Okta IdP
简介
单点登录 (SSO) 是一种允许用户仅需登录一次即可访问多个应用/服务而无需重复验证身份的技术。
若某门户包含多个独立板块(论坛、聊天、博客等),用户只需在其中一个服务完成验证,即可自动访问所有其他服务而无需多次输入凭证。
SSO 始终通过两个应用的协同运作实现:身份提供者与服务提供者(简称IdP和SP)。ONLYOFFICE SSO 仅实现 SP 功能。多种提供者均可作为IdP,本文以Okta实施方案为例说明。
在Okta创建IdP
- 注册Okta。
-
进入应用 -> 应用菜单。
-
点击创建应用集成按钮:
- 选择SAML 2.0选项并点击下一步按钮。
- 在应用名称字段输入任意名称(如"IDP Okta 协作空间")以区别于其他应用,点击下一步按钮。
- 根据下表填写字段:
请将myportal-address.com替换为您的自有域名或托管 ONLYOFFICE SP的公网IP。
应用详情 单点登录URL https://myportal-address.com/sso/acs 受众URI(SP实体ID) https://myportal-address.com/sso/ 默认中继状态 https://myportal-address.com 名称ID格式 EmailAddress 应用用户名 Email 更新应用用户名时机 创建和更新时 响应 已签名 断言签名 已签名 签名算法 RSA-SHA256 摘要算法 SHA256 断言加密 已加密 加密算法 AES128-CBC 密钥传输算法 RSA-OAEP 身份验证上下文类 X.509证书 -
在属性声明表单中点击添加其他,创建3个参数(
givenName
,sn
,mail
),从LDAP目录字段目录中选择合适的值。 - 以管理员身份登录 ONLYOFFICE 门户,进入设置 -> 集成 -> 单点登录页面。
- 启用开启单点登录验证开关。
-
在SP证书版块创建证书:点击相应区域的添加证书按钮。
-
在弹出窗口中点击生成新的自签名证书链接,在用途列表选择签名和加密。保存前将公共证书文本复制到剪贴板(用于Okta),点击确定按钮。
-
打开文本编辑器粘贴复制的文本,保存为.pem扩展名文件。
-
返回Okta应用创建表单,在加密证书字段选择新创建的公共密钥。
- 点击表单底部的下一步按钮。
- 点击完成按钮。
- 在打开的应用描述中复制元数据 URL 字段链接。
-
返回 ONLYOFFICE 门户的单点登录页面,将复制的链接粘贴到元数据XML上传字段。
指定登录按钮标题。
- 点击保存按钮。
-
此时应打开 ONLYOFFICE SP 元数据版块并显示下载 SP 元数据 XML按钮。
-
返回Okta设置配置注销:在签名证书字段指定证书(如步骤12所示),按示例填写单点注销URL和SP签发者字段。
-
在Okta创建用户并授予 ONLYOFFICE SP访问权限:
-
进入Okta目录 -> 人员子菜单,
- 点击添加人员按钮,
-
填写表单并点击保存,
-
进入应用 -> 应用菜单点击所创建应用,
- 点击分配 -> 分配给人员,在弹出窗口选择相应用户后点击分配,最后点击完成关闭窗口。
-
进入Okta目录 -> 人员子菜单,
验证 ONLYOFFICE SP 与Okta IdP协作
在SP端登录 ONLYOFFICE
- 访问 ONLYOFFICE 身份验证页面(如https://myportal-address.com/Auth.aspx)。
-
点击单点登录按钮(若未显示该按钮,说明SSO未启用)。
-
若SP与IdP参数配置正确,将跳转至Okta IdP登录表单:
- 输入已授权访问 ONLYOFFICE SP的用户凭证,点击登录按钮。
-
若凭证正确,将跳转至门户主页(若用户不存在将自动创建,若IDP中数据变更将自动更新)。
文章: 标签:
浏览所有标签