Keycloak IdP
在 Keycloak 中创建 IdP
- 以管理员身份登录 Keycloak。
- 进入管理领域,选择需配置连接的领域。
- 转到客户端,单击创建客户端按钮。
-
在打开页面中设置:客户端类型选择 SAML;客户端ID填写
https://myportal-address.com/sso/metadata
(将 myportal-address.com 替换为您的门户域名);名称和描述可任意填写。 - 单击下一步按钮。
-
填写以下字段:
请将 myportal-address.com 替换为您的门户域名。
应用详情 根URL https://myportal-address.com/sso/acs 主页URL https://myportal-address.com/sso/acs 有效重定向URI https://myportal-address.com/sso/acs 有效登出重定向URI https://myportal-address.com/sso/slo/callback 应用用户名 https://myportal-address.com/sso/acs - 单击保存按钮。
- 在 SAML 能力部分,选择 Name ID格式为email。
-
在签名与加密部分,启用签署断言选项,并选择签名算法(RSA_SHA1、RSA_SHA256或RSA_SHA512)。
- 单击保存按钮。
-
进入客户端作用域部分,单击您门户的链接 https://myportal-address.com/sso/metadata-dedicated。
单击添加预定义映射器按钮,在弹出窗口选择以下映射器:
- X500 email
- X500 givenName
- X500 surname
然后单击添加按钮。
配置 ONLYOFFICE SP
- 确保以管理员身份登录 ONLYOFFICE 协作空间,进入设置菜单,选择集成部分,打开单点登录选项卡。
-
通过启用单点登录认证开关启用 SSO,并将https://<keycloakurl>/realms/<realm_name>/protocol/saml/descriptor粘贴至 IdP 元数据 XML 地址字段。将 <keycloakurl> 和 <realm_name> 替换为 Keycloak 服务器地址及创建连接的领域名称。最终链接需可通过浏览器访问。
- 单击向上箭头按钮加载 IdP 元数据。ONLYOFFICE SP 设置表单将自动填充 Keycloak IdP 的数据。
-
选择与 Keycloak 中相同的默认签名验证算法。
-
将 NameId 格式更改为 emailAddress。
- 在 SP 证书部分创建证书:单击对应区域的添加证书按钮。
-
在打开的模态窗口中,单击生成新的自签名证书链接,并在用途列表选择签名与加密。保存证书前,将公钥证书文本复制至剪贴板并保存为文件(Keycloak 需使用),随后单击确定按钮。
-
进入属性映射部分,为属性分配以下值:
- 名字:urn:oid:2.5.4.42
- 姓氏:urn:oid:2.5.4.4
- 邮箱:urn:oid:1.2.840.113549.1.9.1
在高级设置部分,可勾选隐藏认证页选项以隐藏默认认证页并自动重定向至SSO服务。
如需恢复默认认证页(当IdP服务器故障时访问门户),可在浏览器地址栏的门户域名后添加 /login?skipssoredirect=true 参数。
- 单击保存按钮。
- 返回 Keycloak 配置加密:打开您的客户端,进入密钥部分。禁用需客户端签名选项并启用加密断言。在弹出窗口选择导入,设置归档格式为 Certificate PEM,单击浏览按钮。指定步骤7的证书文件路径,单击确认。
验证 ONLYOFFICE SP 与 Keycloak IdP 的协作
- 访问 ONLYOFFICE 协作空间认证页(例如https://myportal-address.com/login)。
-
单击单点登录按钮(若按钮缺失则表示SSO未启用)。
-
若 SP 与 IdP 参数设置正确,将重定向至 Keycloak IdP 登录页:
- 输入 Keycloak 用户账号密码,单击登录按钮。
-
若凭证正确,将重定向至门户主页(若用户不存在将自动创建;若IdP中数据变更将自动更新)。
在您自己的服务器上托管 ONLYOFFICE 文档,或在云端使用
文章: 标签:
浏览所有标签