Authentik IdP

Uvod

Jedinstvena prijava (SSO) je tehnologija koja omogućava korisnicima da se prijave samo jednom i zatim dobiju pristup više aplikacija/usluga bez ponovne autentifikacije.

SSO se uvek obezbeđuje zajedničkim radom dve aplikacije: provajdera identiteta i provajdera usluga (takođe poznati kao "IdP" i "SP"). ONLYOFFICE SSO implementira samo SP. Mnogo različitih provajdera može delovati kao IdP, ali ovaj članak razmatra implementaciju Authentik-a.

Kreiranje IdP u Authentik-u

1. Prijavite se na Authentik administratorski panel (https://authentik.yourdomain.com/if/admin/).
2. Idite na Prilagođavanje -> Mapiranje svojstava.
3. Kliknite na Kreiraj -> SAML Mapiranje svojstava provajdera.
4. Na ovaj način, kreirajte 3 mapiranja svojstava sa sledećim parametrima:

   Ime	Ime SAML atributa	Izraz
   SAML givenName Mapiranje	givenName	return user.attributes["first_name"]
   SAML sn Mapiranje	sn	return user.attributes["last_name"]
   SAML mail Mapiranje	mail	return user.email

   Ovo mapiranje svojstava mora biti konfigurisano ako korisnici imaju atribute navedene u Authentik-u. Ako su atributi različiti, zamenite ih potrebnim; ako nema atributa, nije potrebna konfiguracija.

   
5. Idite na Provajderi -> Kreiraj.
6. Izaberite tip SAML.
   
7. Popunite sledeća polja:

   Ime	Docspace SAML
   Tok autorizacije	default-provider-authorization-implicit-consent (Autorizuj aplikaciju)
   ACS URL	https://docspace.example.com/sso/acs
   Izdavač	https://docspace.example.com/sso/metadata
   Veza provajdera usluga	POST
   Potpiši tvrdnje	true
   Potpiši odgovore	true
   Sertifikat za potpisivanje	Prvi put možete navesti authentik Samopotpisani sertifikat ili ga zameniti svojim sertifikatom
   Mapiranje svojstava	Ako ste konfigurisali atribute u koraku 4, potrebno je da ih dodate iz leve kolone u desnu tako što ćete ih izabrati i kliknuti na desnu strelicu

   
   
8. Kliknite na Završi.
9. Idite na Aplikacije -> Kreiraj.
10. Popunite sledeća polja:

    Ime	Docspace SAML
    Slug	docspace
    Provajder	Izaberite Docspace SAML
    Režim rada politika	any

11. Kliknite na Kreiraj.
    
12. Idite na kreirani SAML Provajder.
13. Pronađite link za Metadata URL (obično je to https://authentik.example.com/application/saml/docspace/metadata.xml)
14. Kopirajte ovaj link ili preuzmite XML.
    

Konfigurisanje ONLYOFFICE SP

Uverite se da ste prijavljeni kao Administrator u vaš ONLYOFFICE DocSpace i idite na meni Podešavanja, izaberite sekciju Integracija i otvorite karticu Jedinstvena prijava.

1. Omogućite SSO koristeći prekidač Omogući autentifikaciju jedinstvene prijave i nalepite kopirani link u polje URL do Idp Metadata XML.
2. Pritisnite dugme sa strelicom nagore da učitate IdP metapodatke. Forma za podešavanje ONLYOFFICE SP će automatski biti popunjena vašim podacima iz Authentik IdP.
3. Ako korisnici nemaju konfigurisane atribute i korak 4 iz sekcije Kreiranje IDP u Authentik-u nije izveden, tada sledeći parametri moraju biti navedeni u Mapiranje atributa:

   Ime	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
   Prezime	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name
   Email	http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress

   
4. Kreirajte sertifikat u odeljku SP Certificates. Da biste to uradili, kliknite na dugme Add certificate u odgovarajućem odeljku.
   
5. U otvorenom modalnom prozoru kliknite na link Generate New Self-Signed Certificate i izaberite opciju signing and encrypt u listi Use for. Pre nego što sačuvate sertifikat, kopirajte tekst Public Certificate u clipboard i sačuvajte ga u fajl (biće potreban za Authentik), zatim kliknite na dugme OK.
   
   
6. Kliknite na dugme Save.
7. Odeljak ONLYOFFICE SP Metadata sa dugmetom Download SP Metadata XML treba da bude otvoren.
   
8. Vratite se na Authentik da dodate kopirani sertifikat. Idite na System -> Certificates -> Create.
9. Unesite proizvoljno ime i nalepite kopirani sertifikat.
   
10. Odredite ovaj sertifikat u podešavanjima provajdera.
    

    Ako je enkripcija potrebna, onda u koraku 8 treba da kreirate sertifikat sa privatnim ključem i odredite ovaj sertifikat u polju Encryption Certificate.

Provera rada ONLYOFFICE SP sa Authentik IdP

1. Idite na stranicu za autentifikaciju ONLYOFFICE DocSpace (npr. https://myportal-address.com/login).
   
2. Kliknite na dugme Single Sign-on. Ako dugme nedostaje, to znači da SSO nije omogućeno.
3. Ako su svi SP i IdP parametri ispravno postavljeni, bićemo preusmereni na Authentik IdP formu za prijavu.
4. Unesite korisničko ime i lozinku Authentik korisnika i kliknite na dugme Sign In.
5. Ako su podaci ispravni, bićemo preusmereni na glavnu stranicu portala (korisnik će biti automatski kreiran ako nedostaje, ili će podaci biti ažurirani ako su promenjeni u IDP).