OneLogin IdP

简介

单点登录(SSO) 技术允许用户仅需登录一次即可访问多个应用/服务而无需重复认证。

例如当门户网站包含多个独立模块(论坛、聊天、博客等)时,用户只需在其中一个服务完成认证,即可自动获得所有服务的访问权限,无需多次输入凭证。

SSO 始终依赖两个应用的协同运作:身份提供者(IdP) 和服务提供者(SP)。ONLYOFFICE SSO 仅实现 SP 功能。多种服务均可作为 IdP,本文以 OneLogin 实现方案为例说明。

在 OneLogin 创建 IdP

  1. 若未注册,请先注册 OneLogin 账户。
  2. 以管理员身份登录 OneLogin。
  3. 进入应用 -> 应用 -> 添加应用菜单。
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  4. 查找应用搜索栏输入:SAML Custom Connector (Advanced)
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  5. 选择搜索结果。
  6. 在弹出窗口中输入显示名称(例如"IDP OneLogin 协作空间"以便区分),点击保存按钮。
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  7. 进入配置子菜单,按下方表格填写字段:
    请将myportal-address.com替换为您的实际域名公网 IP(即 ONLYOFFICE SP 部署地址)。
    应用详情
    RelayStatehttps://myportal-address.com
    受众(实体ID)https://myportal-address.com/sso/
    收件人https://myportal-address.com/sso/acs
    ACS(消费者) URL 验证器*^https:\/\/myportal-address\.com\/sso\/acs\/$
    ACS(消费者) URL*https://myportal-address.com/sso/acs
    单点注销 URLhttps://myportal-address.com/sso/slo/callback
    SAML 发起方服务提供者
    SAML nameID 格式邮箱
    SAML 颁发者类型特定
    SAML 签名元素断言
    加密断言
    SAML 加密方法AES-128-CBC
    签名 SLO 请求
    签名 SLO 响应
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  8. 点击保存按钮,进入参数子菜单。
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  9. 使用添加参数链接创建 3 个参数(givenNamesnmail)。为所有参数勾选包含在 SAML 断言中选项,并从列表选择适用于 LDAP 目录字段的值:
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  10. 完成 IdP 中 SAML 断言属性的配置后,结果应如下图所示。点击保存按钮。
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  11. 进入SSO子菜单。若有多个证书,请点击更改链接选择有效证书。在 SAML 签名算法字段保留SHA-1选项,点击保存按钮:
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  12. 复制颁发者 URL 字段的链接(如https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8),以管理员身份登录 ONLYOFFICE 协作空间,打开设置 -> 集成 -> 单点登录页面。

配置 ONLYOFFICE SP

  1. 如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
    通过启用单点登录认证开关启用 SSO,将复制的 OneLogin 颁发者 URL 链接粘贴到IdP 元数据 XML 地址字段。
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  2. 点击向上箭头按钮加载 IdP 元数据。ONLYOFFICE SP 设置表单将自动填充 OneLogin IdP 的数据。
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  3. SP 证书部分创建证书:点击对应区域的添加证书按钮。
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  4. 在弹出窗口中点击生成新自签名证书链接,在用途列表选择签名和加密选项。保存前将公钥证书文本复制到剪贴板(后续需用于 OneLogin),点击确定按钮。
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  5. 点击保存按钮。
  6. 此时将打开ONLYOFFICE SP 元数据区域。
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  7. 返回 OneLogin 设置加密:打开应用进入配置设置,向下滚动页面 - 将出现新的SAML 加密字段。将步骤 4复制的公钥证书文本粘贴至此字段,点击保存按钮:
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP

在 OneLogin 创建用户并授权访问 ONLYOFFICE

在 OneLogin 创建用户并授予其访问 ONLYOFFICE SP 权限的操作步骤:

  1. 以管理员身份进入 OneLogin 用户页面。
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  2. 创建新用户或编辑现有用户。
  3. 进入应用子菜单,点击+按钮。
  4. 从列表选择新建的应用,点击继续
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  5. 在弹出窗口中补充缺失数据,点击保存按钮。
  6. 该用户即可使用 ONLYOFFICE SP。

验证 ONLYOFFICE SP 与 OneLogin IdP 的协作

在 SP 端登录 ONLYOFFICE
  1. 访问 ONLYOFFICE 认证页面(例如https://myportal-address.com/Auth.aspx)。
  2. 点击单点登录按钮(若未显示该按钮,表示 SSO 未启用)。
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  3. 若 SP 和 IdP 参数配置正确,将跳转至 OneLogin IdP 登录页:
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP
  4. 输入已授权访问 ONLYOFFICE SP 的账户凭据,点击登录按钮。
  5. 若凭证正确,将跳转至门户主页(若用户不存在将自动创建,若 IDP 中数据变更将自动更新)。
    如何配置 ONLYOFFICE SP 和 OneLogin IdP如何配置 ONLYOFFICE SP 和 OneLogin IdP

在您自己的服务器上托管 ONLYOFFICE 文档,或在云端使用

立即获取在云端使用
文章: 标签:
浏览所有标签