Konfigurisanje ONLYOFFICE SP i OneLogin IdP

Uvod

Jedinstvena prijava (SSO) je tehnologija koja omogućava korisnicima da se prijave samo jednom i zatim dobiju pristup više aplikacija/usluga bez ponovnog autentifikovanja.

SSO je uvek osiguran zajedničkim radom dve aplikacije: Pružalac identiteta i Pružalac usluga (u daljem tekstu "IdP" i "SP"). ONLYOFFICE SSO implementira samo SP. Mnogo različitih provajdera može delovati kao IdP, ali ovaj članak razmatra OneLogin implementaciju.

Priprema ONLYOFFICE Workspace za SSO podešavanje

1. Instalirajte ONLYOFFICE Workspace v. 11.0.0 za Docker ili bilo koju kasniju verziju sa podrškom za SSO.
2. Dodajte naziv domena, npr., myportal-address.com.
3. Na vašem portalu, idite na Kontrolna tabla -> HTTPS, kreirajte i primenite letsencrypt sertifikat za enkripciju saobraćaja (da omogućite HTTPS na vašem portalu).

Kreiranje IdP u OneLogin

1. Registrujte se na OneLogin, ako još niste registrovani.
2. Prijavite se na OneLogin kao administrator.
3. Idite na sekciju Administracija.
4. Kliknite na meni Aplikacije. Kliknite na dugme Dodaj aplikaciju.
   
5. U polje za pretragu Pronađi aplikaciju unesite sledeći tekst: SAML Custom Connector (Advanced):
   
6. Izaberite pronađenu opciju.
7. U novom prozoru koji se otvori, unesite bilo koje Ime za prikaz, na primer, "IDP OneLogin Onlyoffice v11 Test", kako biste razlikovali ovu aplikaciju od drugih, zamenite ikone svojim i kliknite na dugme Sačuvaj.
   
8. Idite na podmeni Konfiguracija i popunite polja prema tabeli ispod:
   Molimo vas da navedete svoj vlastiti naziv domena ili javni IP gde je vaš ONLYOFFICE SP hostovan umesto myportal-address.com.
   

   Detalji aplikacije
   RelayState	https://myportal-address.com
   Audience (EntityID)	https://myportal-address.com/sso/
   Recipient	https://myportal-address.com/sso/acs
   ACS (Consumer) URL Validator*	^https:\/\/myportal-address\.com\/sso\/acs\/$
   ACS (Consumer) URL*	https://myportal-address.com/sso/acs
   Single Logout URL	https://myportal-address.com/sso/slo/callback
   SAML inicijator	Pružalac usluga
   SAML nameID format	Email
   SAML issuer type	Specifičan
   SAML signature element	Assertion
   Encrypt assertion	(označite ovu opciju)
   SAML encryption method	AES-128-CBC
   Sign SLO Request	(označite ovu opciju)
   Sign SLO Response	(označite ovu opciju)

   
9. Kliknite na dugme Sačuvaj i idite na podmeni Parametri.
   
10. Koristite dugme + da kreirate 5 parametara (givenName, sn, mail, title, mobile). Označite opciju Uključi u SAML assertion i navedite vrednost iz liste Vrednost, pogodnu za izdavanje iz kataloga polja LDAP direktorijuma, za sve njih:
    
11. Kada popunite sva potrebna polja za SAML atribute assertion u IdP, trebalo bi da dobijete skoro isti rezultat kao što je prikazano na slici ispod. Kliknite na dugme Sačuvaj button.
    
12. Idite na podmeni SSO. Izaberite validan sertifikat iz liste sertifikata klikom na link Promeni, ukoliko imate više sertifikata. U polju SAML Signature Algorithm ostavite opciju SHA-1 i kliknite na dugme Sačuvaj:
    
13. Kopirajte link iz polja Issuer URL (npr. https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) i idite na ONLYOFFICE portal, prijavljujući se kao administrator. Otvorite stranicu Kontrolna tabla -> SSO.

Konfigurisanje ONLYOFFICE SP

1. Uverite se da ste prijavljeni kao Administrator na vaš ONLYOFFICE Kontrolna tabla i kliknite na karticu SSO u sekciji POSTAVKE PORTALA na levoj bočnoj traci.
   Možete registrovati samo jednog enterprise provajdera identiteta za vašu organizaciju na ONLYOFFICE portalu.
   
2. Omogućite SSO koristeći prekidač Omogući autentifikaciju jedinstvenim prijavljivanjem i nalepite link kopiran iz OneLogin issuer URL u polje URL do Idp Metadata XML.
   

   Pritisnite dugme sa strelicom nagore da biste učitali IdP metapodatke. Forma Postavke ONLYOFFICE SP će automatski biti popunjena vašim podacima iz OneLogin IdP.

3. U polju Prilagođeni natpis dugmeta za prijavu možete uneti bilo koji tekst umesto podrazumevanog (Jedinstveno prijavljivanje). Ovaj tekst će biti prikazan na dugmetu koje se koristi za prijavu na portal sa uslugom jedinstvenog prijavljivanja na stranici za autentifikaciju ONLYOFFICE.
   
4. Sada treba da kreirate sertifikat u sekciji SP Sertifikati. Da biste to uradili, kliknite na dugme Dodaj sertifikat u odgovarajućoj sekciji.
   
5. U otvorenom modalnom prozoru kliknite na link Generiši novi samopotpisani sertifikat, i izaberite opciju potpisivanje i šifrovanje u listi Koristi za. Pre nego što sačuvate sertifikat, kopirajte tekst Javnog sertifikata u međuspremnik (biće potreban za OneLogin), zatim kliknite na dugme OK.
   
6. Trebalo bi da dobijete skoro isti rezultat:
   
7. Nije potrebno podešavati formu Mapiranje atributa jer smo naveli iste parametre prilikom kreiranja OneLogin IdP. Koriste se sledeće vrednosti:

   Ime	givenName
   Prezime	sn
   Email	mail
   Lokacija	l
   Titula	title
   Telefon	mobile

   U sekciji Napredna podešavanja, možete označiti opciju Sakrij stranicu za autentifikaciju da biste sakrili podrazumevanu stranicu za autentifikaciju i automatski preusmerili na SSO uslugu.

   VažnoAko treba da vratite podrazumevanu stranicu za autentifikaciju (da biste mogli pristupiti portalu ako vaš IDP server ne radi), možete dodati ključ /Auth.aspx?skipssoredirect=true nakon imena domena vašeg portala u adresnoj traci pretraživača.
8. Kliknite na dugme Sačuvaj. Sekcija ONLYOFFICE SP Metapodaci bi trebalo da se otvori. Proverite da li su naša podešavanja javno dostupna klikom na dugme Preuzmi SP Metadata XML. Sadržaj XML fajla bi trebalo da se prikaže.
9. Vratite se na OneLogin da biste podesili šifrovanje, otvorite vašu aplikaciju i idite na podešavanje Konfiguracija. Skrolujte do dna stranice - trebalo bi da se pojavi novo polje SAML Encryption za unos ključa za šifrovanje. Nalepite kopirani tekst Javnog sertifikata iz koraka 4 ovog uputstva u ovo polje i kliknite na dugme Sačuvaj:
   

Kreiranje korisnika u OneLogin i davanje pristupa ONLYOFFICE-u

Da biste kreirali korisnike u OneLogin i omogućili im pristup našem ONLYOFFICE SP, izvršite sledeće korake:

1. idite na OneLogin Svi korisnici page, prijavljivanje kao administrator,
   
2. kreirajte novog korisnika ili uredite postojećeg,
3. idite na podmeni Aplikacije i kliknite na dugme +,
4. izaberite našu novo kreiranu aplikaciju sa liste i kliknite NASTAVI,
   
5. u novom prozoru koji se otvori, dodajte nedostajuće podatke i kliknite na dugme SAČUVAJ,
   
6. sada korisnik može raditi u ONLYOFFICE SP.

Provera rada ONLYOFFICE SP sa OneLogin IdP

Prijavljivanje na ONLYOFFICE sa strane SP

1. Idite na stranicu za autentifikaciju ONLYOFFICE (npr. https://myportal-address.com/Auth.aspx).
2. Kliknite na dugme Jedinstvena prijava (natpis može biti drugačiji ako ste naveli svoj tekst prilikom konfigurisanja ONLYOFFICE SP). Ako dugme nedostaje, to znači da SSO nije omogućen.
   
3. Ako su svi SP i IdP parametri pravilno postavljeni, bićemo preusmereni na OneLogin IdP formu za prijavu:
   
4. Unesite korisničko ime i lozinku korisnika kojem je odobren pristup ONLYOFFICE SP i kliknite na dugme PRIJAVI SE.
5. Ako su podaci tačni, bićemo preusmereni na glavnu stranicu portala (korisnik će biti automatski kreiran ako nedostaje, ili će podaci biti ažurirani ako su promenjeni u IDP).
   

Odjavljivanje iz ONLYOFFICE SP

1. Korisnik SSO može se odjaviti sa ONLYOFFICE portala koristeći meni Odjavi se. Korisnik će takođe biti automatski odjavljen sa OneLogin IdP u slučaju da je odjavljen sa svih drugih aplikacija kojima mu je odobren pristup u OneLogin i u koje se prethodno prijavio.
   
2. Ako ste se uspešno odjavili, bićete preusmereni na stranicu za autentifikaciju portala.
   
3. Ako ponovo kliknete na dugme Jedinstvena prijava, bićete ponovo preusmereni na stranicu za prijavu OneLogin (to znači da ste se uspešno odjavili sa portala):
   

Profili za korisnike dodate sa SSO autentifikacijom

Mogućnost uređivanja korisničkih profila kreiranih korišćenjem SSO autentifikacije je ograničena. Polja korisničkog profila primljena od IdP su onemogućena za uređivanje (npr. Ime, Prezime, Email, Titula, i Lokacija). Ova polja možete urediti samo sa svog IdP naloga.

Slika ispod prikazuje meni Akcije za SSO korisnika:

Sledeća slika prikazuje SSO korisnički profil otvoren za uređivanje:

Korisnici kreirani korišćenjem SSO autentifikacije su označeni sa SSO ikonom u listi korisnika za administratore portala: