Настройка ONLYOFFICE SP и Shibboleth IdP

Панель управленияv.2.9 История изменений Панели управления ONLYOFFICE

Введение

Технология единого входа (англ. Single Sign-On или SSO) - технология, которая позволяет пользователям осуществлять вход в систему только один раз, а затем получать доступ ко множеству приложений/сервисов без повторной аутентификации.

SSO - это всегда совместная работа двух приложений: поставщика учетных записей (англ. Identity Provider, далее по тексту сокращенно "IdP") и поставщика сервиса (англ. Service Provider, далее по тексту сокращенно "SP"). ONLYOFFICE SSO реализует только SP. В качестве IdP может выступать множество различных провайдеров, но в этой статье мы рассмотрим реализацию Shibboleth.

Подготовка ONLYOFFICE Workspace для настройки SSO

1. Установите версию ONLYOFFICE Workspace v. 11.0.0 для Docker или любую более позднюю версию с поддержкой SSO.
2. Привяжите доменное имя, например, myportal-address.com.
3. На портале перейдите в Панель управления -> HTTPS, создайте и примените сертификат letsencrypt для шифрования трафика (для включения HTTPS на портале).

Создание Shibboleth IdP

Требования

• Для разворачивания Shibboleth IDP потребуется чистая хостовая машина CentOS 7.
• Нужно, чтобы на хостовой машине для IDP было правильно настроено время и установлен сервис синхронизации времени:

  timedatectl  status
  yum install ntp
  systemctl enable ntpd.service
  ntpdate time.apple.com

• На машине должен быть установлен пакет unzip:

  yum install unzip

• Нужно, чтобы на машине был установлен Docker и Docker Compose.
• К машине должен быть привязан домен (например your-idp-domain.com)

Создание Shibboleth IdP

Для создания, конфигурирования и запуска Shibboleth IDP нужно скачать и выполнить скрипт install.sh

Что делает скрипт:

• качает docker-файлы для создания образов и контейнеров для Shibboleth Idp с github,
• меняет стандартный домен idptestbed.edu в файлах конфигурации на указанный при запуске,
• добавляет доступ по протоколу SAML для указанного домена ONLYOFFICE SP,
• указывает, какие атрибуты необходимы ONLYOFFICE SP для выдачи информации по пользователям от Shibboleth IDP (настройка Сопоставление атрибутов),
• создает и настраивает LDAP и создает пользователей для выдачи,
• включает динамическую загрузку метаданных от ONLYOFFICE SP в Shibboleth IDP,
• включает Shibboleth SLO, если необходимо.

1. Скачайте скрипт install.sh:

   curl -L https://bit.ly/3fwo5e6 -o install.sh

2. Сделайте скрипт исполняемым:

   chmod +x install.sh

3. Выполните скрипт, заменив параметры на свои:

   ./install.sh -id your-idp-domain.com -sd myportal-address.com --no_slo

   Параметры скрипта:

   • -id - домен текущей машины для Shibboleth IDP.
   • -sd - домен на котором развёрнут ONLYOFFICE SP.
   • --no_slo - выключает Single Logout в Shibboleth IDP (необязательный параметр).
4. Дождитесь, когда в конце выполнения Shibboleth IDP запустится.
5. Для проверки, что Shibboleth IDP стартовал корректно, перейдите в браузере по ссылке https://your-idp-domain.com/idp/shibboleth Должна отобразиться xml.
6. Скопируйте ссылку https://{your_idp_domain}/idp/shibboleth (например, https://your-idp-domain.com/idp/shibboleth) и перейдите на портал ONLYOFFICE под учетной записью администратора. Откройте страницу Панель управления -> SSO.

Настройка ONLYOFFICE SP

1. Убедитесь, что вы зашли в качестве администратора вашей организации в Панель управления ONLYOFFICE, и щелкните вкладку SSO в разделе НАСТРОЙКИ ПОРТАЛА на левой боковой панели.
   Вы можете зарегистрировать только одного корпоративного поставщика учетных записей для вашей организации на портале ONLYOFFICE.
   
2. Включите SSO, используя переключатель Включить аутентификацию с помощью технологии единого входа и вставьте ссылку на Shibboleth IdP в поле URL-адрес XML-файла метаданных IdP.
   
3. Нажмите кнопку со стрелкой вверх, чтобы загрузить метаданные IdP. Форма Настройки поставщика сервиса ONLYOFFICE будет автоматически заполнена данными из Shibboleth IdP.

   Поскольку мы выключили SLO при запуске скрипта install.sh, указав параметр --no_slo, то поле IdP Single Logout Endpoint URL останется пустым.

4. После загрузки метаданных IdP в разделе IdP Public certificates будет добавлено два сертификата. Вы также увидите всплывающее окно со следующим текстом: 'Несколько сертификатов проверки Idp не поддеживаются. Пожалуйста, оставьте только основной сертификат.'.

   Необходимо удалить второй сертификат в списке и оставить только первый, который является основным. Используйте ссылку Удалить рядом со вторым сертификатом, чтобы удалить его. Если не удалить этот сертификат, настройки не удастся сохранить.

5. В поле Пользовательская надпись для кнопки входа вы можете ввести любой текст вместо стандартного "Single Sign-on". Этот текст будет отображаться на кнопке для входа с помощью сервиса Single Sign-on на странице аутентификации портала ONLYOFFICE.
   
6. Теперь необходимо сгенерировать самоподписанные сертификаты или добавить любые другие в разделе Сертификаты поставщика сервиса.
   Важно!В списке Использовать для выберите опцию signing and encrypt, так как Shibboleth IdP автоматически настроен с помощью скрипта install.sh на проверку цифровой подписи и шифрование данных.
   

   Должно получиться примерно так:

   
7. В разделе Сопоставление атрибутов укажите соответствие полей модуля "Люди" ONLYOFFICE атрибутам пользователя, которые будут возвращаться из Shibboleth IdP.

   First Name	urn:oid:2.5.4.42
   Last Name	urn:oid:2.5.4.4
   Email	urn:oid:0.9.2342.19200300.100.1.3
   Location	urn:oid:2.5.4.7
   Title	urn:oid:2.5.4.12
   Phone	urn:oid:0.9.2342.19200300.100.1.41

   

   В разделе Дополнительные параметры можно включить настройку Скрыть страницу аутентификации, чтобы cкрыть страницу аутентификации по умолчанию и автоматически перенаправлять на сервис SSO.

8. Нажмите кнопку СОХРАНИТЬ.
9. Должен открыться раздел Метаданные поставщика сервиса ONLYOFFICE.
10. Проверьте, что настройки доступны публично, кликнув по кнопке СКАЧАТЬ XML-ФАЙЛ МЕТАДАННЫХ ПОСТАВЩИКА СЕРВИСА. Должно отобразиться содержимое XML-файла.
    

    Обычно эта xml используется для настройки Shibboleth IDP, но поскольку скрипт install.sh включает DynamicHTTPMetadataProvider, то нам это делать не нужно (Shibboleth IDP сам её выкачает при первом запросе на логин).

Проверка работы ONLYOFFICE SP и Shibboleth IdP

Скрипт install.sh создал 4 пользователей, под которыми можно протестировать работу ONLYOFFICE SP и Shibboleth IdP.

Email	Username	Password	Comment
student1@{your_idp_domain}	student1	password	Эталон
student2@{your_idp_domain}	student2	password	Без givenName
student3@{your_idp_domain}	student3	password	С умлаутами
staff1@{your_idp_domain}	staff1	password	Только обязательные поля

Вход в ONLYOFFICE на стороне SP

1. Перейдите на страницу аутентификации ONLYOFFICE (например, https://myportal-address.com/Auth.aspx).
2. Нажмите на кнопку Single sign-on (название кнопки может отличаться, если вы указали свой вариант при настройке ONLYOFFICE SP). Если этой кнопки нет, то SSO не включен.
   
3. Если всё настроено верно в SP и IdP, мы будем перенаправлены на форму логина в Shibboleth IdP:
   
4. Введите логин и пароль учетной записи в Shibboleth IdP (username: student1, password: password) и поставьте галочку Don't Remember Login.
5. Если учетные данные указаны правильно, откроется новое окно. Разрешите передачу данных, нажав на кнопку Accept.
   
6. Если всё пройдёт хорошо, мы будем перенаправлены на главную страницу портала (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).
   

Профили пользователей, добавленных с помощью SSO-аутентификации

Возможность редактирования профилей пользователей, созданных с помощью SSO-аутентификации, ограничена. Поля профиля пользователя, полученные из IdP, заблокированы для редактирования (а именно: Имя, Фамилия, Email, Позиция и Местоположение). Эти поля можно отредактировать только из вашей учетной записи в IdP.

На следующем изображении показано меню "Действия" для пользователя SSO:

На следующем изображении показан профиль пользователя SSO, открытый на редактирование:

Пользователи, созданные с помощью SSO-аутентификации, отмечены в списке пользователей значком SSO для администраторов портала:

Чтобы выйти из Shibboleth IdP (если не была поставлена галочка Don't Remember Login при логине), нужно перейти по ссылке следующего вида: https://{shibboleth-idp-domain}/idp/profile/Logout