单点登录
简介
单点登录板块允许您使用SAML启用第三方身份验证,从而为用户提供更快捷、更安全地访问 ONLYOFFICE 协作空间的方式。
此为付费功能(仅适用于付费的企业版资费方案)。
通常,单点登录技术允许用户仅登录一次,即可访问多个应用/服务而无需重新认证。例如,若某门户网站包含多个大型独立板块(论坛、群组、博客等),用户可在其中一项服务完成认证后,自动获得所有其他服务的访问权限,无需多次输入凭证。
身份提供者 (IdP) 是一种创建、维护和管理用户身份信息,并为联邦内的其他服务提供者提供用户认证的服务。诸如OneLogin、ADFS等服务均作为身份提供者。服务提供者 (SP) 是提供网络服务并依赖受信任的身份提供者进行用户认证的实体。在本场景中,服务提供者是ONLYOFFICE。
您可基于SAML启用SSO,以实现身份提供者与服务提供者之间的认证/授权数据交换:
- SAML(安全断言标记语言) - 一种XML标准,允许通过包含声明的安全令牌在身份提供者与服务提供者之间传输用户认证/授权数据。
安全性提升体现在 ONLYOFFICE 不存储用户密码,而是使用身份提供者端的认证结果。所有必要的用户信息通过认证令牌传输。若身份提供者端的用户信息变更,将在下次SSO认证时自动更新至协作空间(请注意数据仅能单向同步:从身份提供者到 ONLYOFFICE )。
当身份提供者与 ONLYOFFICE 相互配置完成以实现SSO后,用户SSO认证流程将在身份提供者端执行。ONLYOFFICE 将从身份提供者接收认证令牌(SAML)。令牌经验证(通过数字签名和令牌有效期)后,ONLYOFFICE 允许用户访问协作空间。
启用SSO
要为您的协作空间启用并配置SSO认证,请按以下步骤操作:
调整服务提供者设置前,请先检查身份提供者配置。
- 使用左下角的
菜单并选择设置选项。
- 在协作空间设置中,打开左侧的集成板块。
- 切换至单点登录标签页。
- 开启启用单点登录认证开关。
-
在 ONLYOFFICE SP设置部分,点击显示并填写必填字段。可通过多种方式指定必要信息:
- 输入元数据文件的URL地址。若您的IdP元数据可通过链接从外部访问,请将链接粘贴至IdP元数据XML的URL字段,并点击
按钮加载数据。数据加载后,所有必需参数将自动显示在扩展表单中。
- 上传元数据文件。若您的IdP提供元数据文件,请使用选择文件按钮浏览存储在本地计算机上的文件。文件上传后,所有必需参数将自动显示在扩展表单中。
- 手动指定必需参数。若元数据文件不可用,请手动输入必要参数。获取所需值请联系您的IdP管理员。
- 输入元数据文件的URL地址。若您的IdP元数据可通过链接从外部访问,请将链接粘贴至IdP元数据XML的URL字段,并点击


可用参数如下:
- IdP实体ID(必填字段) - 服务提供者用于唯一标识IdP的身份提供者标识符或URL地址。
https://example.com/idp/shibboleth
其中example.com是您的SSO服务域名
- IdP单点登录端点URL(必填字段) - 用于在身份提供者端进行单点登录的URL。这是SP向您的IdP发送认证请求的端点地址。
通过选择对应单选按钮设置所需的绑定类型。绑定指定认证请求和响应在底层传输协议上于IdP和SP间传输的方式:使用HTTPPOST或HTTP重定向绑定。
- IdP单点登出端点URL - 用于在服务提供者端进行单点登出的URL。这是SP向您的IdP发送登出请求/响应的端点地址。
通过选择对应单选按钮设置所需的绑定类型。绑定指定登出请求和响应在底层传输协议上于IdP和SP间传输的方式:使用HTTPPOST或HTTP重定向绑定。
- NameId格式 - NameID参数允许SP识别用户。从列表中选择可用格式之一。


您还可添加IdP和SP证书。
IdP公钥证书
IdP公钥证书 - 此部分允许您添加身份提供者公钥证书,供SP用于验证来自IdP的请求和响应。
若您已加载IdP元数据,这些证书将自动添加至您的协作空间。否则,证书可在您的IdP账户中找到。要手动添加证书,请点击添加证书按钮。将打开新建证书窗口。在公钥证书字段输入证书并点击确定按钮。


勾选对应复选框设置证书的附加验证参数。
指定应验证从IdP发送至SP的哪些请求/响应签名:
- 验证认证响应签名 - 验证发送至SP的SAML认证响应签名。
- 验证登出请求签名 - 验证发送至SP的SAML登出请求签名。
- 验证登出响应签名 - 验证发送至SP的SAML登出响应签名。
从默认签名验证算法列表选择必要算法:rsa-sha1
、rsa-sha256
或rsa-sha512
。
您可通过对应链接编辑或删除已添加证书。
SP证书
SP证书 - 此部分允许您添加服务提供者证书,用于签署和加密来自SP的请求和响应。
若您的IdP要求对输入数据进行签名和/或加密,请在此部分创建或添加对应证书。


点击添加证书按钮。将打开新建证书窗口。您可生成自签名证书,或在公钥证书字段添加现有证书,并在私钥字段添加对应私钥。在用途列表中,选择可用选项之一:signing
, encrypt
, signing and encrypt
。完成后点击确定按钮。
根据上传/生成证书时在用途列表中选择的证书目的,将指定证书附加参数。以下参数定义从SP发送至IdP的哪些请求/响应应被签名:
- 签署认证请求 - 使SP签署发送至IdP的SAML认证请求。
- 签署登出请求 - 使SP签署发送至IdP的SAML登出请求。
- 签署登出响应 - 使SP签署发送至IdP的SAML登出响应。
若您在用途列表中选择了encrypt
或signing and encrypt
选项,则解密断言参数也将被勾选。解密使用对应的私钥执行。
从列表选择必要算法:
- 签名算法:
rsa-sha1
、rsa-sha256
或rsa-sha512
。 - 默认解密算法:
aes128-cbc
、aes256-cbc
或tripledes-cbc
。
您可通过对应链接编辑或删除已添加证书。
属性映射
属性映射 - 此部分允许您将账户板块中的字段与IdP将返回的用户属性建立对应关系。当用户使用SSO凭证登录 ONLYOFFICE SP时,ONLYOFFICE SP接收所需属性,并使用从IdP接收的值填充用户账户中的全名和电子邮件地址字段。若用户不存在于账户板块中,将自动创建。若用户信息在IdP端已更改,其在SP中也将被更新。


可用属性包括:
- 名字(必填字段) - 用户记录中与用户名字对应的属性。
- 姓氏(必填字段) - 用户记录中与用户姓氏对应的属性。
- 电子邮件(必填字段) - 用户记录中与用户电子邮件地址对应的属性。
用户类型
所有用户将被以所选类型(用户、房间管理员、协作空间管理员)添加至协作空间。默认选择用户类型。用户仅可访问管理员邀请其加入的房间,且无法创建自己的房间、文件夹或文件。选择其他类型可授予更多权限。否则,您可手动在联系人信息板块更改类型。
高级设置
隐藏认证页面选项允许您隐藏默认认证页面并自动重定向至SSO服务。
/login?skipssoredirect=true
键。勾选禁用电子邮件验证框,若您希望禁用SSO用户的电子邮件激活。勾选后,SSO 用户首次在协作空间授权后将无需验证其电子邮件。
当您的协作空间中所有设置指定完毕后,点击保存按钮。将打开 ONLYOFFICE SP元数据部分。
在身份提供者中注册 ONLYOFFICE 为可信服务提供者
现在您需要在 IdP 账户中将 ONLYOFFICE 添加为可信服务提供者,并在IdP中指定 ONLYOFFICE SP 元数据。
要获取必要数据,请参考单点登录页面的 ONLYOFFICE SP 元数据板块。请确认 SP 数据可公开访问。点击下载SP元数据XML按钮执行验证。XML 文件内容将在新浏览器标签页显示。请将数据保存为 XML 文件以便上传至 IdP。
或者,您可通过点击对应字段中的按钮手动复制独立参数。


可用参数如下:
- SP实体ID(元数据XML链接) - 服务提供者 XML 的 URL 地址,可被身份提供者下载并用于唯一标识SP。默认文件位于:http://example.com/sso/metadata,其中example.com是您的ONLYOFFICE 协作空间域名或公网IP。
- SP断言消费URL(支持POST和重定向绑定) - 服务提供者接收并处理身份提供者断言的URL地址。默认使用:http://example.com/sso/acs,其中 example.com 是您的 ONLYOFFICE 协作空间域名或公网IP。
- SP单点登出URL(支持POST和重定向绑定) - 用于身份提供者端单点登出的URL。这是SP接收并处理身份提供者登出请求/响应的端点地址。默认使用:http://example.com/sso/slo/callback,其中example.com是您的ONLYOFFICE 协作空间域名或公网IP。
登录 ONLYOFFICE SP
SSO 启用并配置后,登录流程按以下方式执行:
- 用户在 ONLYOFFICE 协作空间认证页面点击单点登录按钮(若配置 ONLYOFFICE SP 时指定了自定义文本则标题可能不同)请求访问 ONLYOFFICE(SP 发起的 SSO)。
- 若所有 IdP 和 SP 设置正确,ONLYOFFICE 向 IdP 发送认证请求并将用户重定向至IdP页面要求输入凭证。
- 若用户尚未登录 IdP,则需在 IdP 提供凭证。
- IdP 创建包含用户数据的认证响应并发送至 ONLYOFFICE。
- ONLYOFFICE 接收身份提供者的认证响应并进行验证。
- 若验证通过,ONLYOFFICE 允许用户登录(若用户不存在系统将自动创建,若 IdP 中数据变更则同步更新)。
也可在身份提供者端使用登录页面(IdP 发起的 SSO),输入凭证后无需重新认证即可访问 ONLYOFFICE 协作空间。
从 ONLYOFFICE 协作空间注销
可通过以下 2 种可用方式注销:
- 在 ONLYOFFICE 协作空间使用退出登录菜单(这种情况下,注销请求将从 IdP 发出)。如果用户之前通过 SSO 认证访问的所有其他应用程序都已注销,则用户也应自动从 IdP 注销。
- 在 IdP 注销页面注销。
编辑使用 SSO 创建的用户配置文件
使用 SSO 认证创建的用户在协作空间管理员的用户列表中会标有 SSO 图标。
在联系人信息板块编辑此类用户配置文件的可能性受到限制。使用SSO认证创建的用户配置文件字段在联系人信息板块禁止编辑。用户数据只能在 IdP 端更改。