ONLYOFFICE Docs 9.3 objavljen: unapređeni PDF Editor i više opcija potpisa, višestrani prikaz dokumenata, Solver u tabelama, reprodukcija GIF-ova u režimu slajd-šou prezentacije, AI unapređenja i još mnogo toga
ONLYOFFICE Docs 9.3 objavljen
Ovaj članak je preveden pomoću veštačke inteligencije

Jedinstvena prijava

Uvod

Sekcija Jedinstvena prijava omogućava vam da omogućite autentifikaciju treće strane koristeći SAML, čime se korisnicima obezbeđuje brži, lakši i sigurniji način pristupa DocSpace-u.

U SaaS verziji, ovo je plaćena funkcija (dostupna samo u plaćenom Business planu).

Generalno, tehnologija Jedinstvena prijava omogućava korisnicima da se prijave samo jednom i zatim dobiju pristup više aplikacija/usluga bez ponovne autentifikacije. Na primer, ako web portal uključuje nekoliko velikih nezavisnih sekcija (forum, chat, blogovi, itd.), korisnik može proći proceduru autentifikacije unutar jedne od usluga i automatski dobiti pristup svim ostalim uslugama bez ponovnog unosa kredencijala.

Provajder identiteta (IdP) je usluga koja kreira, održava i upravlja informacijama o identitetu korisnika i pruža autentifikaciju korisnika drugim provajderima usluga unutar federacije. Usluge kao što su OneLogin, ADFS itd. deluju kao provajderi identiteta. Provajder usluga (SP) je entitet koji pruža web usluge i oslanja se na pouzdanog provajdera identiteta za autentifikaciju korisnika. U našem slučaju, provajder usluga je ONLYOFFICE.

Možete omogućiti SSO na osnovu SAML za razmenu podataka o autentifikaciji/autorizaciji između provajdera identiteta i provajdera usluga:

  • SAML (Security Assertion Markup Language) - XML standard koji omogućava prenos podataka o autentifikaciji/autorizaciji korisnika između provajdera identiteta i provajdera usluga putem sigurnosnih tokena koji sadrže tvrdnje.

Poboljšana sigurnost je omogućena time što ONLYOFFICE ne čuva lozinke korisnika, već koristi rezultate autentifikacije na strani provajdera identiteta. Sve potrebne informacije o korisniku se prenose putem autentifikacionog tokena. Ako se informacije o korisniku promene na strani provajdera identiteta, one će biti automatski ažurirane u DocSpace-u tokom sledeće SSO autentifikacije (imajte na umu da se podaci mogu sinhronizovati samo u jednom pravcu: od provajdera identiteta ka ONLYOFFICE-u).

Nakon što su provajder identiteta i ONLYOFFICE međusobno konfigurisani da obezbede SSO, proces SSO autentifikacije korisnika će se obavljati na strani provajdera identiteta. ONLYOFFICE će primiti autentifikacioni token (SAML) od provajdera identiteta. Nakon što se token validira (koristeći digitalne potpise i trajanje tokena), ONLYOFFICE omogućava korisniku pristup DocSpace-u.

Omogućavanje SSO

Da biste omogućili i konfigurisali SSO autentifikaciju za vaš DocSpace, postupite na sledeći način:

Proverite konfiguraciju Provajdera identiteta pre nego što prilagodite Provajdera usluga.

  1. Koristite Ikona opcija meni u donjem levom uglu i izaberite opciju Podešavanja.
  2. U Podešavanjima DocSpace-a, otvorite sekciju Integracija sa leve strane.
  3. Prebacite se na karticu Jedinstvena prijava.
  4. Uključite prekidač Omogući autentifikaciju jedinstvenom prijavom.
  5. U sekciji ONLYOFFICE SP Podešavanja, kliknite na Prikaži i popunite potrebna polja. Potrebne informacije mogu biti navedene na nekoliko različitih načina:
    • Unesite URL adresu do metadata fajla. Ako su vaši IdP metadata dostupni spolja putem linka, umetnite link u polje URL do IdP Metadata XML i kliknite na dugme Ikona strelice da biste učitali podatke. Kada se podaci učitaju, svi potrebni parametri će biti automatski prikazani u proširenom obliku.
    • Otpremite metadata fajl. Ako vaš IdP pruža metadata fajl, koristite dugme Izaberi fajl da biste pronašli fajl sačuvan na vašem lokalnom računaru. Kada se fajl otpremi, svi potrebni parametri će biti automatski prikazani u proširenom obliku.
    • Navedite potrebne parametre ručno. Ako metadata fajl nije dostupan, unesite potrebne parametre ručno. Da biste dobili potrebne vrednosti, kontaktirajte administratora vašeg IdP-a.
Omogućavanje Jedinstvene prijave u DocSpace-u Omogućavanje Jedinstvene prijave u DocSpace-u

Dostupni su sledeći parametri:

  • IdP Entity Id (obavezno polje) - identifikator provajdera identiteta ili URL adresa koja će biti korišćena od strane provajdera usluga za nedvosmisleno identifikovanje IdP-a.
    https://example.com/idp/shibboleth

    gde je example.com naziv domena vaše SSO usluge

  • IdP Jedinstvena prijava Endpoint URL (obavezno polje) - URL koji se koristi za jedinstvenu prijavu na strani provajdera identiteta. To je adresa krajnje tačke u vašem IdP-u na koju SP šalje zahteve za autentifikaciju.

    Podesite potreban tip Binding birajući jedan od odgovarajućih radio dugmića. Bindingi određuju način na koji se zahtevi za autentifikaciju i odgovori prenose između IdP-a i SP-a preko osnovnog transportnog protokola: koristeći HTTP POST ili HTTP Redirect binding.

  • IdP Jedinstvena odjava Endpoint URL - URL koji se koristi za jedinstvenu odjavu na strani provajdera usluga. To je adresa krajnje tačke u vašem IdP-u na koju SP šalje zahteve/odgovore za odjavu.

    Podesite potreban tip Binding birajući jedan od odgovarajućih radio dugmića. Bindingi određuju način na koji se zahtevi za odjavu i odgovori prenose između IdP-a i SP-a preko osnovnog transportnog protokola: koristeći HTTP POST ili HTTP Redirect binding.

  • NameId Format - parametar NameID omogućava SP-u da identifikuje korisnika. Izaberite jedan od dostupnih formata sa liste.
Omogućavanje Jedinstvene prijave u DocSpace-u Omogućavanje Jedinstvene prijave u DocSpace-u
Moguće je prilagoditi dugme koje se koristi za prijavu na DocSpace sa uslugom Jedinstvena prijava na stranici za autentifikaciju ONLYOFFICE-a. To možete učiniti koristeći polje Prilagođeni natpis dugmeta za prijavu u sekciji ONLYOFFICE SP Podešavanja.

Takođe možete dodati IdP i SP sertifikate.

Javni sertifikati IdP-a

Javni sertifikati IdP-a - ova sekcija vam omogućava da dodate javne sertifikate provajdera identiteta koje SP koristi za verifikaciju zahteva i odgovora od IdP-a.

Ako ste učitali IdP metadata, ovi sertifikati će biti automatski dodati vašem DocSpace-u. U suprotnom, sertifikati se mogu pronaći na vašem IdP nalogu. Da biste ručno dodali sertifikat, kliknite na dugme Dodaj sertifikat. Otvoriće se prozor Novi sertifikat. Unesite sertifikat u polje Javni sertifikat i kliknite na dugme OK.

Omogućavanje Jedinstvene prijave u DocSpace-u Omogućavanje Jedinstvene prijave u DocSpace-u

Podesite dodatne parametre za proveru sertifikata označavanjem odgovarajućih kutija.

Odredite koje potpise zahteva/odgovora poslatih od IdP-a ka SP-u treba verifikovati:

  • Proveri potpis odgovora za autentifikaciju - za verifikaciju potpisa SAML odgovora za autentifikaciju poslatih SP-u.
  • Proveri potpis zahteva za odjavu - za verifikaciju potpisa SAML zahteva za odjavu poslatih SP-u.
  • Proveri potpis odgovora za odjavu - za verifikaciju potpisa SAML odgovora za odjavu poslatih SP-u.

Izaberite potrebni algoritam sa liste Podrazumevani algoritam za verifikaciju potpisa: rsa-sha1, rsa-sha256 ili rsa-sha512.

Podrazumevana podešavanja se koriste samo u slučajevima kada IdP metadata ne specificira koji algoritam treba koristiti.

Možete urediti ili obrisati dodate sertifikate koristeći odgovarajući link.

SP Sertifikati

SP Sertifikati - ova sekcija vam omogućava da dodate sertifikate provajdera usluga koji se koriste za potpisivanje i enkripciju zahteva i odgovora od SP-a.

Ako vaš IdP zahteva da ulazni podaci budu potpisani i/ili enkriptovani, kreirajte ili dodajte odgovarajuće sertifikate u ovoj sekciji.

Omogućavanje Jedinstvene prijave u DocSpace-u Omogućavanje Jedinstvene prijave u DocSpace-u

Kliknite na dugme Dodaj sertifikat. Otvoriće se prozor Novi sertifikat. Možete generisati samopotpisani sertifikat ili dodati postojeći sertifikat u polje Javni sertifikat i odgovarajući privatni ključ u polje Privatni ključ. Na listi Koristi za, izaberite jednu od dostupnih opcija: potpisivanje, enkripcija, potpisivanje i enkripcija. Kada završite, kliknite na dugme OK.

U zavisnosti od svrhe sertifikata odabrane na listi Koristi za prilikom otpremanja/generisanja sertifikata, određuju se dodatni parametri sertifikata. Sledeći parametri definišu koje zahteve/odgovore poslati od SP ka IdP treba potpisati:

  • Potpiši Auth Zahteve - da bi SP potpisao SAML zahteve za autentifikaciju poslate IdP-u.
  • Potpiši Zahteve za Odjavu - da bi SP potpisao SAML zahteve za odjavu poslate IdP-u.
  • Potpiši Odgovore za Odjavu - da bi SP potpisao SAML odgovore za odjavu poslate IdP-u.

Ako ste odabrali opciju enkripcija ili potpisivanje i enkripcija na listi Koristi za, parametar Dekripcija Asercija je takođe označen. Dekripcija se vrši korišćenjem odgovarajućeg Privatnog Ključa.

Izaberite potrebne algoritme sa liste:

  • Algoritam za Potpisivanje: rsa-sha1, rsa-sha256 ili rsa-sha512.
  • Podrazumevani Algoritam za Dekripciju: aes128-cbc, aes256-cbc ili tripledes-cbc.

Možete urediti ili obrisati dodate sertifikate koristeći odgovarajuću vezu.

Mapiranje Atributa

Mapiranje Atributa - ovaj odeljak vam omogućava da postavite korespondenciju polja u odeljku Nalozi sa korisničkim atributima koji će biti vraćeni od IdP-a. Kada se korisnik prijavi u ONLYOFFICE SP koristeći SSO akreditive, ONLYOFFICE SP prima potrebne atribute i popunjava polja za puno ime i email adresu u korisničkom nalogu sa vrednostima primljenim od IdP-a. Ako korisnik ne postoji u odeljku Nalozi, biće automatski kreiran. Ako su informacije o korisniku promenjene na strani IdP-a, biće ažurirane i u SP-u.

Omogućavanje Jedinstvene Prijave u DocSpace Omogućavanje Jedinstvene Prijave u DocSpace

Dostupni atributi su:

  • Ime (obavezno polje) - atribut u korisničkom zapisu koji odgovara imenu korisnika.
  • Prezime (obavezno polje) - atribut u korisničkom zapisu koji odgovara prezimenu korisnika.
  • Email (obavezno polje) - atribut u korisničkom zapisu koji odgovara email adresi korisnika.
Tip Korisnika

Svi korisnici će biti dodati u DocSpace sa izabranim tipom (korisnik, admin sobe, admin DocSpace-a). Tip Korisnik je podrazumevano izabran. Korisnici mogu pristupiti samo sobama u koje su pozvani od strane admina, i ne mogu kreirati sopstvene sobe, foldere ili fajlove. Izaberite drugi tip da biste omogućili više dozvola. U suprotnom, možete ručno promeniti tip u odeljku Kontakti.

Napredna Podešavanja

Opcija Sakrij stranicu za autentifikaciju omogućava vam da sakrijete podrazumevanu stranicu za autentifikaciju i automatski preusmerite na SSO uslugu.

VažnoAko trebate da vratite podrazumevanu stranicu za autentifikaciju (da biste mogli pristupiti DocSpace-u ako vaš IDP server zakaže), možete dodati ključ /login?skipssoredirect=true nakon imena domena vašeg DocSpace-a u adresnoj traci pretraživača.

Označite polje Onemogući verifikaciju emaila ako želite da onemogućite aktivaciju emaila za SSO korisnike. Ako je ovo polje označeno, SSO korisnici neće morati da verifikuju svoj email nakon prve autorizacije u DocSpace-u.

Kada su sva podešavanja specificirana u vašem DocSpace-u, kliknite na dugme Sačuvaj. Odeljak ONLYOFFICE SP Metapodaci će se otvoriti.

Registracija ONLYOFFICE-a kao pouzdanog Pružatelja Usluga u vašem Pružatelju Identiteta

Sada trebate dodati ONLYOFFICE kao pouzdanog Pružatelja Usluga u vašem IdP nalogu specificirajući ONLYOFFICE SP metapodatke u IdP-u.

Da biste primili potrebne podatke, obratite se odeljku ONLYOFFICE SP Metapodaci na stranici Jedinstvena Prijava. Proverite da li su SP podaci javno dostupni. Da biste to uradili, kliknite na dugme Preuzmi SP Metapodaci XML. Sadržaj XML fajla će biti prikazan u novom tabu pretraživača. Sačuvajte podatke kao XML fajl kako biste ih mogli otpremiti u IdP.

Alternativno, možete ručno kopirati pojedinačne parametre klikom na dugme Ikona za kopiranje u odgovarajućim poljima.

Omogućavanje Jedinstvene Prijave u DocSpace Omogućavanje Jedinstvene Prijave u DocSpace

Dostupni parametri su:

  • SP Entity ID (link ka XML metapodacima) - URL adresa XML fajla Pružatelja Usluga koja može biti preuzeta i korišćena od strane Pružatelja Identiteta za nedvosmisleno identifikovanje SP-a. Podrazumevano, fajl se nalazi na sledećoj adresi: http://example.com/sso/metadata gde je example.com naziv domena vašeg ONLYOFFICE DocSpace-a ili javni IP.
  • SP URL za Prijem Asercija (podržava POST i Redirect vezivanje) - URL adresa Pružatelja Usluga gde prima i obrađuje asercije od Pružatelja Identiteta. Podrazumevano, koristi se sledeća adresa: http://example.com/sso/acs gde je example.com naziv domena vašeg ONLYOFFICE DocSpace-a ili javni IP.
  • SP URL za Jedinstvenu Odjavu (podržava POST i Redirect vezivanje) - URL adresa korišćena za jedinstvenu odjavu na strani Pružatelja Identiteta. To je krajnja adresa u vašem SP gde prima i obrađuje zahteve/odgovore za odjavu od Pružatelja Identiteta. Podrazumevano, koristi se sledeća adresa: http://example.com/sso/slo/callback gde je example.com naziv domena vašeg ONLYOFFICE DocSpace-a ili javni IP.
Ovi parametri i sadržaj XML-a se razlikuju u zavisnosti od vaše DocSpace konfiguracije, npr., ako specificirate naziv domena, parametri će takođe biti promenjeni i moraćete da ponovo konfigurišete vaš IdP.

Prijavljivanje u ONLYOFFICE SP

Nakon što je SSO omogućen i konfigurisano, proces prijavljivanja se odvija na sledeći način:

  1. Korisnik zahteva pristup ONLYOFFICE-u klikom na dugme Jedinstvena Prijava (natpis može biti drugačiji ako ste specificirali sopstveni tekst prilikom konfigurisanja ONLYOFFICE SP) na stranici za autentifikaciju ONLYOFFICE DocSpace-a (SSO iniciran od strane SP-a).
  2. Ako su svi IdP i SP parametri ispravno postavljeni, ONLYOFFICE šalje zahtev za autentifikaciju IdP-u i preusmerava korisnika na IdP stranicu gde se traže akreditive.
  3. Ako korisnik već nije prijavljen na IdP, unosi akreditive na IdP-u.
  4. IdP kreira odgovor za autentifikaciju koji sadrži korisničke podatke i šalje ga ONLYOFFICE-u.
  5. ONLYOFFICE prima odgovor za autentifikaciju od Pružatelja Identiteta i validira ga.
  6. Ako je odgovor validiran, ONLYOFFICE omogućava korisniku da se prijavi (korisnik će biti automatski kreiran ako nedostaje, ili će podaci biti ažurirani ako su promenjeni na IdP-u).

Moguće je koristiti i stranicu za prijavu na strani Pružatelja Identiteta (SSO iniciran od strane IdP-a), uneti akreditive i zatim pristupiti ONLYOFFICE DocSpace-u bez ponovne autentifikacije.

Odjavljivanje iz ONLYOFFICE SP

Odjava se može izvršiti na 2 dostupna načina:

  1. Iz ONLYOFFICE DocSpace-a koristeći meni Odjava (u ovom slučaju zahtev će biti poslat od IdP-a za odjavu). Korisnik bi takođe trebao biti automatski odjavljen sa IdP-a u slučaju da je odjavljen sa svih drugih aplikacija prethodno pristupljenih putem SSO autentifikacije.
  2. Sa stranice za odjavu IdP-a.

Uređivanje korisničkih profila kreiranih korišćenjem SSO-a

Korisnici kreirani korišćenjem SSO autentifikacije su označeni ikonom SSO u listi korisnika za administratora DocSpace-a.

Mogućnost uređivanja takvih korisničkih profila u odeljku Nalozi je ograničena. Polja korisničkog profila koja su kreirana korišćenjem SSO autentifikacije su onemogućena za uređivanje iz odeljka Nalozi. Korisnički podaci mogu biti promenjeni samo na strani IdP-a.

Članak sa oznaka:
Pregledajte sve oznake