AD FS IdP

简介

单点登录 (SSO) 是一种允许用户只需登录一次即可访问多个应用程序/服务而无需重新身份验证的技术。

如果一个网页门户包含多个大型独立版块(论坛、聊天、博客等),则用户可以在其中一个服务中进行身份验证,并自动访问所有其他服务,而无需多次输入凭据。

SSO 始终由两个应用程序的联合运行来确保:身份提供商和服务提供商(也称为“IdP”和“SP”)。ONLYOFFICE SSO 仅实现 SP。许多不同的提供商都可以充当 IdP,但本文主要讨论 Active Directory 联合身份验证服务 (AD FS) 的实现。

为 SSO 设置准备 AD FS

  1. 安装最新的 AD DS (Active Directory 域服务) 版本,并包含所有官方更新和补丁。
  2. 安装最新的 AD FS 版本,并包含所有官方更新和补丁。
    要从头部署 AD FS,您可以按照以下说明操作。
  3. 验证指向 AD FS 元数据的链接是否公开可用。为此,
    1. 服务器管理器中,打开工具 -> AD FS 管理
    2. 转到 AD FS \ 服务 \ 端点,
    3. 在表中找到包含联合元数据类型的行。指向 IdP 元数据的链接按照以下方案构建:
      https://{ad-fs-domain}/{path-to-FederationMetadata.xml}

      或者,您可以使用以下 PowerShell 命令:

      PS C:\Users\Administrator> (Get-ADFSEndpoint | Where {$_.Protocol -eq "FederationMetadata" -or $_.Protocol -eq "Federation Metadata"}).FullUrl.ToString()

      结果你应该得到一个如下所示的链接:

      https://myportal-address.com/FederationMetadata/2007-06/FederationMetadata.xml
    4. 要验证 AD FS 是否已正确启动,请在网页浏览器中打开收到的链接。XML 文件应该会显示或下载。
      How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

      复制元数据 xml 的链接:下一步需要用到它。请确保您已以管理员身份登录 ONLYOFFICE 协作空间。打开设置 -> 集成 -> 单点登录页面。

配置 ONLYOFFICE SP

  1. How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
    使用启用单点登录身份验证切换器启用 SSO,并将从 AD FS 复制的链接粘贴到 URL to Idp Metadata XML 字段。
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  2. 按下带有向上箭头的按钮加载 IdP 元数据。ONLYOFFICE SP 设置表单将自动填充来自 AD FS IdP 的数据。
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  3. NameID 格式选择器中,选择以下值:urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  4. IdP 公共证书 \ 高级设置部分中,取消选中验证注销响应签名选项,因为 AD FS 默认不需要该选项。
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  5. 现在,您需要将证书添加到 SP 证书部分。您可以生成自签名证书或添加任何其他证书。
    重要提示:新建证书窗口中,将用途选择器切换为签名和加密选项,因为 AD FS IdP 会自动配置为验证数字签名并加密数据。
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  6. SP 证书 \ 高级设置中,取消选中签名注销响应选项,因为 AD FS 默认不需要该选项。
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  7. 无需调整属性映射表单,因为我们稍后会在 AD FS IdP 中设置这些参数。
  8. 点击保存按钮。
  9. ONLYOFFICE SP 元数据部分应该会打开。
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  10. 点击下载 SP 元数据 XML 按钮,验证我们的设置是否公开。XML 文件内容应该会显示出来。
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  11. SP 实体 ID(链接到元数据 XML)字段复制指向 ONLYOFFICE SP 元数据的链接,然后转到安装了 AD FS 的计算机。
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

配置 AD FS IdP

  1. 服务器管理器中,打开工具 -> AD FS 管理
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  2. AD FS 管理面板中,选择信任关系 > 信赖方信任。点击右侧的添加信赖方信任...选项。此时将打开添加信赖方信任向导
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  3. 在向导窗口中,选择导入在线或在本地网络上发布的依赖方数据单选按钮,将之前复制的 ONLYOFFICE SP 元数据链接粘贴到联合元数据地址(主机名或 URL)字段中,然后单击下一步按钮,
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  4. 显示名称字段中,指定任意名称,然后单击下一步按钮,
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  5. 选择允许所有人选项并单击下一步按钮,
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  6. 检查结果设置并单击下一步按钮,
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  7. 保留默认选项不变,然后单击关闭按钮,
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  8. 一个新窗口打开。在编辑声明发布政策选项卡中,点击添加规则...按钮,
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  9. 声明规则模板列表中选择将 LDAP 属性发送为声明选项,然后单击下一步按钮,
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  10. 声明规则名称字段中输入任意名称。从属性存储列表中选择 Active Directory 选项,并根据下表填写LDAP 属性到传出声明类型的映射表单。准备就绪后,点击完成
    LDAP 属性(选择或键入以添加更多)传出声明类型(选择或键入以添加更多)
    名字givenName
    姓氏sn
    电子邮件地址mail
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  11. 编辑声明规则窗口中,再次单击添加规则...按钮,从声明规则模板列表中选择转换传入声明选项,然后单击下一步按钮,
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  12. 声明规则名称字段中输入任意名称,并从列表中选择以下选项:
    • 传入声明类型: 邮件
    • 传出声明类型: 名称 ID
    • 传出名称 ID 格式: 电子邮件
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

    准备就绪后,点击完成按钮。

  13. 如果无法从 AD FS 注销,建议添加自定义声明规则,将 {portal-domain} 替换为您的 SP 域名,并将 {ad-fs-domain} 更改为您的 IdP 域名:
    c:[Type == "mail"]
         => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://{ad-fs-domain}/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://{portal-domain}/sso/metadata");
    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP
  14. 点击确定按钮,
  15. 打开已创建的信赖方信任的属性,并切换到高级选项卡,

    安全哈希算法列表中选择 SHA-1 选项。

    How to configure ONLYOFFICE SP and AD FS IdPHow to configure ONLYOFFICE SP and AD FS IdP

观看视频

如何使用 LDAP 将用户从活动目录导入 ONLYOFFICE 协作空间?

本视频教程将指导您通过 LDAP 将 Active Directory 用户与 ONLYOFFICE 协作空间无缝同步。了解如何配置 LDAP 设置、映射用户属性以及自动化用户管理,以实现安全高效的访问。

在您自己的服务器上托管 ONLYOFFICE 文档,或在云端使用

文章: 标签:
浏览所有标签