Konfigurisanje ONLYOFFICE SP i Shibboleth IdP

Uvod

Jedinstvena prijava (SSO) je tehnologija koja omogućava korisnicima da se prijave samo jednom i zatim dobiju pristup više aplikacija/usluga bez ponovne autentifikacije.

Ako web portal uključuje nekoliko velikih nezavisnih sekcija (forum, chat, blogovi itd.), korisnik može proći kroz proceduru autentifikacije unutar jedne od usluga i automatski dobiti pristup svim ostalim uslugama bez ponovnog unosa kredencijala.

SSO je uvek obezbeđen zajedničkim radom dve aplikacije: provajdera identiteta i provajdera usluga (u daljem tekstu "IdP" i "SP"). ONLYOFFICE SSO implementira samo SP. Mnogo različitih provajdera može delovati kao IdP, ali ovaj članak razmatra implementaciju Shibboleth-a.

Ako želite da koristite SSO prilikom povezivanja ONLYOFFICE Desktop Editors sa vašim ONLYOFFICE Workspace, onemogućite Privatne sobe u Kontrolnoj tabli.

Priprema ONLYOFFICE Workspace za SSO podešavanje

Instalirajte ONLYOFFICE Workspace v. 11.0.0 za Docker ili bilo koju noviju verziju sa podrškom za SSO.
Dodajte naziv domena, npr., myportal-address.com.
Na vašem portalu, idite na Kontrolna tabla -> HTTPS, kreirajte i primenite letsencrypt sertifikat za enkripciju saobraćaja (da biste omogućili HTTPS na vašem portalu).

Kreiranje Shibboleth IdP

Zahtevi

Za postavljanje Shibboleth IDP, potrebna je čista CentOS 7 host mašina.
Vreme mora biti tačno podešeno i servis za sinhronizaciju vremena mora biti instaliran na host mašini za IDP:
```
timedatectl  status
yum install ntp
systemctl enable ntpd.service
ntpdate time.apple.com
```
Na mašini mora biti instaliran paket unzip:
```
yum install unzip
```
Docker i Docker Compose moraju biti instalirani na mašini.
Domen mora biti povezan sa mašinom (na primer, your-idp-domain.com)

Kreiranje Shibboleth IdP

Da biste kreirali, konfigurisali i pokrenuli Shibboleth IDP, preuzmite i pokrenite install.sh skriptu.

Evo šta skripta radi:

preuzima docker fajlove za kreiranje Shibboleth Idp slika i kontejnera sa github-a,
menja podrazumevani domen idptestbed.edu u konfiguracionim fajlovima na domen naveden prilikom izvršavanja skripte,
dodaje pristup putem SAML protokola za navedeni ONLYOFFICE SP domen,
navodi koje atribute su potrebni za ONLYOFFICE SP da bi izdao informacije o korisnicima iz Shibboleth IDP (podešavanje Mapiranje atributa),
kreira i konfiguriše LDAP i kreira korisnike za izdavanje,
omogućava dinamičko učitavanje metapodataka iz ONLYOFFICE SP u Shibboleth IDP,
omogućava Shibboleth SLO, ako je potrebno.

Preuzmite install.sh skriptu:

curl -L https://help.onlyoffice.co/Products/Files/HttpHandlers/filehandler.ashx?action=download&fileid=6875651&doc=MW9QWHdCQU9HOTN5dlpBWVQxTGtOem55SjJaNWx4L1ZIdTNkQk53QnpDYz0_IjY4NzU2NTEi0 -o install.sh

Učinite skriptu izvršnom:
```
chmod +x install.sh
```
Izvršite skriptu zamenjujući parametre svojim:
```
./install.sh -id your-idp-domain.com -sd myportal-address.com --no_slo
```
Parametri skripte:
- -id - naziv domena trenutne mašine za Shibboleth IDP.
- -sd - naziv domena gde je ONLYOFFICE SP postavljen.
- --no_slo - onemogućava Single Logout u Shibboleth IDP (opciono).
Sačekajte da Shibboleth IDP pokrene nakon izvršavanja skripte.
Da biste proverili da li je Shibboleth IDP ispravno pokrenut, otvorite link https://your-idp-domain.com/idp/shibboleth u vašem pretraživaču. Trebalo bi da se prikaže XML fajl.
Kopirajte link https://{your_idp_domain}/idp/shibboleth (npr., https://your-idp-domain.com/idp/shibboleth) i idite na ONLYOFFICE portal prijavljeni kao administrator. Otvorite stranicu Kontrolna tabla -> SSO.

Konfigurisanje ONLYOFFICE SP

Uverite se da ste prijavljeni kao Administrator na vaš ONLYOFFICE Kontrolna tabla i kliknite na karticu SSO u sekciji POSTAVKE PORTALA na levoj bočnoj traci.
Možete registrovati samo jednog enterprise provajdera identiteta za vašu organizaciju na ONLYOFFICE portalu.
Omogućite SSO koristeći prekidač Omogući autentifikaciju jedinstvene prijave i zalepite link do Shibboleth IdP u polje URL do Idp Metadata XML.
Pritisnite dugme sa strelicom nagore da biste učitali IdP metapodatke. Formular Postavke ONLYOFFICE SP će automatski biti popunjen vašim podacima iz Shibboleth IdP.
Pošto smo onemogućili SLO prilikom izvršavanja install.sh skripte navodeći parametar --no_slo, polje URL za jedinstveni odjavljivanje IdP će biti prazno.
Kada se IdP metapodaci učitaju, dva sertifikata će biti dodata u sekciji Javni sertifikati IdP. Takođe ćete videti iskačući prozor sa sledećim tekstom: 'Više Idp verifikacionih sertifikata nije podržano. Molimo vas da ostavite samo Primarni sertifikat'.
Potrebno je da obrišete drugi sertifikat na listi i ostavite samo prvi sertifikat, koji je primarni sertifikat. Koristite link Obriši pored drugog sertifikata da biste ga uklonili. Ako ne uklonite sertifikat, nećete moći da sačuvate postavke.
U polju Prilagođeni natpis dugmeta za prijavu, možete uneti bilo koji tekst umesto podrazumevanog (Jedinstvena prijava). Ovaj tekst će biti prikazan na dugmetu koje se koristi za prijavu na portal sa uslugom Jedinstvene prijave na stranici za autentifikaciju ONLYOFFICE-a.
Sada treba da kreirate samopotpisane sertifikate ili dodate bilo koje druge sertifikate u sekciji SP Sertifikati.
Važno!U listi Koristi za, izaberite opciju potpisivanje i enkripcija jer je vaš Shibboleth IdP automatski konfigurisana sa install.sh skriptom da proverava da li su podaci digitalno potpisani i enkriptovani.

Treba da dobijete gotovo isti rezultat:
U odeljku Mapiranje atributa, postavite odgovarajuće polja u modulu ONLYOFFICE People sa korisničkim atributima koji će biti vraćeni iz Shibboleth IdP.
Ime urn:oid:2.5.4.42
Prezime urn:oid:2.5.4.4
Email urn:oid:0.9.2342.19200300.100.1.3
Lokacija urn:oid:2.5.4.7
Titula urn:oid:2.5.4.12
Telefon urn:oid:0.9.2342.19200300.100.1.41

U odeljku Napredna podešavanja, možete označiti opciju Sakrij stranicu za autentifikaciju kako biste sakrili podrazumevanu stranicu za autentifikaciju i automatski preusmerili na SSO servis.

VažnoAko treba da povratite podrazumevanu stranicu za autentifikaciju (da biste mogli da pristupite portalu ako vaš IDP server ne radi), možete dodati ključ /Auth.aspx?skipssoredirect=true nakon imena domena vašeg portala u adresnoj traci pretraživača.
Kliknite na dugme Sačuvaj.
Odeljak ONLYOFFICE SP Metadata treba da se otvori.
Proverite da li su naša podešavanja javno dostupna klikom na dugme Preuzmi SP Metadata XML. Sadržaj XML datoteke treba da se prikaže.

Ova XML datoteka se obično koristi za konfigurisanje Shibboleth IDP, ali pošto skripta install.sh omogućava DynamicHTTPMetadataProvider, ne moramo to da radimo (Shibboleth IDP će preuzeti ovu XML datoteku pri prvom zahtevu za prijavu).

Ime	urn:oid:2.5.4.42
Prezime	urn:oid:2.5.4.4
Email	urn:oid:0.9.2342.19200300.100.1.3
Lokacija	urn:oid:2.5.4.7
Titula	urn:oid:2.5.4.12
Telefon	urn:oid:0.9.2342.19200300.100.1.41

Provera rada ONLYOFFICE SP sa Shibboleth IdP

Skripta install.sh je kreirala 4 korisnika koji se mogu koristiti za testiranje rada ONLYOFFICE SP sa Shibboleth IdP.

Email	Korisničko ime	Lozinka	Komentar
student1@{your_idp_domain}	student1	password	Standard
student2@{your_idp_domain}	student2	password	Bez givenName
student3@{your_idp_domain}	student3	password	Sa umlautima
staff1@{your_idp_domain}	staff1	password	Samo obavezna polja

Prijavljivanje na ONLYOFFICE sa SP strane

Idite na stranicu za autentifikaciju ONLYOFFICE (npr., https://myportal-address.com/Auth.aspx).
Kliknite na dugme Jedinstvena prijava (natpis može biti drugačiji ako ste naveli svoj tekst prilikom konfigurisanja ONLYOFFICE SP). Ako dugme nedostaje, to znači da SSO nije omogućeno.
Ako su svi SP i IdP parametri ispravno postavljeni, bićemo preusmereni na Shibboleth IdP formu za prijavu:
Unesite korisničko ime i lozinku Shibboleth IdP naloga (korisničko ime: student1, lozinka: password) i označite opciju Ne pamti prijavu.
Ako su podaci ispravni, otvoriće se novi prozor. Dozvolite pružanje informacija servisu klikom na dugme Prihvati.
Ako je sve ispravno, bićemo preusmereni na glavnu stranicu portala (korisnik će biti automatski kreiran ako nedostaje, ili će podaci biti ažurirani ako su promenjeni u IDP).

Profili za korisnike dodate sa SSO autentifikacijom

Mogućnost uređivanja korisničkih profila kreiranih pomoću SSO autentifikacije je ograničena. Polja korisničkog profila primljena od IdP su onemogućena za uređivanje (tj. Ime, Prezime, Email, Titula i Lokacija). Možete uređivati ova polja samo iz vašeg IdP naloga.

Slika ispod prikazuje meni Akcije za SSO korisnika:

Kako konfigurisati Shibboleth IdP i ONLYOFFICE SP

Sledeća slika prikazuje SSO korisnički profil otvoren za uređivanje:

Korisnici kreirani pomoću SSO autentifikacije su označeni sa SSO ikonom na listi korisnika za administratore portala:

Da biste se odjavili sa Shibboleth IdP (ako niste označili opciju Ne pamti prijavu prilikom prijavljivanja), idite na link koji izgleda ovako: https://{shibboleth-idp-domain}/idp/profile/Logout