Okta IdP

简介

单点登录 (SSO) 是一种允许用户仅需登录一次即可访问多个应用/服务而无需重复验证身份的技术。

若某门户包含多个独立板块(论坛、聊天、博客等),用户只需在其中一个服务完成验证,即可自动访问所有其他服务而无需多次输入凭证。

SSO 始终通过两个应用的协同运作实现:身份提供者与服务提供者(简称IdP和SP)。ONLYOFFICE SSO 仅实现 SP 功能。多种提供者均可作为IdP,本文以Okta实施方案为例说明。

在Okta创建IdP

  1. 注册Okta
  2. 进入应用 -> 应用菜单。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  3. 点击创建应用集成按钮:
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  4. 选择SAML 2.0选项并点击下一步按钮。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  5. 应用名称字段输入任意名称(如"IDP Okta 协作空间")以区别于其他应用,点击下一步按钮。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  6. 根据下表填写字段:
    请将myportal-address.com替换为您的自有域名或托管 ONLYOFFICE SP的公网IP
    应用详情
    单点登录URLhttps://myportal-address.com/sso/acs
    受众URI(SP实体ID)https://myportal-address.com/sso/
    默认中继状态https://myportal-address.com
    名称ID格式EmailAddress
    应用用户名Email
    更新应用用户名时机创建和更新时
    响应已签名
    断言签名 已签名
    签名算法RSA-SHA256
    摘要算法SHA256
    断言加密已加密
    加密算法AES128-CBC
    密钥传输算法RSA-OAEP
    身份验证上下文类X.509证书
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  7. 属性声明表单中点击添加其他,创建3个参数(givenName, sn, mail),从LDAP目录字段目录中选择合适的
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  8. 以管理员身份登录 ONLYOFFICE 门户,进入设置 -> 集成 -> 单点登录页面。
  9. 启用开启单点登录验证开关。
  10. SP证书版块创建证书:点击相应区域的添加证书按钮。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  11. 在弹出窗口中点击生成新的自签名证书链接,在用途列表选择签名和加密。保存前将公共证书文本复制到剪贴板(用于Okta),点击确定按钮。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  12. 打开文本编辑器粘贴复制的文本,保存为.pem扩展名文件。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  13. 返回Okta应用创建表单,在加密证书字段选择新创建的公共密钥。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  14. 点击表单底部的下一步按钮。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  15. 点击完成按钮。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  16. 在打开的应用描述中复制元数据 URL 字段链接。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  17. 返回 ONLYOFFICE 门户的单点登录页面,将复制的链接粘贴到元数据XML上传字段。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南

    指定登录按钮标题。

    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  18. 点击保存按钮。
  19. 此时应打开 ONLYOFFICE SP 元数据版块并显示下载 SP 元数据 XML按钮。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  20. 返回Okta设置配置注销:在签名证书字段指定证书(如步骤12所示),按示例填写单点注销URLSP签发者字段。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  21. 在Okta创建用户并授予 ONLYOFFICE SP访问权限:
    1. 进入Okta目录 -> 人员子菜单,
      配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
    2. 点击添加人员按钮,
      配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
    3. 填写表单并点击保存
      配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
    4. 进入应用 -> 应用菜单点击所创建应用,
      配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
    5. 点击分配 -> 分配给人员,在弹出窗口选择相应用户后点击分配,最后点击完成关闭窗口。
      配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南

验证 ONLYOFFICE SP 与Okta IdP协作

在SP端登录 ONLYOFFICE
  1. 访问 ONLYOFFICE 身份验证页面(如https://myportal-address.com/Auth.aspx)。
  2. 点击单点登录按钮(若未显示该按钮,说明SSO未启用)。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  3. 若SP与IdP参数配置正确,将跳转至Okta IdP登录表单:
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南
  4. 输入已授权访问 ONLYOFFICE SP的用户凭证,点击登录按钮。
  5. 若凭证正确,将跳转至门户主页(若用户不存在将自动创建,若IDP中数据变更将自动更新)。
    配置ONLYOFFICE SP与Okta IdP指南配置ONLYOFFICE SP与Okta IdP指南

在您自己的服务器上托管 ONLYOFFICE 文档,或在云端使用

文章: 标签:
浏览所有标签