Keycloak IdP

在 Keycloak 中创建 IdP

  1. 以管理员身份登录 Keycloak。
  2. 进入管理领域,选择需配置连接的领域。
  3. 转到客户端,单击创建客户端按钮。
  4. 在打开页面中设置:客户端类型选择 SAML;客户端ID填写 https://myportal-address.com/sso/metadata(将 myportal-address.com 替换为您的门户域名);名称描述可任意填写。
    如何配置ONLYOFFICE SP与Keycloak IdP如何配置ONLYOFFICE SP与Keycloak IdP
  5. 单击下一步按钮。
  6. 填写以下字段:
    请将 myportal-address.com 替换为您的门户域名。
    应用详情
    根URLhttps://myportal-address.com/sso/acs
    主页URLhttps://myportal-address.com/sso/acs
    有效重定向URIhttps://myportal-address.com/sso/acs
    有效登出重定向URIhttps://myportal-address.com/sso/slo/callback
    应用用户名https://myportal-address.com/sso/acs
    如何配置ONLYOFFICE SP与Keycloak IdP如何配置ONLYOFFICE SP与Keycloak IdP
  7. 单击保存按钮。
  8. SAML 能力部分,选择 Name ID格式为email。
  9. 签名与加密部分,启用签署断言选项,并选择签名算法(RSA_SHA1、RSA_SHA256或RSA_SHA512)。
    如何配置ONLYOFFICE SP与Keycloak IdP如何配置ONLYOFFICE SP与Keycloak IdP
  10. 单击保存按钮。
  11. 进入客户端作用域部分,单击您门户的链接 https://myportal-address.com/sso/metadata-dedicated。

    单击添加预定义映射器按钮,在弹出窗口选择以下映射器:

    • X500 email
    • X500 givenName
    • X500 surname

    然后单击添加按钮。

    如何配置ONLYOFFICE SP与Keycloak IdP如何配置ONLYOFFICE SP与Keycloak IdP

配置 ONLYOFFICE SP

  1. 确保以管理员身份登录 ONLYOFFICE 协作空间,进入设置菜单,选择集成部分,打开单点登录选项卡。
  2. 通过启用单点登录认证开关启用 SSO,并将https://<keycloakurl>/realms/<realm_name>/protocol/saml/descriptor粘贴至 IdP 元数据 XML 地址字段。将 <keycloakurl><realm_name> 替换为 Keycloak 服务器地址及创建连接的领域名称。最终链接需可通过浏览器访问。
    如何配置ONLYOFFICE SP与Keycloak IdP如何配置ONLYOFFICE SP与Keycloak IdP
  3. 单击向上箭头按钮加载 IdP 元数据。ONLYOFFICE SP 设置表单将自动填充 Keycloak IdP 的数据。
  4. 选择与 Keycloak 中相同的默认签名验证算法
    如何配置ONLYOFFICE SP与Keycloak IdP如何配置ONLYOFFICE SP与Keycloak IdP
  5. NameId 格式更改为 emailAddress。
    如何配置ONLYOFFICE SP与Keycloak IdP如何配置ONLYOFFICE SP与Keycloak IdP
  6. SP 证书部分创建证书:单击对应区域的添加证书按钮。
  7. 在打开的模态窗口中,单击生成新的自签名证书链接,并在用途列表选择签名与加密。保存证书前,将公钥证书文本复制至剪贴板并保存为文件(Keycloak 需使用),随后单击确定按钮。
    如何配置ONLYOFFICE SP与Keycloak IdP如何配置ONLYOFFICE SP与Keycloak IdP
  8. 进入属性映射部分,为属性分配以下值:
    • 名字:urn:oid:2.5.4.42
    • 姓氏:urn:oid:2.5.4.4
    • 邮箱:urn:oid:1.2.840.113549.1.9.1
    如何配置ONLYOFFICE SP与Keycloak IdP如何配置ONLYOFFICE SP与Keycloak IdP

    高级设置部分,可勾选隐藏认证页选项以隐藏默认认证页并自动重定向至SSO服务。

    如需恢复默认认证页(当IdP服务器故障时访问门户),可在浏览器地址栏的门户域名后添加 /login?skipssoredirect=true 参数。

  9. 单击保存按钮。
  10. 返回 Keycloak 配置加密:打开您的客户端,进入密钥部分。禁用需客户端签名选项并启用加密断言。在弹出窗口选择导入,设置归档格式为 Certificate PEM,单击浏览按钮。指定步骤7的证书文件路径,单击确认

验证 ONLYOFFICE SP 与 Keycloak IdP 的协作

  1. 访问 ONLYOFFICE 协作空间认证页(例如https://myportal-address.com/login)。
  2. 单击单点登录按钮(若按钮缺失则表示SSO未启用)。
    如何配置ONLYOFFICE SP与Keycloak IdP如何配置ONLYOFFICE SP与Keycloak IdP
  3. 若 SP 与 IdP 参数设置正确,将重定向至 Keycloak IdP 登录页:
    如何配置ONLYOFFICE SP与Keycloak IdP如何配置ONLYOFFICE SP与Keycloak IdP
  4. 输入 Keycloak 用户账号密码,单击登录按钮。
  5. 若凭证正确,将重定向至门户主页(若用户不存在将自动创建;若IdP中数据变更将自动更新)。
    如何配置ONLYOFFICE SP与Keycloak IdP如何配置ONLYOFFICE SP与Keycloak IdP

在您自己的服务器上托管 ONLYOFFICE 文档,或在云端使用

文章: 标签:
浏览所有标签