配置 ONLYOFFICE SP 和 OneLogin IdP

简介

单点登录 (SSO) 是一种技术，允许用户只需登录一次即可访问多个应用程序/服务，而无需重新验证身份。

SSO 始终由两个应用程序的联合操作来实现：身份提供者和服务提供者（以下简称为 "IdP" 和 "SP"）。ONLYOFFICE SSO 仅实现 SP。许多不同的提供者可以作为 IdP，但本文考虑的是 OneLogin 的实现。

为 SSO 设置准备 ONLYOFFICE 工作空间

1. 安装支持 SSO 的 Docker 版本的 ONLYOFFICE Workspace v. 11.0.0 或更高版本。
2. 添加一个域名，例如，myportal-address.com。
3. 在您的门户上，进入 控制面板 -> HTTPS，创建并应用 letsencrypt 证书以加密流量（以在您的门户上启用 HTTPS）。

在 OneLogin 中创建 IdP

1. 如果尚未注册，请注册 OneLogin。
2. 以管理员身份登录 OneLogin。
3. 进入 管理 部分。
4. 点击 应用程序 菜单。点击 添加应用 按钮。
   
5. 在 查找应用程序 搜索字段中，输入以下文本：SAML 自定义连接器（高级）：
   
6. 选择找到的选项。
7. 在打开的新窗口中，输入任意 显示名称，例如，"IDP OneLogin Onlyoffice v11 Test"，以区分此应用程序与其他应用程序，替换图标为您自己的，并点击 保存 按钮。
   
8. 进入 配置 子菜单，根据下表填写字段：
   请指定您的 域名 或 公共 IP，而不是 myportal-address.com。
   

   应用程序详情
   RelayState	https://myportal-address.com
   Audience (EntityID)	https://myportal-address.com/sso/
   Recipient	https://myportal-address.com/sso/acs
   ACS (Consumer) URL Validator*	^https:\/\/myportal-address\.com\/sso\/acs\/$
   ACS (Consumer) URL*	https://myportal-address.com/sso/acs
   Single Logout URL	https://myportal-address.com/sso/slo/callback
   SAML 发起者	服务提供者
   SAML nameID 格式	电子邮件
   SAML 发行者类型	特定
   SAML 签名元素	断言
   加密断言	(选中此框)
   SAML 加密方法	AES-128-CBC
   签署 SLO 请求	(选中此框)
   签署 SLO 响应	(选中此框)

   
9. 点击 保存 按钮并进入 参数 子菜单。
   
10. 使用 + 按钮创建 5 个参数（givenName, sn, mail, title, mobile）。勾选 包含在 SAML 断言中 选项，并为所有参数从 值 列表中指定一个适合从 LDAP 目录字段目录中颁发的值：
    
11. 一旦您填写了 IdP 中 SAML 断言属性的所有必要字段，您应该会得到与下图类似的结果。点击 保存 按钮。
    
12. 进入 SSO 子菜单。如果您有多个证书，请通过点击 更改 链接从证书列表中选择一个有效的证书。在 SAML 签名算法 字段中，保留 SHA-1 选项，然后点击 保存 按钮：
    
13. 从 发行者 URL 字段复制链接（例如，https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8）并进入 ONLYOFFICE 门户，以管理员身份登录。打开 控制面板 -> SSO 页面。

配置 ONLYOFFICE SP

1. 确保您以管理员身份登录到您的 ONLYOFFICE 控制面板，并在左侧边栏的 门户设置 部分中点击 SSO 选项卡。
   您只能为您的组织在 ONLYOFFICE 门户上注册一个企业身份提供者。
   
2. 使用 启用单点登录认证 开关启用 SSO，并将从 OneLogin 发行者 URL 复制的链接粘贴到 Idp 元数据 XML 的 URL 字段中。
   

   按带有向上箭头的按钮加载 IdP 元数据。ONLYOFFICE SP 设置 表单将自动填充来自 OneLogin IdP 的数据。

3. 在 自定义登录按钮标题 字段中，您可以输入任何文本替代默认文本（单点登录）。此文本将显示在用于通过 ONLYOFFICE 认证页面上的单点登录服务登录门户的按钮上。
   
4. 现在您需要在 SP 证书 部分创建一个证书。为此，请点击相应部分中的 添加证书 按钮。
   
5. 在打开的模态窗口中，点击 生成新的自签名证书 链接，并在 用途 列表中选择 签名和加密 选项。在保存证书之前，将 公用证书 文本复制到剪贴板（这对于 OneLogin 是必要的），然后点击 确定 按钮。
   
6. 您应该会得到类似的结果：
   
7. 无需调整 属性映射 表单，因为我们在创建 OneLogin IdP 时指定了相同的参数。使用以下值：

   名字	givenName
   姓氏	sn
   电子邮件	mail
   位置	l
   职位	title
   电话	mobile

   在 高级设置 部分，您可以勾选 隐藏认证页面 选项以隐藏默认认证页面并自动重定向到 SSO 服务。

   重要如果您需要恢复默认认证页面（以便在您的 IDP 服务器故障时能够访问门户），您可以在浏览器地址栏中在您的门户域名后添加 /Auth.aspx?skipssoredirect=true 键。
8. 点击 保存 按钮。ONLYOFFICE SP 元数据 部分应打开。通过点击 下载 SP 元数据 XML 按钮验证我们的设置是否公开可用。XML 文件内容应显示。
9. 返回 OneLogin 以设置加密，打开您的应用程序，并进入 配置 设置。向下滚动页面 - 应出现新的 SAML 加密 字段以输入加密密钥。将从 步骤 4 中复制的 公用证书 文本粘贴到此字段中，然后点击 保存 按钮：
   

在 OneLogin 中创建用户并授予他们访问 ONLYOFFICE 的权限

要在 OneLogin 中创建用户并为他们提供访问我们的 ONLYOFFICE SP 的权限，请执行以下步骤：

1. 以管理员身份登录，进入 OneLogin 所有用户 页面，
   
2. 创建新用户或编辑现有用户，
3. 进入 应用程序 子菜单并点击 + 按钮，
4. 从列表中选择我们新创建的应用程序并点击 继续，
   
5. 在打开的新窗口中，添加缺失的数据并点击 保存 按钮，
   
6. 现在用户可以在 ONLYOFFICE SP 中工作。

检查 ONLYOFFICE SP 与 OneLogin IdP 的工作

在 SP 端登录 ONLYOFFICE

1. 进入 ONLYOFFICE 认证页面（例如，https://myportal-address.com/Auth.aspx）。
2. 点击 单点登录 按钮（如果您在配置 ONLYOFFICE SP 时指定了自己的文本，标题可能会有所不同）。如果按钮缺失，这意味着 SSO 未启用。
   
3. 如果所有 SP 和 IdP 参数设置正确，我们将被重定向到 OneLogin IdP 登录表单：
   
4. 输入已被授予 ONLYOFFICE SP 访问权限的用户的登录名和密码，并点击 登录 按钮。
5. 如果凭据正确，我们将被重定向到门户的主页（如果缺失，用户将被自动创建；如果在 IDP 中更改，数据将被更新）。
   

从 ONLYOFFICE SP 注销

1. SSO 用户可以使用 注销 菜单从 ONLYOFFICE 门户注销。如果用户从 OneLogin 中已被授予访问权限的所有其他应用程序中注销，并且之前已登录这些应用程序，用户也应自动从 OneLogin IdP 注销。
   
2. 如果您成功注销，您将被重定向到门户认证页面。
   
3. 如果您再次点击 单点登录 按钮，您将再次被重定向到 OneLogin 登录页面（这意味着您已成功从门户注销）：
   

通过 SSO 认证添加的用户的配置文件

使用 SSO 认证创建的用户配置文件的编辑权限受到限制。从 IdP 接收到的用户配置文件字段不可编辑（即，名字、姓氏、电子邮件、职位 和 位置）。您只能从您的 IdP 帐户编辑这些字段。

下图显示了 SSO 用户的操作菜单：

下图显示了打开编辑的 SSO 用户配置文件：

使用 SSO 认证创建的用户在门户管理员的用户列表中标记有 SSO 图标：