Ovaj članak je preveden pomoću veštačke inteligencije

Omogućavanje jednokratne prijave za SaaS verziju

Uvod

Ako vaš SaaS plan usluga uključuje ovu funkciju, odeljak Jedinstvena prijava omogućava vam da omogućite autentifikaciju treće strane koristeći SAML, čime se korisnicima pruža brži, jednostavniji i sigurniji način pristupa portalu.

Generalno, tehnologija Jedinstvena prijava omogućava korisnicima da se prijave samo jednom i zatim dobiju pristup više aplikacija/usluga bez ponovne autentifikacije. Na primer, ako web portal uključuje nekoliko velikih nezavisnih sekcija (forum, chat, blogovi, itd.), korisnik može proći proceduru autentifikacije unutar jedne od usluga i automatski dobiti pristup svim ostalim uslugama bez ponovnog unosa kredencijala.

Registracija vašeg Identity Provider-a u ONLYOFFICE Service Provider-u

Identity Provider (IdP) je usluga koja kreira, održava i upravlja informacijama o identitetu korisnika i pruža autentifikaciju korisnika drugim Service Provider-ima unutar federacije. Usluge kao što su OneLogin, ADFS, itd. deluju kao Identity Provider-i. Service Provider (SP) je entitet koji pruža web usluge i oslanja se na pouzdan Identity Provider za autentifikaciju korisnika. U našem slučaju, Service Provider je ONLYOFFICE.

Možete omogućiti SSO na osnovu SAML-a za razmenu podataka o autentifikaciji/autorizaciji između Identity Provider-a i Service Provider-a:

SAML (Security Assertion Markup Language) - XML standard koji omogućava prenos podataka o autentifikaciji/autorizaciji korisnika između identity provider-a i service provider-a putem sigurnosnih tokena koji sadrže tvrdnje.

Poboljšana sigurnost je omogućena činjenicom da ONLYOFFICE ne čuva lozinke korisnika; koristi rezultate autentifikacije na strani Identity Provider-a. Sve potrebne informacije o korisniku prenose se putem autentifikacionog tokena. Ako se informacije o korisniku promene na strani Identity Provider-a, one će biti automatski ažurirane na portalu tokom sledeće SSO autentifikacije (imajte na umu da se podaci mogu sinhronizovati samo u jednom pravcu: od Identity Provider-a ka ONLYOFFICE Workspace-u).

Nakon što su Identity Provider i ONLYOFFICE Workspace međusobno konfigurisani da obezbede SSO, proces SSO autentifikacije korisnika će se obavljati na strani Identity Provider-a. ONLYOFFICE Workspace će primiti autentifikacioni token (SAML) od Identity Provider-a. Nakon što se token validira (koristeći digitalne potpise i vreme trajanja tokena), ONLYOFFICE Workspace omogućava korisniku pristup portalu.

Omogućavanje SSO

Da biste omogućili i konfigurisali SSO autentifikaciju za vaš portal, postupite na sledeći način:

Proverite konfiguraciju Identity Provider-a pre nego što prilagodite Service Provider.

Idite na stranicu Podešavanja portala. Da biste to uradili, kliknite na ikonu u gornjem desnom uglu.
U odeljku Integracija u levom bočnom meniju, kliknite na link Jedinstvena prijava.
Uključite prekidač Omogući autentifikaciju jedinstvenom prijavom ispod naslova Jedinstvena prijava.
Popunite potrebna polja u odeljku ONLYOFFICE SP Podešavanja. Potrebne informacije mogu se navesti na nekoliko različitih načina:
- Unesite URL adresu do datoteke sa metapodacima. Ako su metapodaci vašeg IdP-a dostupni spolja putem linka, umetnite link u polje URL do IdP Metadata XML i kliknite na strelicu da učitate podatke. Kada se podaci učitaju, svi potrebni parametri će biti automatski prikazani u proširenom obliku.
- Otpremite datoteku sa metapodacima. Ako vaš IdP pruža datoteku sa metapodacima, koristite dugme Izaberi datoteku da pronađete datoteku sačuvanu na vašem lokalnom računaru. Kada se datoteka otpremi, svi potrebni parametri će biti automatski prikazani u proširenom obliku.
- Ručno navedite potrebne parametre. Ako datoteka sa metapodacima nije dostupna, unesite potrebne parametre ručno. Da biste dobili potrebne vrednosti, obratite se administratoru vašeg IdP-a.

Dostupni su sledeći parametri:

IdP Entity Id (obavezno polje) - identifikator ili URL adresa Identity Provider-a koji će koristiti Service Provider za jednoznačno identifikovanje IdP-a.
Npr., https://example.com/idp/shibboleth

gde je example.com naziv domena vaše SSO usluge.
IdP Single Sign-On Endpoint URL (obavezno polje) - URL koji se koristi za jedinstvenu prijavu na strani Identity Provider-a. To je adresa krajnje tačke u vašem IdP-u na koju SP šalje zahteve za autentifikaciju.
Postavite potrebni tip Binding odabirom jednog od odgovarajućih radio dugmadi. Binding-i specificiraju način na koji se zahtevi i odgovori za autentifikaciju prenose između IdP-a i SP-a preko osnovnog transportnog protokola: koristeći HTTP POST ili HTTP Redirect binding.
IdP Single Logout Endpoint URL - URL koji se koristi za jedinstvenu odjavu na strani Service provider-a. To je adresa krajnje tačke u vašem IdP-u na koju SP šalje zahteve/odgovore za odjavu.
Postavite potrebni tip Binding odabirom jednog od odgovarajućih radio dugmadi. Binding-i specificiraju način na koji se zahtevi i odgovori za odjavu prenose između IdP-a i SP-a preko osnovnog transportnog protokola: koristeći HTTP POST ili HTTP Redirect binding.
NameId Format - parametar NameID omogućava SP-u da identifikuje korisnika. Odaberite jedan od dostupnih formata sa liste.

Moguće je prilagoditi dugme koje se koristi za prijavu na portal sa uslugom Jedinstvene prijave na stranici za autentifikaciju ONLYOFFICE-a. To možete učiniti koristeći polje Prilagođeni natpis dugmeta za prijavu u odeljku ONLYOFFICE SP Podešavanja.

Takođe možete dodati IdP i SP sertifikate.

Javni sertifikati IdP-a

Javni sertifikati IdP-a - ovaj odeljak vam omogućava da dodate javne sertifikate Identity Provider-a koje SP koristi za verifikaciju zahteva i odgovora od IdP-a.

Ako ste učitali metapodatke IdP-a, ovi sertifikati će biti automatski dodati na vaš portal. U suprotnom, sertifikati se mogu pronaći u vašem IdP nalogu. Da biste ručno dodali sertifikat, kliknite na dugme Dodaj sertifikat. Otvoriće se prozor Novi sertifikat. Unesite sertifikat u polje Javni sertifikat i kliknite na dugme OK.

Postavite dodatne parametre za proveru sertifikata označavanjem odgovarajućih polja.

Odredite koje potpise zahteva/odgovora poslatih od IdP-a ka SP-u treba verifikovati:

Verifikuj potpis odgovora za autentifikaciju - za verifikaciju potpisa SAML odgovora za autentifikaciju poslatih ka SP-u.
Verifikuj potpis zahteva za odjavu - za verifikaciju potpisa SAML zahteva za odjavu poslatih ka SP-u.
Verifikuj potpis odgovora za odjavu - za verifikaciju potpisa SAML odgovora za odjavu poslatih ka SP-u.

Odaberite potreban algoritam sa liste Podrazumevani algoritam za verifikaciju potpisa: rsa-sha1, rsa-sha256 ili rsa-sha512.

Podrazumevana podešavanja se koriste samo u slučajevima kada metapodaci IdP-a ne specificiraju koji algoritam treba koristiti.

Možete urediti ili obrisati dodate sertifikate koristeći odgovarajući link.

SP Sertifikati

SP Sertifikati - ovaj odeljak vam omogućava da dodate sertifikate Service Provider-a koji se koriste za potpisivanje i enkripciju zahteva i odgovora od SP-a.

Ako vaš IdP zahteva da ulazni podaci budu potpisani i/ili enkriptovani, kreirajte ili dodajte odgovarajuće sertifikate u ovom odeljku.

Kliknite na dugme Dodaj sertifikat. Otvoriće se prozor Novi sertifikat. Možete generisati samopotpisani sertifikat ili dodati postojeći sertifikat u polje Javni sertifikat i odgovarajući privatni ključ u polje Privatni ključ. U listi Koristi za, odaberite jednu od dostupnih opcija: potpisivanje, enkripcija, potpisivanje i enkripcija. Kada završite, kliknite na dugme OK.

U zavisnosti od svrhe sertifikata odabrane u listi Koristi za prilikom otpremanja/generisanja sertifikata, dodatni parametri sertifikata se specificiraju. Sledeći parametri definišu koje zahteve/odgovore poslate od SP-a ka IdP-u treba potpisati:

Potpiši zahteve za autentifikaciju - da bi SP potpisao SAML zahteve za autentifikaciju poslate ka IdP-u.
Potpiši zahteve za odjavu - da bi SP potpisao SAML zahteve za odjavu poslate ka IdP-u.
Potpiši odgovore za odjavu - da bi SP potpisao SAML odgovore za odjavu poslate ka IdP-u.

Ako ste odabrali opciju enkripcija ili potpisivanje i enkripcija u listi Koristi za, parametar Dekriptuj tvrdnje je takođe označen. Dekripcija se vrši korišćenjem odgovarajućeg Privatnog ključa.

Odaberite potrebne algoritme sa lista:

Algoritam za potpisivanje: rsa-sha1, rsa-sha256 ili rsa-sha512.
Podrazumevani algoritam za dekripciju: aes128-cbc, aes256-cbc ili tripledes-cbc.

Možete urediti ili obrisati dodate sertifikate koristeći odgovarajući link.

Mapiranje atributa

Mapiranje atributa - ovaj odeljak vam omogućava da postavite korespondenciju polja u ONLYOFFICE modulu Ljudi sa atributima korisnika, koji će biti vraćeni od IdP-a. Kada se korisnik prijavi na ONLYOFFICE SP koristeći SSO kredencijale, ONLYOFFICE SP prima potrebne atribute i popunjava polja za puno ime i email adresu u korisničkom nalogu sa vrednostima primljenim od IdP-a. Ako korisnik ne postoji u modulu Ljudi, biće automatski kreiran. Ako su informacije o korisniku promenjene na strani IdP-a, one će biti ažurirane i u SP-u.

Dostupni atributi su:

Ime (obavezno polje) - atribut u zapisu korisnika koji odgovara imenu korisnika.
Prezime (obavezno polje) - atribut u korisničkom zapisu koji odgovara korisnikovom prezimenu.
Email (obavezno polje) - atribut u korisničkom zapisu koji odgovara korisnikovoj email adresi.
Lokacija - atribut u korisničkom zapisu koji odgovara korisnikovoj lokaciji.
Titula - atribut u korisničkom zapisu koji odgovara korisnikovoj tituli.
Telefon - atribut u korisničkom zapisu koji odgovara korisnikovom broju telefona.

Napredna podešavanja

Opcija Sakrij stranicu za autentifikaciju omogućava vam da sakrijete podrazumevanu stranicu za autentifikaciju i automatski preusmerite na SSO servis.

Važno Ako je potrebno da vratite podrazumevanu stranicu za autentifikaciju (da biste mogli da pristupite portalu ako vaš IDP server ne radi), možete dodati ključ /Auth.aspx?skipssoredirect=true nakon imena domena vašeg portala u adresnoj traci pregledača.

Kada su sva podešavanja specificirana na vašem portalu, kliknite na dugme Sačuvaj. Otvoriće se sekcija ONLYOFFICE SP Metadata.

Registracija ONLYOFFICE-a kao pouzdanog Service Provider u vašem Identity Provider

Sada treba da dodate ONLYOFFICE kao pouzdanog Service Provider u vašem IdP nalogu tako što ćete specificirati ONLYOFFICE SP metadata u IdP.

Da biste dobili potrebne podatke, pogledajte sekciju ONLYOFFICE SP Metadata na SSO stranici. Proverite da li su SP podaci javno dostupni. Da biste to uradili, kliknite na dugme Preuzmi SP Metadata XML. Sadržaj XML datoteke će biti prikazan u novoj kartici pregledača. Sačuvajte podatke kao XML datoteku kako biste mogli da ih učitate u IdP.

Alternativno, možete ručno kopirati pojedinačne parametre klikom na dugme Kopiraj u klipbord u odgovarajućim poljima.

Dostupni su sledeći parametri:

SP Entity ID (link ka metadata XML) - XML URL adresa Service Provider, koja se može preuzeti i koristiti od strane Identity Provider za nedvosmisleno identifikovanje SP. Podrazumevano, datoteka se nalazi na sledećoj adresi: http://example.com/sso/metadata, gde je example.com naziv domena vašeg ONLYOFFICE portala ili javni IP.
SP Assertion Consumer URL (podržava POST i Redirect binding) - URL adresa Service Provider gde prima i obrađuje izjave od Identity Provider. Podrazumevano se koristi sledeća adresa: http://example.com/sso/acs, gde je example.com naziv domena vašeg ONLYOFFICE portala ili javni IP.
SP Single Logout URL (podržava POST i Redirect binding) - URL koji se koristi za jedinstveno odjavljivanje na strani Identity Provider. To je krajnja tačka adrese u vašem SP gde prima i obrađuje zahteve/odgovore za odjavljivanje od Identity Provider. Podrazumevano se koristi sledeća adresa: http://example.com/sso/slo/callback gde je example.com naziv domena vašeg ONLYOFFICE portala ili javni IP.

Ovi parametri i sadržaj XML-a se razlikuju u zavisnosti od konfiguracije vašeg portala, npr. ako prebacite vaš portal na HTTPS ili specificirate naziv domena, parametri će se takođe promeniti i biće potrebno da ponovo konfigurišete vaš IdP.

Prijavljivanje na ONLYOFFICE SP

Nakon što je SSO omogućen i konfigurisani, proces prijavljivanja se odvija na sledeći način:

Korisnik zahteva pristup ONLYOFFICE klikom na dugme Jedinstvena prijava (natpis može biti drugačiji ako ste specificirali svoj tekst prilikom konfigurisanja ONLYOFFICE SP) na stranici za autentifikaciju ONLYOFFICE portala (SSO iniciran od strane SP).
Ako su sva IdP i SP podešavanja ispravno postavljena, ONLYOFFICE šalje zahtev za autentifikaciju IdP i preusmerava korisnika na IdP stranicu gde se traže kredencijali.
Ako korisnik već nije prijavljen na IdP, korisnik unosi kredencijale na strani IdP.
IdP kreira odgovor za autentifikaciju koji sadrži korisničke podatke i šalje ga ONLYOFFICE-u.
ONLYOFFICE prima odgovor za autentifikaciju od Identity Provider i validira ga.
Ako je odgovor validiran, ONLYOFFICE omogućava korisniku da se prijavi (korisnik će biti automatski kreiran ako nedostaje, ili će podaci biti ažurirani ako su promenjeni u IdP).

Moguće je koristiti i stranicu za prijavu na strani Identity Provider (SSO iniciran od strane IdP), uneti kredencijale, i zatim pristupiti ONLYOFFICE portalu bez ponovne autentifikacije.

Odjavljivanje sa ONLYOFFICE SP

Odjavljivanje se može izvršiti na dva načina:

Sa ONLYOFFICE portala koristeći meni Odjava (u ovom slučaju zahtev će biti poslat od IdP za odjavu). Korisnik bi takođe trebao biti automatski odjavljen sa IdP kada se odjavi sa svih drugih aplikacija kojima je prethodno pristupio putem SSO autentifikacije.
Sa IdP stranice za odjavu.

Uređivanje korisničkih profila kreiranih korišćenjem SSO

Korisnici kreirani korišćenjem SSO autentifikacije su označeni sa ikonom SSO u listi korisnika za administratora portala.

Mogućnost uređivanja takvih korisničkih profila u modulu Ljudi je ograničena. Polja korisničkog profila koja su kreirana korišćenjem SSO autentifikacije su onemogućena za uređivanje iz modula Ljudi. Korisnički podaci se mogu menjati samo na strani IdP.