单点登录

启用SSO

要为您的协作空间启用并配置SSO认证，请按以下步骤操作：

调整服务提供者设置前，请先检查身份提供者配置。

1. 使用左下角的菜单并选择设置选项。
2. 在协作空间设置中，打开左侧的集成板块。
3. 切换至单点登录标签页。
4. 开启启用单点登录认证开关。
5. 在 ONLYOFFICE SP设置部分，点击显示并填写必填字段。可通过多种方式指定必要信息：
   • 输入元数据文件的URL地址。若您的IdP元数据可通过链接从外部访问，请将链接粘贴至IdP元数据XML的URL字段，并点击按钮加载数据。数据加载后，所有必需参数将自动显示在扩展表单中。
   • 上传元数据文件。若您的IdP提供元数据文件，请使用选择文件按钮浏览存储在本地计算机上的文件。文件上传后，所有必需参数将自动显示在扩展表单中。
   • 手动指定必需参数。若元数据文件不可用，请手动输入必要参数。获取所需值请联系您的IdP管理员。

可用参数如下：

• IdP实体ID（必填字段） - 服务提供者用于唯一标识IdP的身份提供者标识符或URL地址。
  https://example.com/idp/shibboleth

  其中example.com是您的SSO服务域名

• IdP单点登录端点URL（必填字段） - 用于在身份提供者端进行单点登录的URL。这是SP向您的IdP发送认证请求的端点地址。

  通过选择对应单选按钮设置所需的绑定类型。绑定指定认证请求和响应在底层传输协议上于IdP和SP间传输的方式：使用HTTPPOST或HTTP重定向绑定。

• IdP单点登出端点URL - 用于在服务提供者端进行单点登出的URL。这是SP向您的IdP发送登出请求/响应的端点地址。

  通过选择对应单选按钮设置所需的绑定类型。绑定指定登出请求和响应在底层传输协议上于IdP和SP间传输的方式：使用HTTPPOST或HTTP重定向绑定。

• NameId格式 - NameID参数允许SP识别用户。从列表中选择可用格式之一。

您还可添加IdP和SP证书。

IdP公钥证书

IdP公钥证书 - 此部分允许您添加身份提供者公钥证书，供SP用于验证来自IdP的请求和响应。

若您已加载IdP元数据，这些证书将自动添加至您的协作空间。否则，证书可在您的IdP账户中找到。要手动添加证书，请点击添加证书按钮。将打开新建证书窗口。在公钥证书字段输入证书并点击确定按钮。

勾选对应复选框设置证书的附加验证参数。

指定应验证从IdP发送至SP的哪些请求/响应签名：

• 验证认证响应签名 - 验证发送至SP的SAML认证响应签名。
• 验证登出请求签名 - 验证发送至SP的SAML登出请求签名。
• 验证登出响应签名 - 验证发送至SP的SAML登出响应签名。

从默认签名验证算法列表选择必要算法：rsa-sha1、rsa-sha256或rsa-sha512。

您可通过对应链接编辑或删除已添加证书。

SP证书

SP证书 - 此部分允许您添加服务提供者证书，用于签署和加密来自SP的请求和响应。

若您的IdP要求对输入数据进行签名和/或加密，请在此部分创建或添加对应证书。

点击添加证书按钮。将打开新建证书窗口。您可生成自签名证书，或在公钥证书字段添加现有证书，并在私钥字段添加对应私钥。在用途列表中，选择可用选项之一：signing, encrypt, signing and encrypt。完成后点击确定按钮。

根据上传/生成证书时在用途列表中选择的证书目的，将指定证书附加参数。以下参数定义从SP发送至IdP的哪些请求/响应应被签名：

• 签署认证请求 - 使SP签署发送至IdP的SAML认证请求。
• 签署登出请求 - 使SP签署发送至IdP的SAML登出请求。
• 签署登出响应 - 使SP签署发送至IdP的SAML登出响应。

若您在用途列表中选择了encrypt或signing and encrypt选项，则解密断言参数也将被勾选。解密使用对应的私钥执行。

从列表选择必要算法：

• 签名算法：rsa-sha1、rsa-sha256或rsa-sha512。
• 默认解密算法：aes128-cbc、aes256-cbc或tripledes-cbc。

您可通过对应链接编辑或删除已添加证书。

属性映射

属性映射 - 此部分允许您将账户板块中的字段与IdP将返回的用户属性建立对应关系。当用户使用SSO凭证登录 ONLYOFFICE SP时，ONLYOFFICE SP接收所需属性，并使用从IdP接收的值填充用户账户中的全名和电子邮件地址字段。若用户不存在于账户板块中，将自动创建。若用户信息在IdP端已更改，其在SP中也将被更新。

可用属性包括：

• 名字（必填字段） - 用户记录中与用户名字对应的属性。
• 姓氏（必填字段） - 用户记录中与用户姓氏对应的属性。
• 电子邮件（必填字段） - 用户记录中与用户电子邮件地址对应的属性。

用户类型

所有用户将被以所选类型（用户、房间管理员、协作空间管理员）添加至协作空间。默认选择用户类型。用户仅可访问管理员邀请其加入的房间，且无法创建自己的房间、文件夹或文件。选择其他类型可授予更多权限。否则，您可手动在联系人信息板块更改类型。

高级设置

隐藏认证页面选项允许您隐藏默认认证页面并自动重定向至SSO服务。

勾选禁用电子邮件验证框，若您希望禁用SSO用户的电子邮件激活。勾选后，SSO 用户首次在协作空间授权后将无需验证其电子邮件。

当您的协作空间中所有设置指定完毕后，点击保存按钮。将打开 ONLYOFFICE SP元数据部分。

在身份提供者中注册 ONLYOFFICE 为可信服务提供者

现在您需要在 IdP 账户中将 ONLYOFFICE 添加为可信服务提供者，并在IdP中指定 ONLYOFFICE SP 元数据。

要获取必要数据，请参考单点登录页面的 ONLYOFFICE SP 元数据板块。请确认 SP 数据可公开访问。点击下载SP元数据XML按钮执行验证。XML 文件内容将在新浏览器标签页显示。请将数据保存为 XML 文件以便上传至 IdP。

或者，您可通过点击对应字段中的按钮手动复制独立参数。

可用参数如下：

• SP实体ID（元数据XML链接） - 服务提供者 XML 的 URL 地址，可被身份提供者下载并用于唯一标识SP。默认文件位于：http://example.com/sso/metadata，其中example.com是您的ONLYOFFICE 协作空间域名或公网IP。
• SP断言消费URL（支持POST和重定向绑定） - 服务提供者接收并处理身份提供者断言的URL地址。默认使用：http://example.com/sso/acs，其中 example.com 是您的 ONLYOFFICE 协作空间域名或公网IP。
• SP单点登出URL（支持POST和重定向绑定） - 用于身份提供者端单点登出的URL。这是SP接收并处理身份提供者登出请求/响应的端点地址。默认使用：http://example.com/sso/slo/callback，其中example.com是您的ONLYOFFICE 协作空间域名或公网IP。

登录 ONLYOFFICE SP

SSO 启用并配置后，登录流程按以下方式执行：

1. 用户在 ONLYOFFICE 协作空间认证页面点击单点登录按钮（若配置 ONLYOFFICE SP 时指定了自定义文本则标题可能不同）请求访问 ONLYOFFICE（SP 发起的 SSO）。
2. 若所有 IdP 和 SP 设置正确，ONLYOFFICE 向 IdP 发送认证请求并将用户重定向至IdP页面要求输入凭证。
3. 若用户尚未登录 IdP，则需在 IdP 提供凭证。
4. IdP 创建包含用户数据的认证响应并发送至 ONLYOFFICE。
5. ONLYOFFICE 接收身份提供者的认证响应并进行验证。
6. 若验证通过，ONLYOFFICE 允许用户登录（若用户不存在系统将自动创建，若 IdP 中数据变更则同步更新）。

也可在身份提供者端使用登录页面（IdP 发起的 SSO），输入凭证后无需重新认证即可访问 ONLYOFFICE 协作空间。

从 ONLYOFFICE 协作空间注销

可通过以下 2 种可用方式注销：

1. 在 ONLYOFFICE 协作空间使用退出登录菜单（这种情况下，注销请求将从 IdP 发出）。如果用户之前通过 SSO 认证访问的所有其他应用程序都已注销，则用户也应自动从 IdP 注销。
2. 在 IdP 注销页面注销。

编辑使用 SSO 创建的用户配置文件

使用 SSO 认证创建的用户在协作空间管理员的用户列表中会标有 SSO 图标。

在联系人信息板块编辑此类用户配置文件的可能性受到限制。使用SSO认证创建的用户配置文件字段在联系人信息板块禁止编辑。用户数据只能在 IdP 端更改。