本文由AI翻译

ONLYOFFICE 单点登录服务器版本概述

介绍

控制面板提供的单点登录功能允许您使用已安装的SSO服务（Shibboleth、OneLogin或Active Directory Federation Services）启用第三方身份验证。

通常，单点登录技术允许用户只需登录一次即可访问多个应用程序/服务，而无需重新认证。例如，如果一个门户网站包含几个大型独立部分（论坛、聊天、博客等），用户可以在其中一个服务中进行认证过程，并自动访问所有其他服务，而无需多次输入凭据。

SSO始终由两个应用程序的联合操作来确保：一个身份提供者和一个服务提供者（以下简称为“IdP”和“SP”）。

ONLYOFFICE SSO仅实现SP。许多不同的提供者可以作为IdP，但ONLYOFFICE仅与以下服务进行了测试：Shibboleth、OneLogin和AD FS。

使用SSO认证，您将获得以下主要优势：

提高便利性。用户可以更快速和轻松地访问门户，无需记住多个密码和登录名。
增强安全性。ONLYOFFICE不以任何形式存储用户密码；它使用身份提供者端的认证结果。
简化管理。所有必要的用户信息通过认证令牌传输。如果用户信息在身份提供者端发生更改，它将在下次SSO认证时自动更新到门户。如果用户档案在门户上不存在，当用户首次使用SSO凭据登录门户时，它将自动创建。

在ONLYOFFICE中，SSO认证是基于安全且常用的SAML标准实现的。SAML（安全断言标记语言）是一种XML标准，允许通过安全令牌在身份提供者和服务提供者之间传输用户认证/授权数据，这些令牌包含断言。

本文描述了启用SSO的过程。如果您正在寻找某些IdP的特定设置/示例，请参考我们关于如何配置ONLYOFFICE SP和Shibboleth、OneLogin或AD FS IdP的文章。

启用SSO：服务器版本

要为您的门户启用和配置SSO认证，您需要执行以下两个主要步骤：

在ONLYOFFICE控制面板 -> SSO页面注册您的身份提供者。您需要指定的信息可以在您的身份提供者账户中找到。
如果您希望在将ONLYOFFICE 桌面编辑器连接到您的ONLYOFFICE 工作空间时使用SSO，请在控制面板中禁用私人房间。
在您的身份提供者账户中将ONLYOFFICE注册为受信任的服务提供者。此过程因所选的身份提供者而异。

每个门户只能同时与一个身份提供者集成。

在ONLYOFFICE服务提供者中注册您的身份提供者

要在ONLYOFFICE SP中注册您的IdP，请使用SSO页面的ONLYOFFICE SP设置部分。

在您的ONLYOFFICE门户上，转到控制面板并在左侧边栏的门户设置部分中打开SSO页面。
点击启用单点登录认证开关。
在ONLYOFFICE SP设置部分填写必填字段。必要的信息可以通过几种不同的方式指定：
- 输入元数据文件的URL地址。如果您的IdP元数据可以通过链接从外部访问，请将链接插入IdP元数据XML的URL字段，然后点击加载数据按钮。当数据加载后，所有必需的参数将自动显示在扩展表单中。
- 上传元数据文件。如果您的IdP提供元数据文件，请使用选择文件按钮浏览存储在本地计算机上的文件。当文件上传后，所有必需的参数将自动显示在扩展表单中。
- 手动指定必需的参数。如果元数据文件不可用，请手动输入必要的参数。要获取必要的值，请联系您的IdP管理员。

可用的参数如下：

IdP实体ID（必填字段） - 身份提供者标识符或URL地址，将由服务提供者用于明确识别IdP。
例如：https://example.com/idp/shibboleth

其中example.com是您的SSO服务域名
IdP单点登录端点URL（必填字段） - 用于身份提供者端单点登录的URL。它是您的IdP中SP发送认证请求的端点地址。
通过选择相应的单选按钮设置必要的绑定类型。绑定指定了在基础传输协议上IdP和SP之间传输认证请求和响应的方式：使用HTTP POST或HTTP 重定向绑定。
IdP单点注销端点URL - 用于服务提供者端单点注销的URL。它是您的IdP中SP发送注销请求/响应的端点地址。
通过选择相应的单选按钮设置必要的绑定类型。绑定指定了在基础传输协议上IdP和SP之间传输注销请求和响应的方式：使用HTTP POST或HTTP 重定向绑定。
NameId格式 - NameID参数允许SP识别用户。从列表中选择一种可用格式。

可以在ONLYOFFICE认证页面使用自定义登录按钮标题字段自定义用于使用单点登录服务登录门户的按钮。

您还可以添加IdP和SP证书。

IdP公共证书

IdP公共证书 - 此部分允许您添加身份提供者公共证书，SP用于验证来自IdP的请求和响应。

如果您已加载IdP元数据，这些证书将自动添加到控制面板。否则，证书可以在您的IdP账户中找到。要手动添加证书，请点击添加证书按钮。新证书窗口将打开。在公共证书字段中输入证书，然后点击确定按钮。

设置证书检查的附加参数，选中相应的框。

指定从IdP发送到SP的请求/响应的签名应验证哪些：

验证认证响应签名 - 验证发送到SP的SAML认证响应的签名。
验证注销请求签名 - 验证发送到SP的SAML注销请求的签名。
验证注销响应签名 - 验证发送到SP的SAML注销响应的签名。

从默认签名验证算法列表中选择必要的算法：rsa-sha1、rsa-sha256或rsa-sha512。

默认设置仅在IdP元数据未指定应使用哪种算法的情况下使用。

您可以使用相应的链接编辑或删除添加的证书。

SP证书

SP证书 - 此部分允许您添加服务提供者证书，用于签署和加密来自SP的请求和响应。

如果您的IdP要求输入数据必须签名和/或加密，请在此部分创建或添加相应的证书。

点击添加证书按钮。新证书窗口将打开。您可以生成自签名证书或在公共证书字段中添加现有证书，并在私钥字段中添加相应的私钥。在用途列表中，选择一个可用选项：签名、加密、签名和加密。准备好后，点击确定按钮。

根据上传/生成证书时在用途列表中选择的证书用途，指定证书的附加参数。以下参数定义从SP发送到IdP的请求/响应应签名哪些：

签署认证请求 - 让SP签署发送到IdP的SAML认证请求。
签署注销请求 - 让SP签署发送到IdP的SAML注销请求。
签署注销响应 - 让SP签署发送到IdP的SAML注销响应。

如果您在用途列表中选择了加密或签名和加密选项，则解密断言参数也会被选中。解密是使用相应的私钥进行的。

从列表中选择必要的算法：

签名算法：rsa-sha1、rsa-sha256或rsa-sha512。
默认解密算法：aes128-cbc、aes256-cbc或tripledes-cbc。

您可以使用相应的链接编辑或删除添加的证书。

属性映射

属性映射 - 此部分允许您设置ONLYOFFICE人员模块中字段与从IdP返回的用户属性的对应关系。当用户使用SSO凭据登录到ONLYOFFICE SP时，ONLYOFFICE SP接收所需的属性，并使用从IdP接收到的值填充用户账户中的全名和电子邮件地址字段。如果用户在人员模块中不存在，它将自动创建。如果用户信息在IdP端发生更改，它也将在SP中更新。

可用的属性有：

名字（必填字段） - 用户记录中对应于用户名字的属性。
姓氏（必填字段） - 用户记录中对应于用户姓氏的属性。
电子邮件（必填字段） - 用户记录中对应于用户电子邮件地址的属性。
位置 - 用户记录中对应于用户位置的属性。
职位 - 用户记录中对应于用户职位的属性。
电话 - 用户记录中对应于用户电话号码的属性。

高级设置

隐藏认证页面选项允许您隐藏默认认证页面并自动重定向到SSO服务。

重要如果您需要恢复默认认证页面（以便在您的IDP服务器故障时能够访问门户），您可以在浏览器地址栏中在您的门户域名后添加/Auth.aspx?skipssoredirect=true键。

当所有设置在控制面板中指定后，点击保存按钮。ONLYOFFICE SP元数据部分将打开。

在您的身份提供者中注册ONLYOFFICE为受信任的服务提供者

现在您需要通过在IdP中指定ONLYOFFICE SP元数据，将ONLYOFFICE添加为受信任的服务提供者。

要接收必要的数据，请参考SSO页面的ONLYOFFICE SP元数据部分。验证SP数据是否可以公开访问。为此，点击下载SP元数据XML按钮。XML文件内容将在新的浏览器标签页中显示。将数据保存为XML文件，以便能够上传到IdP。

或者，您可以通过点击相应字段中的复制到剪贴板按钮手动复制单独的参数。

可用的参数如下：

SP实体ID（链接到元数据XML） - 服务提供者XML URL地址，身份提供者可以下载并用于明确识别SP。默认情况下，文件位于以下地址：http://example.com/sso/metadata，其中example.com是您的ONLYOFFICE门户域名或公共IP。
SP断言消费者URL（支持POST和重定向绑定） - 服务提供者URL地址，它接收和处理来自身份提供者的断言。默认情况下，使用以下地址：http://example.com/sso/acs，其中example.com是您的ONLYOFFICE门户域名或公共IP。
SP单点注销URL（支持POST和重定向绑定） - 用于身份提供者端单点注销的URL。它是您的SP中接收和处理来自身份提供者的注销请求/响应的端点地址。默认情况下，使用以下地址：http://example.com/sso/slo/callback，其中example.com是您的ONLYOFFICE门户域名或公共IP。

这些参数和XML内容因您的门户配置而异，例如，如果您将门户切换到HTTPS或指定域名，参数也会更改，您需要重新配置您的IdP。

登录到ONLYOFFICE SP

在启用和配置SSO后，登录过程如下进行：

用户通过点击ONLYOFFICE门户认证页面上的单点登录按钮（如果您在配置ONLYOFFICE SP时指定了自己的文本，标题可能会有所不同）请求访问ONLYOFFICE（SP发起的SSO）。
如果所有IdP和SP设置正确，ONLYOFFICE将发送认证请求到IdP，并将用户重定向到IdP页面，在那里他/她被要求提供凭据。
如果用户尚未登录到IdP，他/她将在IdP中提供凭据。
IdP创建包含用户数据的认证响应并将其发送到ONLYOFFICE。
ONLYOFFICE从身份提供者接收认证响应并验证它。
如果响应验证通过，ONLYOFFICE允许用户登录（如果缺少用户将自动创建，或者如果在IdP中更改数据将更新）。

还可以在身份提供者端使用登录页面（IdP发起的SSO），输入凭据，然后无需重新认证即可访问ONLYOFFICE门户。

从ONLYOFFICE SP注销

可以通过两种可用方式注销：

通过ONLYOFFICE门户使用注销菜单（在这种情况下，请求将从IdP发送以注销）。如果用户已从之前通过SSO认证访问的所有其他应用程序中注销，他/她也应自动从IdP中注销。
通过IdP注销页面。

编辑使用SSO创建的用户档案

使用SSO认证创建的用户在门户管理员的用户列表中标记有SSO图标。

在人员模块中编辑此类用户档案的可能性受到限制。使用SSO认证创建的用户档案字段在人员模块中被禁用编辑。用户数据只能在IdP端进行更改。

在您自己的服务器上托管 ONLYOFFICE 工作区

Download