Okta IdP

简介

单点登录 (SSO) 是一种允许用户仅需登录一次即可访问多个应用/服务而无需重复验证身份的技术。

SSO 始终通过两个应用的协同运作实现：身份提供者与服务提供者（简称IdP和SP）。ONLYOFFICE SSO 仅实现 SP 功能。多种提供者均可作为IdP，本文以Okta实施方案为例说明。

在Okta创建IdP

1. 注册Okta。
2. 进入应用 -> 应用菜单。
   
3. 点击创建应用集成按钮：
   
4. 选择SAML 2.0选项并点击下一步按钮。
   
5. 在应用名称字段输入任意名称（如"IDP Okta 协作空间"）以区别于其他应用，点击下一步按钮。
   
6. 根据下表填写字段：
   请将myportal-address.com替换为您的自有域名或托管 ONLYOFFICE SP的公网IP。

   应用详情
   单点登录URL	https://myportal-address.com/sso/acs
   受众URI（SP实体ID）	https://myportal-address.com/sso/
   默认中继状态	https://myportal-address.com
   名称ID格式	EmailAddress
   应用用户名	Email
   更新应用用户名时机	创建和更新时
   响应	已签名
   断言签名	已签名
   签名算法	RSA-SHA256
   摘要算法	SHA256
   断言加密	已加密
   加密算法	AES128-CBC
   密钥传输算法	RSA-OAEP
   身份验证上下文类	X.509证书

   
   
   
7. 在属性声明表单中点击添加其他，创建3个参数（givenName, sn, mail），从LDAP目录字段目录中选择合适的值。
   
8. 以管理员身份登录 ONLYOFFICE 门户，进入设置 -> 集成 -> 单点登录页面。
9. 启用开启单点登录验证开关。
10. 在SP证书版块创建证书：点击相应区域的添加证书按钮。
    
11. 在弹出窗口中点击生成新的自签名证书链接，在用途列表选择签名和加密。保存前将公共证书文本复制到剪贴板（用于Okta），点击确定按钮。
    
12. 打开文本编辑器粘贴复制的文本，保存为.pem扩展名文件。
    
13. 返回Okta应用创建表单，在加密证书字段选择新创建的公共密钥。
    
14. 点击表单底部的下一步按钮。
    
15. 点击完成按钮。
    
16. 在打开的应用描述中复制元数据 URL 字段链接。
    
17. 返回 ONLYOFFICE 门户的单点登录页面，将复制的链接粘贴到元数据XML上传字段。
    

    指定登录按钮标题。

    
18. 点击保存按钮。
19. 此时应打开 ONLYOFFICE SP 元数据版块并显示下载 SP 元数据 XML按钮。
    
20. 返回Okta设置配置注销：在签名证书字段指定证书（如步骤12所示），按示例填写单点注销URL和SP签发者字段。
    
21. 在Okta创建用户并授予 ONLYOFFICE SP访问权限：
    1. 进入Okta目录 -> 人员子菜单，
       
    2. 点击添加人员按钮，
       
    3. 填写表单并点击保存，
       
    4. 进入应用 -> 应用菜单点击所创建应用，
       
    5. 点击分配 -> 分配给人员，在弹出窗口选择相应用户后点击分配，最后点击完成关闭窗口。
       

验证 ONLYOFFICE SP 与Okta IdP协作

在SP端登录 ONLYOFFICE

1. 访问 ONLYOFFICE 身份验证页面（如https://myportal-address.com/Auth.aspx）。
2. 点击单点登录按钮（若未显示该按钮，说明SSO未启用）。
   
3. 若SP与IdP参数配置正确，将跳转至Okta IdP登录表单：
   
4. 输入已授权访问 ONLYOFFICE SP的用户凭证，点击登录按钮。
5. 若凭证正确，将跳转至门户主页（若用户不存在将自动创建，若IDP中数据变更将自动更新）。