本文由AI翻译

为SaaS版本启用单点登录

简介

如果您的SaaS服务计划中包含此功能,单点登录部分允许您通过SAML启用第三方身份验证,从而为用户提供更快速、便捷和安全的门户访问方式。

通常,单点登录技术允许用户只需登录一次,即可访问多个应用程序/服务,而无需重新认证。例如,如果一个网络门户包含多个大型独立部分(论坛、聊天、博客等),用户可以在其中一个服务中完成认证过程,并自动访问所有其他服务,而无需多次输入凭证。

在ONLYOFFICE服务提供商中注册您的身份提供商

身份提供商(IdP)是一个创建、维护和管理用户身份信息的服务,并为联盟内的其他服务提供商提供用户认证。OneLogin、ADFS等服务充当身份提供商。服务提供商(SP)是提供网络服务并依赖可信身份提供商进行用户认证的实体。在我们的情况下,服务提供商是ONLYOFFICE。

您可以基于SAML启用SSO,用于在身份提供商和服务提供商之间交换认证/授权数据:

  • SAML(安全断言标记语言) - 一种XML标准,允许通过包含断言的安全令牌在身份提供商和服务提供商之间传输用户认证/授权数据。

增强的安全性体现在在线办公不存储用户密码;它使用身份提供商端的认证结果。所有必要的用户信息通过认证令牌传输。如果用户信息在身份提供商端发生更改,它将在下次SSO认证时自动更新到门户中(请注意,数据只能单向同步:从身份提供商到在线办公)。

在身份提供商和在线办公相互配置以确保SSO后,用户SSO认证过程将在身份提供商端执行。在线办公将从身份提供商接收认证令牌(SAML)。在令牌通过数字签名和令牌生命周期验证后,在线办公允许用户访问门户。

启用SSO

要为您的门户启用并配置SSO认证,请按以下步骤进行:

在调整服务提供商之前,检查身份提供商配置。

  1. 进入门户设置页面。为此,请单击右上角的Settings Icon图标。
  2. 在左侧边栏的集成部分中,单击单点登录链接。
  3. 单点登录标题下打开启用单点登录认证开关。
  4. 填写ONLYOFFICE SP设置部分中的必填字段。可以通过几种不同的方式指定必要的信息:
    • 输入元数据文件的URL地址。如果您的IdP元数据可以通过链接从外部访问,请将链接插入IdP元数据XML的URL字段,然后单击箭头按钮加载数据。数据加载后,所有必需参数将自动显示在扩展表单中。
    • 上传元数据文件。如果您的IdP提供元数据文件,请使用选择文件按钮浏览存储在本地计算机上的文件。文件上传后,所有必需参数将自动显示在扩展表单中。
    • 手动指定所需参数。如果元数据文件不可用,请手动输入必要参数。要获取必要的值,请联系您的IdP管理员。

可用的参数如下:

  • IdP实体ID(必填字段) - 服务提供商用于明确识别IdP的身份提供商标识符或URL地址。
    例如,https://example.com/idp/shibboleth

    其中example.com是您的SSO服务域名。

  • IdP单点登录端点URL(必填字段) - 用于身份提供商端单点登录的URL。它是服务提供商发送认证请求的IdP中的端点地址。

    通过选择相应的单选按钮设置必要的绑定类型。绑定指定了在IdP和SP之间通过底层传输协议传输认证请求和响应的方式:使用HTTP POST或HTTP 重定向绑定。

  • IdP单点注销端点URL - 用于服务提供商端单点注销的URL。它是服务提供商发送注销请求/响应的IdP中的端点地址。

    通过选择相应的单选按钮设置必要的绑定类型。绑定指定了在IdP和SP之间通过底层传输协议传输注销请求和响应的方式:使用HTTP POST或HTTP 重定向绑定。

  • NameId格式 - NameID参数允许服务提供商识别用户。从列表中选择一种可用的格式。
可以在ONLYOFFICE认证页面中使用自定义登录按钮标题字段自定义用于通过单点登录服务登录门户的按钮。

您还可以添加IdP和SP证书。

IdP公共证书

IdP公共证书 - 本节允许您添加服务提供商用于验证来自IdP的请求和响应的身份提供商公共证书。

如果您已加载IdP元数据,这些证书将自动添加到您的门户中。否则,证书可以在您的IdP账户中找到。要手动添加证书,请单击添加证书按钮。新证书窗口将打开。在公共证书字段中输入证书,然后单击确定按钮。

通过勾选相应的框设置证书的附加参数。

指定应验证从IdP发送到SP的请求/响应的哪些签名:

  • 验证认证响应签名 - 验证发送到SP的SAML认证响应的签名。
  • 验证注销请求签名 - 验证发送到SP的SAML注销请求的签名。
  • 验证注销响应签名 - 验证发送到SP的SAML注销响应的签名。

默认签名验证算法列表中选择必要的算法:rsa-sha1rsa-sha256rsa-sha512

默认设置仅在IdP元数据未指定应使用的算法时使用。

您可以使用相应的链接编辑或删除添加的证书。

SP证书

SP证书 - 本节允许您添加服务提供商用于签名和加密来自SP的请求和响应的证书。

如果您的IdP要求输入数据需要签名和/或加密,请在本节中创建或添加相应的证书。

单击添加证书按钮。新证书窗口将打开。您可以生成自签名证书或在公共证书字段中添加现有证书,并在私钥字段中添加相应的私钥。在用途列表中,选择一个可用选项:签名加密签名和加密。准备就绪后,单击确定按钮。

根据上传/生成证书时在用途列表中选择的证书目的,指定证书的附加参数。以下参数定义了从SP发送到IdP的请求/响应应签名:

  • 签名认证请求 - 让SP签名发送到IdP的SAML认证请求。
  • 签名注销请求 - 让SP签名发送到IdP的SAML注销请求。
  • 签名注销响应 - 让SP签名发送到IdP的SAML注销响应。

如果您在用途列表中选择了加密签名和加密选项,还将检查解密断言参数。解密使用相应的私钥进行。

从列表中选择必要的算法:

  • 签名算法rsa-sha1rsa-sha256rsa-sha512
  • 默认解密算法aes128-cbcaes256-cbctripledes-cbc

您可以使用相应的链接编辑或删除添加的证书。

属性映射

属性映射 - 本节允许您设置ONLYOFFICE人员模块中字段与从IdP返回的用户属性的对应关系。当用户使用SSO凭证登录到ONLYOFFICE SP时,ONLYOFFICE SP接收所需的属性,并使用从IdP接收到的值填充用户帐户中的全名和电子邮件地址字段。如果用户在人员模块中不存在,将自动创建。如果用户信息在IdP端发生更改,也将在SP中更新。

可用的属性有:

  • 名字(必填字段) - 用户记录中对应于用户名字的属性。
  • 姓氏(必填字段) - 用户记录中对应于用户姓氏的属性。
  • 电子邮件(必填字段) - 用户记录中对应于用户电子邮件地址的属性。
  • 位置 - 用户记录中对应于用户位置的属性。
  • 职位 - 用户记录中对应于用户职位的属性。
  • 电话 - 用户记录中对应于用户电话号码的属性。
高级设置

隐藏认证页面选项允许您隐藏默认认证页面并自动重定向到SSO服务。

重要 如果您需要恢复默认认证页面(以便在您的IDP服务器出现故障时能够访问门户),可以在浏览器地址栏中在您的门户域名后添加/Auth.aspx?skipssoredirect=true键。

当所有设置在您的门户中指定后,单击保存按钮。ONLYOFFICE SP元数据部分将打开。

在您的身份提供商中注册ONLYOFFICE为可信服务提供商

现在,您需要在您的IdP账户中添加ONLYOFFICE为可信服务提供商,方法是在IdP中指定ONLYOFFICE SP元数据。

要获取必要的数据,请参阅SSO页面的ONLYOFFICE SP元数据部分。验证SP数据是否可公开访问。为此,请单击下载SP元数据XML按钮。XML文件内容将在新的浏览器标签页中显示。将数据保存为XML文件,以便能够上传到IdP。

或者,您可以通过单击相应字段中的复制到剪贴板按钮手动复制单独的参数。

可用的参数如下:

  • SP实体ID(链接到元数据XML) - 服务提供商XML URL地址,可由身份提供商下载并用于明确识别SP。默认情况下,文件位于以下地址:http://example.com/sso/metadata,其中example.com是您的ONLYOFFICE门户域名或公共IP。
  • SP断言消费者URL(支持POST和重定向绑定) - 服务提供商接收和处理来自身份提供商的断言的URL地址。默认情况下,使用以下地址:http://example.com/sso/acs,其中example.com是您的ONLYOFFICE门户域名或公共IP。
  • SP单点注销URL(支持POST和重定向绑定) - 用于身份提供商端单点注销的URL。它是服务提供商接收和处理来自身份提供商的注销请求/响应的端点地址。默认情况下,使用以下地址:http://example.com/sso/slo/callback,其中example.com是您的ONLYOFFICE门户域名或公共IP。
这些参数和XML内容会根据您的门户配置而有所不同,例如,如果您将门户切换到HTTPS或指定域名,参数也会更改,您需要重新配置您的IdP。

登录到ONLYOFFICE SP

在启用并配置SSO后,登录过程如下进行:

  1. 用户通过单击ONLYOFFICE门户认证页面上的单点登录按钮(如果您在配置ONLYOFFICE SP时指定了自己的文本,标题可能会有所不同)请求访问ONLYOFFICE(SP发起的SSO)。
  2. 如果所有IdP和SP设置正确,ONLYOFFICE将向IdP发送认证请求,并将用户重定向到IdP页面,在那里他/她需要输入凭证。
  3. 如果用户尚未登录到IdP,他/她将在IdP中提供凭证。
  4. IdP创建包含用户数据的认证响应,并将其发送给ONLYOFFICE。
  5. ONLYOFFICE从身份提供商接收认证响应并进行验证。
  6. 如果响应通过验证,ONLYOFFICE允许用户登录(如果缺失,将自动创建用户,或者如果在IdP中更改,数据将更新)。

也可以使用身份提供商端的登录页面(IdP发起的SSO),输入凭证,然后无需重新认证即可访问ONLYOFFICE门户。

从ONLYOFFICE SP注销

注销可以通过两种可用方式进行:

  1. 从ONLYOFFICE门户使用注销菜单(在这种情况下,请求将从IdP发送以注销)。如果用户从之前通过SSO认证访问的所有其他应用程序中注销,他/她也应自动从IdP中注销。
  2. 从IdP注销页面。

编辑使用SSO创建的用户配置文件

使用SSO认证创建的用户在门户管理员的用户列表中标记为SSO图标。

在人员模块中编辑此类用户配置文件的可能性受到限制。使用SSO认证创建的用户配置文件字段在人员模块中被禁用,无法编辑。用户数据只能在IdP端进行更改。

在您自己的服务器上托管 ONLYOFFICE 工作区

Download
文章: 标签:
浏览所有标签