомизируемую кнопку, возможность кастомизации кнопки добавлена на странице настроек SSO в Панели управления.
Версия 2.1.0
Дата выпуска: 03.07.2017
- Добавлена поддержка сервиса letsencrypt для генерации сертификата домена.
- Добавлен новый сервис
sso.auth;
- Добавлена новая страница настроек единого входа (SSO);
- Добавлена поддержка Shibboleth.
Версия 2.0.0
Дата выпуска: 25.05.2017
- Переход Панели управления с
MVC на Node.js.
Версия 1.6.0
Дата выпуска: 05.12.2016
- Добавлена LDAP-синхронизация пользователей и групп при сохранении настроек, после входа на портал и при использовании кнопки Синхронизировать;
- Изменено формирование адреса электронной почты для пользователей LDAP;
- Исправлена проблема создания пользователей с невалидными адресами электронной почты;
- Исправлена проблема дублирования пользователей;
- Добавлены иконки и подсказки в списке пользователей для администратора;
- Заблокированы для редактирования поля в профиле пользователя, импортированные по LDAP;
- Добавлено сохранение реального пароля LDAP в базу при входе на случай отключения LDAP Auth. LDAP-пользователи при отключении LDAP Auth станут обычными пользователями портала;
- Добавлен новый метод в API Settings - Sync LDAP;
- Добавлены новые переводы;
- Исправление ошибок.
- Внесены изменения на странице Обновление в Панели управления для Windows;
- Обновление происходит путем скачивания установочных пакетов для каждого модуля.
- Получение текущих версий установленных компонентов осуществляется через API-запрос к Серверу совместной работы.
- Получение новых, доступных для скачивания, версий осуществляется запросом к файлу https://download.onlyoffice.com/install/windows/updates.txt, в котором в формате JSON хранятся номера последних версий компонентов и ссылки на их скачивание.
Введение
Технология единого входа (англ. Single Sign-On или SSO) - технология, которая позволяет пользователям осуществлять вход в систему только один раз, а затем получать доступ ко множеству приложений/сервисов без повторной аутентификации.
Если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.
SSO - это всегда совместная работа двух приложений: поставщика учетных записей (англ. Identity Provider, далее по тексту сокращенно "IdP") и поставщика сервиса (англ. Service Provider, далее по тексту сокращенно "SP"). ONLYOFFICE SSO реализует только SP. В качестве IdP может выступать множество различных провайдеров, но в этой статье мы рассмотрим реализацию Shibboleth.
Если вы хотите использовать SSO при подключении Десктопных редакторов ONLYOFFICE к ONLYOFFICE Workspace, отключите Приватные комнаты в Панели управления.
Подготовка ONLYOFFICE Workspace для настройки SSO
- Установите версию ONLYOFFICE Workspace v. 11.0.0 для Docker или любую более позднюю версию с поддержкой SSO.
- Привяжите доменное имя, например, myportal-address.com.
- На портале перейдите в Панель управления -> HTTPS, создайте и примените сертификат letsencrypt для шифрования трафика (для включения HTTPS на портале).
Создание Shibboleth IdP
Требования
Создание Shibboleth IdP
Для создания, конфигурирования и запуска Shibboleth IDP нужно скачать и выполнить скрипт install.sh
Что делает скрипт:
- качает docker-файлы для создания образов и контейнеров для Shibboleth Idp с github,
- меняет стандартный домен idptestbed.edu в файлах конфигурации на указанный при запуске,
- добавляет доступ по протоколу SAML для указанного домена ONLYOFFICE SP,
- указывает, какие атрибуты необходимы ONLYOFFICE SP для выдачи информации по пользователям от Shibboleth IDP (настройка Сопоставление атрибутов),
- создает и настраивает LDAP и создает пользователей для выдачи,
- включает динамическую загрузку метаданных от ONLYOFFICE SP в Shibboleth IDP,
- включает Shibboleth SLO, если необходимо.
- Скачайте скрипт install.sh:
curl -L https://bit.ly/3fwo5e6 -o install.sh
- Сделайте скрипт исполняемым:
chmod +x install.sh
- Выполните скрипт, заменив параметры на свои:
./install.sh -id your-idp-domain.com -sd myportal-address.com --no_slo
Параметры скрипта:
- -id - домен текущей машины для Shibboleth IDP.
- -sd - домен на котором развёрнут ONLYOFFICE SP.
- --no_slo - выключает Single Logout в Shibboleth IDP (необязательный параметр).
- Дождитесь, когда в конце выполнения Shibboleth IDP запустится.
- Для проверки, что Shibboleth IDP стартовал корректно, перейдите в браузере по ссылке https://your-idp-domain.com/idp/shibboleth Должна отобразиться xml.
- Скопируйте ссылку https://{your_idp_domain}/idp/shibboleth (например, https://your-idp-domain.com/idp/shibboleth) и перейдите на портал ONLYOFFICE под учетной записью администратора. Откройте страницу Панель управления -> SSO.
- Убедитесь, что вы зашли в качестве администратора вашей организации в Панель управления ONLYOFFICE, и щелкните вкладку SSO в разделе НАСТРОЙКИ ПОРТАЛА на левой боковой панели.
Вы можете зарегистрировать только одного корпоративного поставщика учетных записей для вашей организации на портале ONLYOFFICE.
- Включите SSO, используя переключатель Включить аутентификацию с помощью технологии единого входа и вставьте ссылку на Shibboleth IdP в поле URL-адрес XML-файла метаданных IdP.
- Нажмите кнопку со стрелкой вверх, чтобы загрузить метаданные IdP. Форма Настройки поставщика сервиса ONLYOFFICE будет автоматически заполнена данными из Shibboleth IdP.
Поскольку мы выключили SLO при запуске скрипта install.sh, указав параметр --no_slo, то поле IdP Single Logout Endpoint URL останется пустым.
- После загрузки метаданных IdP в разделе IdP Public certificates будет добавлено два сертификата. Вы также увидите всплывающее окно со следующим текстом: 'Несколько сертификатов проверки Idp не поддеживаются. Пожалуйста, оставьте только основной сертификат.'.
Необходимо удалить второй сертификат в списке и оставить только первый, который является основным. Используйте ссылку Удалить рядом со вторым сертификатом, чтобы удалить его. Если не удалить этот сертификат, настройки не удастся сохранить.
- В поле Пользовательская надпись для кнопки входа вы можете ввести любой текст вместо стандартного "Single Sign-on". Этот текст будет отображаться на кнопке для входа с помощью сервиса Single Sign-on на странице аутентификации портала ONLYOFFICE.
- Теперь необходимо сгенерировать самоподписанные сертификаты или добавить любые другие в разделе Сертификаты поставщика сервиса.
Важно!В списке Использовать для выберите опцию signing and encrypt, так как Shibboleth IdP автоматически настроен с помощью скрипта install.sh на проверку цифровой подписи и шифрование данных.
Должно получиться примерно так:
- В разделе Сопоставление атрибутов укажите соответствие полей модуля "Люди" ONLYOFFICE атрибутам пользователя, которые будут возвращаться из Shibboleth IdP.
| First Name |
urn:oid:2.5.4.42 |
| Last Name |
urn:oid:2.5.4.4 |
| Email |
urn:oid:0.9.2342.19200300.100.1.3 |
| Location |
urn:oid:2.5.4.7 |
| Title |
urn:oid:2.5.4.12 |
| Phone |
urn:oid:0.9.2342.19200300.100.1.41 |
В разделе Дополнительные параметры можно включить настройку Скрыть страницу аутентификации, чтобы cкрыть страницу аутентификации по умолчанию и автоматически перенаправлять на сервис SSO.
- Нажмите кнопку СОХРАНИТЬ.
- Должен открыться раздел Метаданные поставщика сервиса ONLYOFFICE.
- Проверьте, что настройки доступны публично, кликнув по кнопке СКАЧАТЬ XML-ФАЙЛ МЕТАДАННЫХ ПОСТАВЩИКА СЕРВИСА. Должно отобразиться содержимое XML-файла.
Обычно эта xml используется для настройки Shibboleth IDP, но поскольку скрипт install.sh включает DynamicHTTPMetadataProvider, то нам это делать не нужно (Shibboleth IDP сам её выкачает при первом запросе на логин).
Проверка работы ONLYOFFICE SP и Shibboleth IdP
Скрипт install.sh создал 4 пользователей, под которыми можно протестировать работу ONLYOFFICE SP и Shibboleth IdP.
| Email |
Username |
Password |
Comment |
| student1@{your_idp_domain} |
student1 |
password |
Эталон |
| student2@{your_idp_domain} |
student2 |
password |
Без givenName |
| student3@{your_idp_domain} |
student3 |
password |
С умлаутами |
| staff1@{your_idp_domain} |
staff1 |
password |
Только обязательные поля |
Вход в ONLYOFFICE на стороне SP
- Перейдите на страницу аутентификации ONLYOFFICE (например, https://myportal-address.com/Auth.aspx).
- Нажмите на кнопку Single sign-on (название кнопки может отличаться, если вы указали свой вариант при настройке ONLYOFFICE SP). Если этой кнопки нет, то SSO не включен.
- Если всё настроено верно в SP и IdP, мы будем перенаправлены на форму логина в Shibboleth IdP:
- Введите логин и пароль учетной записи в Shibboleth IdP (username: student1, password: password) и поставьте галочку Don't Remember Login.
- Если учетные данные указаны правильно, откроется новое окно. Разрешите передачу данных, нажав на кнопку Accept.
- Если всё пройдёт хорошо, мы будем перенаправлены на главную страницу портала (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).
Профили пользователей, добавленных с помощью SSO-аутентификации
Возможность редактирования профилей пользователей, созданных с помощью SSO-аутентификации, ограничена. Поля профиля пользователя, полученные из IdP, заблокированы для редактирования (а именно: Имя, Фамилия, Email, Позиция и Местоположение). Эти поля можно отредактировать только из вашей учетной записи в IdP.
На следующем изображении показано меню "Действия" для пользователя SSO:
На следующем изображении показан профиль пользователя SSO, открытый на редактирование:
Пользователи, созданные с помощью SSO-аутентификации, отмечены в списке пользователей значком SSO для администраторов портала:
Чтобы выйти из Shibboleth IdP (если не была поставлена галочка Don't Remember Login при логине), нужно перейти по ссылке следующего вида: https://{shibboleth-idp-domain}/idp/profile/Logout