ONLYOFFICE Docs 9.3 objavljen: unapređeni PDF Editor i više opcija potpisa, višestrani prikaz dokumenata, Solver u tabelama, reprodukcija GIF-ova u režimu slajd-šou prezentacije, AI unapređenja i još mnogo toga
ONLYOFFICE Docs 9.3 objavljen
Ovaj članak je preveden pomoću veštačke inteligencije

Pregled funkcije Single Sign-on u ONLYOFFICE za serversku verziju

Uvod

Funkcija Jedinstvene prijave koju pruža Kontrolna tabla omogućava vam da omogućite autentifikaciju treće strane koristeći instalirane SSO usluge (Shibboleth, OneLogin ili Active Directory Federation Services).

Generalno, tehnologija Jedinstvene prijave omogućava korisnicima da se prijave samo jednom i zatim dobiju pristup više aplikacija/usluga bez ponovne autentifikacije. Na primer, ako web portal uključuje nekoliko velikih nezavisnih sekcija (forum, chat, blogovi, itd.), korisnik može proći kroz proceduru autentifikacije unutar jedne od usluga i automatski dobiti pristup svim ostalim uslugama bez ponovnog unosa kredencijala.

SSO je uvek osiguran zajedničkim radom dve aplikacije: Provajdera identiteta i Provajdera usluga (u daljem tekstu "IdP" i "SP").

ONLYOFFICE SSO implementira samo SP. Mnogo različitih provajdera može delovati kao IdP, ali ONLYOFFICE je testiran samo sa sledećim uslugama: Shibboleth, OneLogin i AD FS.

Korišćenjem SSO autentifikacije, dobijate sledeće glavne prednosti:

  • Povećana udobnost. Korisnici dobijaju brži i lakši način pristupa portalu bez potrebe da pamte više lozinki i prijava.
  • Poboljšana sigurnost. ONLYOFFICE ne čuva korisničke lozinke ni u kakvom obliku; koristi rezultate autentifikacije na strani Provajdera identiteta.
  • Laka administracija. Sve potrebne informacije o korisniku prenose se putem autentifikacionog tokena. Ako se informacije o korisniku promene na strani Provajdera identiteta, one će biti automatski ažurirane na portalu tokom sledeće SSO autentifikacije. Ako profil korisnika ne postoji na portalu, biće automatski kreiran kada se korisnik prvi put prijavi na portal koristeći SSO kredencijale.

U ONLYOFFICE-u, SSO autentifikacija je implementirana na osnovu sigurnog i široko korišćenog SAML standarda. SAML (Security Assertion Markup Language) je XML standard koji omogućava prenos podataka o autentifikaciji/autorizaciji korisnika između Provajdera identiteta i Provajdera usluga putem sigurnosnih tokena, koji sadrže tvrdnje.

Ovaj članak opisuje proces omogućavanja SSO-a uopšte. Ako tražite specifična podešavanja/primere za određene IdP-ove, molimo vas da pogledate naše članke o tome kako konfigurisati ONLYOFFICE SP i Shibboleth, OneLogin ili AD FS IdP-ove.

Omogućavanje SSO: serverska verzija

Da biste omogućili i konfigurisali SSO autentifikaciju za vaš portal, potrebno je da izvršite sledeća dva glavna koraka:

  1. Registrujte vaš Provajder identiteta na ONLYOFFICE Kontrolna tabla -> SSO stranici. Informacije koje treba da navedete mogu se pronaći u vašem nalogu Provajdera identiteta.
    Ako želite da koristite SSO prilikom povezivanja ONLYOFFICE Desktop Editors sa vašim ONLYOFFICE Workspace, onemogućite Privatne sobe u Kontrolnoj tabli.
  2. Registrujte ONLYOFFICE kao pouzdanog Provajdera usluga u vašem nalogu Provajdera identiteta. Ovaj postupak se razlikuje u zavisnosti od izabranog Provajdera identiteta.
Svaki portal može biti integrisan samo sa jednim Provajderom identiteta u isto vreme.

Registracija vašeg Provajdera identiteta u ONLYOFFICE Provajderu usluga

Da biste registrovali vaš IdP u ONLYOFFICE SP, koristite sekciju ONLYOFFICE SP Podešavanja na SSO stranici.

  1. Na vašem ONLYOFFICE portalu, idite na Kontrolna tabla i otvorite SSO stranicu u sekciji POSTAVKE PORTALA na levoj bočnoj traci.
  2. Kliknite na prekidač Omogući autentifikaciju jedinstvene prijave.
  3. Popunite potrebna polja u sekciji ONLYOFFICE SP Podešavanja. Potrebne informacije mogu biti specificirane na nekoliko različitih načina:
    • Unesite URL adresu do metadata fajla. Ako je vaš IdP metadata dostupan spolja putem linka, umetnite link u polje URL do IdP Metadata XML i kliknite na dugme Učitaj podatke. Kada se podaci učitaju, svi potrebni parametri će biti automatski prikazani u proširenom obliku.
    • Otpremite metadata fajl. Ako vaš IdP obezbeđuje metadata fajl, koristite dugme Izaberi fajl da pronađete fajl sačuvan na vašem lokalnom računaru. Kada se fajl otpremi, svi potrebni parametri će biti automatski prikazani u proširenom obliku.
    • Specifikujte potrebne parametre ručno. Ako metadata fajl nije dostupan, unesite potrebne parametre ručno. Da biste dobili potrebne vrednosti, molimo vas da kontaktirate vašeg IdP administratora.

Dostupni su sledeći parametri:

  • IdP Entity Id (obavezno polje) - identifikator Provajdera identiteta ili URL adresa koja će biti korišćena od strane Provajdera usluga da nedvosmisleno identifikuje IdP.
    Npr., https://example.com/idp/shibboleth

    gde je example.com naziv domena vaše SSO usluge

  • IdP Single Sign-On Endpoint URL (obavezno polje) - URL korišćen za jedinstvenu prijavu na strani Provajdera identiteta. To je adresa krajnje tačke u vašem IdP na koju SP šalje zahteve za autentifikaciju.

    Postavite potrebni tip Binding odabirom jednog od odgovarajućih radio dugmića. Bindingi specificiraju način na koji se zahtevi i odgovori za autentifikaciju prenose između IdP i SP preko osnovnog transportnog protokola: koristeći HTTP POST ili HTTP Redirect binding.

  • IdP Single Logout Endpoint URL - URL korišćen za jedinstvenu odjavu na strani Provajdera usluga. To je adresa krajnje tačke u vašem IdP na koju SP šalje zahteve/odgovore za odjavu.

    Postavite potrebni tip Binding odabirom jednog od odgovarajućih radio dugmića. Bindingi specificiraju način na koji se zahtevi i odgovori za odjavu prenose između IdP i SP preko osnovnog transportnog protokola: koristeći HTTP POST ili HTTP Redirect binding.

  • NameId Format - parametar NameID omogućava SP da identifikuje korisnika. Odaberite jedan od dostupnih formata sa liste.
Moguće je prilagoditi dugme koje se koristi za prijavu na portal sa uslugom Jedinstvene prijave na ONLYOFFICE stranici za autentifikaciju. To možete uraditi koristeći polje Prilagođeni natpis dugmeta za prijavu u sekciji ONLYOFFICE SP Podešavanja.

Takođe možete dodati IdP i SP sertifikate.

Javni sertifikati IdP-a

Javni sertifikati IdP-a - ova sekcija vam omogućava da dodate javne sertifikate Provajdera identiteta koje koristi SP za verifikaciju zahteva i odgovora od IdP-a.

Ako ste učitali IdP metadata, ovi sertifikati će biti automatski dodati u Kontrolnu tablu. U suprotnom, sertifikati se mogu pronaći u vašem IdP nalogu. Da biste ručno dodali sertifikat, kliknite na dugme Dodaj sertifikat. Otvara se prozor Novi sertifikat. Unesite sertifikat u polje Javni sertifikat i kliknite na dugme OK.

Postavite dodatne parametre za proveru sertifikata označavanjem odgovarajućih polja.

Specifikujte koje potpise zahteva/odgovora poslatih od IdP-a do SP-a treba verifikovati:

  • Verifikuj potpis odgovora za autentifikaciju - za verifikaciju potpisa SAML odgovora za autentifikaciju poslatih SP-u.
  • Verifikuj potpis zahteva za odjavu - za verifikaciju potpisa SAML zahteva za odjavu poslatih SP-u.
  • Verifikuj potpis odgovora za odjavu - za verifikaciju potpisa SAML odgovora za odjavu poslatih SP-u.

Odaberite potrebni algoritam sa liste Podrazumevani algoritam za verifikaciju potpisa: rsa-sha1, rsa-sha256 ili rsa-sha512.

Podrazumevana podešavanja se koriste samo u slučajevima kada IdP metadata ne specificira koji algoritam treba koristiti.

Možete urediti ili obrisati dodate sertifikate koristeći odgovarajući link.

SP Sertifikati

SP Sertifikati - ova sekcija vam omogućava da dodate sertifikate Provajdera usluga koji se koriste za potpisivanje i enkripciju zahteva i odgovora od SP-a.

Ako vaš IdP zahteva da ulazni podaci budu potpisani i/ili enkriptovani, kreirajte ili dodajte odgovarajuće sertifikate u ovoj sekciji.

Kliknite na dugme Dodaj sertifikat. Otvara se prozor Novi sertifikat. Možete generisati samopotpisani sertifikat ili dodati postojeći sertifikat u polje Javni sertifikat i odgovarajući privatni ključ u polje Privatni ključ. Na listi Koristi za, odaberite jednu od dostupnih opcija: potpisivanje, enkripcija, potpisivanje i enkripcija. Kada završite, kliknite na dugme OK.

U zavisnosti od svrhe sertifikata odabrane na listi Koristi za prilikom otpremanja/generisanja sertifikata, dodatni parametri sertifikata su specificirani. Sledeći parametri definišu koje zahteve/odgovore poslate od SP-a do IdP-a treba potpisati:

  • Potpiši zahteve za autentifikaciju - da bi SP potpisao SAML zahteve za autentifikaciju poslate IdP-u.
  • Potpiši zahteve za odjavu - da bi SP potpisao SAML zahteve za odjavu poslate IdP-u.
  • Potpiši odgovore za odjavu - da bi SP potpisao SAML odgovore za odjavu poslate IdP-u.

Ako ste odabrali opciju enkripcija ili potpisivanje i enkripcija na listi Koristi za, parametar Dekripcija tvrdnji je takođe označen. Dekripcija se vrši korišćenjem odgovarajućeg Privatnog ključa.

Odaberite potrebne algoritme sa lista:

  • Algoritam za potpisivanje: rsa-sha1, rsa-sha256 ili rsa-sha512.
  • Podrazumevani algoritam za dekripciju: aes128-cbc, aes256-cbc ili tripledes-cbc.

Možete urediti ili obrisati dodate sertifikate koristeći odgovarajući link.

Mapiranje atributa

Mapiranje atributa - ovaj odeljak vam omogućava da postavite korespondenciju polja u modulu ONLYOFFICE People sa korisničkim atributima koji će biti vraćeni sa IdP-a. Kada se korisnik prijavi na ONLYOFFICE SP koristeći SSO kredencijale, ONLYOFFICE SP prima potrebne atribute i popunjava polja za puno ime i email adresu u korisničkom nalogu vrednostima dobijenim od IdP-a. Ako korisnik ne postoji u modulu People, biće automatski kreiran. Ako su informacije o korisniku promenjene na strani IdP-a, biće ažurirane i u SP-u.

Dostupni atributi su:

  • Ime (obavezno polje) - atribut u korisničkom zapisu koji odgovara korisnikovom imenu.
  • Prezime (obavezno polje) - atribut u korisničkom zapisu koji odgovara korisnikovom prezimenu.
  • Email (obavezno polje) - atribut u korisničkom zapisu koji odgovara korisnikovoj email adresi.
  • Lokacija - atribut u korisničkom zapisu koji odgovara korisnikovoj lokaciji.
  • Titula - atribut u korisničkom zapisu koji odgovara korisnikovoj tituli.
  • Telefon - atribut u korisničkom zapisu koji odgovara korisnikovom broju telefona.
Napredna podešavanja

Opcija Sakrij stranicu za autentifikaciju omogućava vam da sakrijete podrazumevanu stranicu za autentifikaciju i automatski preusmerite na SSO servis.

Važno Ako treba da vratite podrazumevanu stranicu za autentifikaciju (da biste mogli pristupiti portalu ako vaš IDP server ne radi), možete dodati ključ /Auth.aspx?skipssoredirect=true nakon imena domena vašeg portala u adresnoj traci pretraživača.

Kada su sva podešavanja navedena u Kontrolnoj tabli, kliknite na dugme Sačuvaj. Odeljak ONLYOFFICE SP Metadata će se otvoriti.

Registracija ONLYOFFICE-a kao pouzdanog Service Provider-a u vašem Identity Provider-u

Sada treba da dodate ONLYOFFICE kao pouzdanog Service Provider-a u vašem IdP nalogu tako što ćete navesti ONLYOFFICE SP metapodatke u IdP-u.

Da biste dobili potrebne podatke, pogledajte odeljak ONLYOFFICE SP Metadata na stranici SSO. Proverite da li su SP podaci javno dostupni. Da biste to uradili, kliknite na dugme Preuzmi SP Metadata XML. Sadržaj XML datoteke će biti prikazan u novom tabu pretraživača. Sačuvajte podatke kao XML datoteku kako biste ih mogli preneti na IdP.

Alternativno, možete ručno kopirati pojedinačne parametre klikom na dugme Kopiraj u klipbord u odgovarajućim poljima.

Dostupni parametri su:

  • SP Entity ID (link ka XML metapodacima) - URL adresa Service Provider XML-a, koja se može preuzeti i koristiti od strane Identity Provider-a za nedvosmisleno identifikovanje SP-a. Podrazumevano, datoteka se nalazi na sledećoj adresi: http://example.com/sso/metadata, gde je example.com ime vašeg ONLYOFFICE portala ili javni IP.
  • SP Assertion Consumer URL (podržava POST i Redirect binding) - URL adresa Service Provider-a gde prima i obrađuje tvrdnje od Identity Provider-a. Podrazumevano, koristi se sledeća adresa: http://example.com/sso/acs, gde je example.com ime vašeg ONLYOFFICE portala ili javni IP.
  • SP Single Logout URL (podržava POST i Redirect binding) - URL koji se koristi za jedinstvenu odjavu na strani Identity Provider-a. To je krajnja adresa u vašem SP-u gde prima i obrađuje zahteve/odgovore za odjavu od Identity Provider-a. Podrazumevano, koristi se sledeća adresa: http://example.com/sso/slo/callback, gde je example.com ime vašeg ONLYOFFICE portala ili javni IP.
Ovi parametri i sadržaj XML-a se razlikuju u zavisnosti od konfiguracije vašeg portala, npr. ako prebacite svoj portal na HTTPS ili navedete ime domena, parametri će se takođe promeniti i moraćete ponovo konfigurisati vaš IdP.

Prijavljivanje na ONLYOFFICE SP

Nakon što je SSO omogućen i konfigurisan, proces prijavljivanja se odvija na sledeći način:

  1. Korisnik zahteva pristup ONLYOFFICE-u klikom na dugme Jedinstvena prijava (natpis može biti drugačiji ako ste naveli svoj tekst prilikom konfigurisanja ONLYOFFICE SP-a) na stranici za autentifikaciju ONLYOFFICE portala (SSO iniciran od strane SP-a).
  2. Ako su sva IdP i SP podešavanja ispravno postavljena, ONLYOFFICE šalje zahtev za autentifikaciju IdP-u i preusmerava korisnika na IdP stranicu gde se od njega traže kredencijali.
  3. Ako korisnik već nije prijavljen na IdP, on/ona unosi kredencijale u IdP.
  4. IdP kreira odgovor za autentifikaciju koji sadrži podatke o korisniku i šalje ga ONLYOFFICE-u.
  5. ONLYOFFICE prima odgovor za autentifikaciju od Identity Provider-a i validira ga.
  6. Ako je odgovor validiran, ONLYOFFICE omogućava korisniku da se prijavi (korisnik će biti automatski kreiran ako nedostaje, ili će podaci biti ažurirani ako su promenjeni u IdP-u).

Moguće je i koristiti stranicu za prijavu na strani Identity Provider-a (SSO iniciran od strane IdP-a), uneti kredencijale i zatim pristupiti ONLYOFFICE portalu bez ponovne autentifikacije.

Odjavljivanje sa ONLYOFFICE SP

Odjava se može izvršiti na 2 dostupna načina:

  1. Sa ONLYOFFICE portala koristeći meni Odjava (u ovom slučaju zahtev će biti poslat sa IdP-a za odjavu). Korisnik bi takođe trebao biti automatski odjavljen sa IdP-a u slučaju da je odjavljen sa svih drugih aplikacija kojima je prethodno pristupio putem SSO autentifikacije.
  2. Sa stranice za odjavu IdP-a.

Uređivanje korisničkih profila kreiranih pomoću SSO

Korisnici kreirani pomoću SSO autentifikacije su označeni sa ikonom SSO u listi korisnika za administratora portala.

Mogućnost uređivanja takvih korisničkih profila u modulu People je ograničena. Polja korisničkog profila koja su kreirana pomoću SSO autentifikacije su onemogućena za uređivanje iz modula People. Podaci o korisniku mogu se menjati samo na strani IdP-a.

Članak sa oznaka:
Pregledajte sve oznake