Configurer le fournisseur de service ONLYOFFICE et le fournisseur d'identité OneLogin

Control Panel v3.5 ONLYOFFICE Control Panel changelog

Introduction

Authentification unique ou Single Sign-On (SSO) est la fonction qui permet aux utilisateurs de s'authentifier une seule fois et d'obtenir accès à plusieurs applications/services autorisés sans contrainte de renseigner à nouveau les informations d'identification.

La technologie d'authentification unique repose sur l'opération conjointe de deux applications: le fournisseur d'identité et le fournisseur de service (ci-après dénommées IdP et SP). L'authentification unique ONLYOFFICE SSO est réalisé uniquement en tant que fournisseur de service (SP). Plusieurs fournisseurs peuvent agir en tant que fournisseur d'identité (IdP), mais cet article examine la réalisation OneLogin .

Préparer la configuration de ONLYOFFICE Workspace SSO

1. Installez ONLYOFFICE Workspace v. 11.0.0 pour Docker ou bien toute autre version ultérieure prenant en charge SSO.
2. Ajoutez un nom de domaine, par ex. myportal-address.com.
3. Sur votre portail, passez à Panneau de configuration -> HTTPS, créez et ajoutez le certificat letsencrypt pour le chiffrement du trafic (pour activer HTTPS sur votre portail).

Créer un fournisseur d'identité dans OneLogin

1. Connectez-vous à OneLogin, si vous n'êtes pas encore enregistré.
2. Connectez-vous en tant qu'administrateur.
3. Passez à la section Administration.
4. Cliquez sur le menu Applications. Cliquez sur le bouton Add app.
   
5. Dans le champ de recherche Find Application, saisissez le texte suivant: SAML Custom Connector (Advanced):
   
6. Choisissez l'option appropriée.
7. Dans la nouvelle fenêtre qui s'affiche, saisissez le nom d'affichage Display Name, par exemple, IDP OneLogin Onlyoffice v11 Test, pour distinguer cette application d'autres, remplacez les icônes par les icônes de votre choix et cliquez sur le bouton Save.
   
8. Accédez au sous-menu Configuration et remplissez les champs selon le tableau ci-dessous:
   Veuillez indiquer le le nom de votre domaine ou l'adresse IP publique où votre fournisseur de service ONLYOFFICE est hébergé au lieu de myportal-address.com.
   

   Détails de l'application
   RelayState	https://myportal-address.com
   Audience (EntityID)	https://myportal-address.com/sso/
   Recipient	https://myportal-address.com/sso/acs
   ACS (Consumer) URL Validator*	^https:\/\/myportal-address\.com\/sso\/acs\/$
   ACS (Consumer) URL*	https://myportal-address.com/sso/acs
   Single Logout URL	https://myportal-address.com/sso/slo/callback
   SAML initiator	Service Provider
   SAML nameID format	Email
   SAML issuer type	Specific
   SAML signature element	Assertion
   Encrypt assertion	(cochez cette case)
   SAML encryption method	AES-128-CBC
   Sign SLO Request	(cochez cette case)
   Sign SLO Response	(cochez cette case)

   
9. Cliquez sur le bouton Save et passez au sous-menu Parameters.
   
10. Utilisez le bouton + pour créer 5 paramètres (givenName, sn, mail, title, mobile). Activez l'option Include in SAML assertion et saisissez la valeur de la liste Value appropriée à récupération du catalogue de champs du répertoire LDAP, pour chacun d'entre eux:
    
11. Lorsque vous remplissez tous les champs obligatoires pour des attributs d'assertion SAML du fournisseur d'identité, vous devez obtenir résultat comme indiqué ci-dessus. Cliquez sur le bouton Enregistrer.
    
12. Passez au sous-menu SSO, Sélectionnez un certificat valable dans la liste des certificats en cliquant sur le lien Change si vous en avez plusieurs. Dans le champ SAML Signature Algorithm, laissez l'option SHA-1 et cliquez sur le bouton Save:
    
13. Copiez le lien dans le champ Issuer URL (par ex., https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) et passez au portail ONLYOFFICE, connectez-vous en tant qu'administrateur. Accédez à Panneau de configuration -> Authentification unique.

Configurer le fournisseur de service ONLYOFFICE

1. Assurez-vous que vous êtes connecté à votre Panneau de configuration ONLYOFFICE en tant que l'administrateur et cliquez sur l'onglet SSO dans la section Paramètres du portail sur la barre latérale gauche.
   Il est possible d'enregistrer un seul fournisseur d'identité pour votre société sur le portail ONLYOFFICE.
   
2. Activez l'option Activer l'authentification unique et collez le lien que vous avez copié depuis l'URL de l'émetteur OneLogin dans le champ URL vers le fichier XML de métadonnées fournisseur d'identité.
   

   Appuyez sur le bouton flèche vers le haut pour télécharger des métadonnées fournisseur d'identité. Le formulaire Paramètres du fournisseur de service ONLYOFFICE sera rempli automatiquement avec les données depuis le fournisseur d'identité OneLogin.

3. Vous pouvez saisir n'importe quel texte dans le champ Légende personnalisée du bouton de connexion pour remplacer le texte par défaut (Single Sign-on). Ce texte s'affichera sur le bouton de connexion au portail avec le service d'authentification unique sur la page d'authentification ONLYOFFICE.
   
4. Maintenant, il faut créer un certificat dans la section Certificats du fournisseur de service. Pour ce faire cliquez sur le bouton Ajouter un certificat dans la section appropriée.
   
5. Dans la fenêtre modale, cliquez sur Générer un certificat auto-signé Générer un nouveau certificat auto-signé, sélectionnez l'option signature et chiffrement dans la liste Utiliser pour. Avant de sauvegarder le certificat, copiez le texte du Certificat publique (C'est nécessaire pour OneLogin), ensuite cliquez sur OK.
   
6. Vous devriez obtenir presque les mêmes résultats:
   
7. Il n'est pas nécessaire d'ajuster le formulaire Mappage d'attributs puisque nous avons spécifié les mêmes paramètres lors de la création du fournisseur d'identité OneLogin. Les valeurs utilisées:

   First Name	givenName
   Last Name	sn
   Email	mail
   Location	l
   Title	title
   Phone	mobile

   Dans la section Paramètres avancés, vous pouvez activer l'option Masquer une page d'authentification pour masquer la page d'authentification par défaut et rediriger automatiquement vers le service d'authentification unique.

   ImportantSi vous souhaitez restaurer la page d'authentification (pour pouvoir accéder à votre portal quand le serveur de votre fournisseur d'identité tombe en panne), vous pouvez ajouter la clé /Auth.aspx?skipssoredirect=true après le nom de domaine de votre portail dans la barre d'adresse du navigateur.
8. Cliquez sur le bouton Enregistrer. La section Les métadonnées du fournisseur de service ONLYOFFICE s'affichera. Vérifiez si les paramètres sont accessibles au public en cliquant sur le bouton Télécharger le fichier XML des métadonnées du fournisseur de services. Le contenu du fichier XML doit s'afficher.
9. Revenez à OneLogin pour configurer le chiffrement, ouvrez l'application et passez à Configuration. Faites défiler la page vers le bas jusqu'au le champ Chiffrement SAML qui doit apparaitre pour saisir la clé de chiffrement. Collez le texte du Certificat public que vous avez copié à l'étape 4 ci-dessus dans ce champ et cliquez sur Enregistrer:
   

Créer des utilisateurs dans OneLogin et accorder accès à ONLYOFFICE

Pour créer des utilisateurs dans OneLogin et accorder accès à notre fournisseur de service ONLYOFFICE, procédez comme suit:

1. passez à All Users dans OneLogin en tant qu'administrateur,
   
2. Créer un nouveau utilisateur ou modifiez l'utilisateur existant,
3. passer sous-menu Applications et cliquer sur le bouton +.
4. sélectionnez l'application que vous venez de créer dans la liste et cliquez sur CONTINUE,
   
5. dans la nouvelle fenêtre qui s'affiche, ajoutez des données manquantes et cliquez sur le bouton SAVE,
   
6. l'utilisateur peut maintenant travailler dans le fournisseur de service ONLYOFFICE.

Vérifier le fonctionnement du fournisseur de service ONLYOFFICE avec le fournisseur d'identité OneLogin

Se connecter à ONLYOFFICE sur le côté du fournisseur de service

1. Passez à la page d'authentification ONLYOFFICE par ex. https://myportal-address.com/Auth.aspx).
2. Cliquez sur le bouton Authentification unique (le texte sur le bouton peut varier si vous avez indiqué un autre texte pendant la configuration du fournisseur de service ONLYOFFICE). S'il n'y a aucun bouton, l'authentification unique n'est pas activé.
   
3. Si tous les paramètres sont correctement configurés, vous serez redirigé vers le formulaire de connexion au fournisseur d'identité OneLogin:
   
4. Saisissez l'identifiant et le mot de passe de l'utilisateur auquel on a accordé l'accès au fournisseur de service ONLYOFFICE et cliquez sur LOG IN.
5. Si vos identifiants sont corrects, vous serez redirigé sur la page d'accueil du portail (l'utilisateur manquant est créé automatiquement, ou les données sont mis à jour si le fournisseur d'identité a apporté des modifications).
   

Se déconnecter du fournisseur de service ONLYOFFICE

1. L'utilisateur connecté avec authentification unique peut se déconnecter du portail ONLYOFFICE depuis le menu Sign Out. L'utilisateur sera automatiquement déconnecté du fournisseur d'identité OneLogin lors de la déconnexion d'autres applications auxquelles on a accordé accès depuis OneLogin et auxquelles on s'est connecté.
   
2. Si vous avez réussi à vous déconnecter, vous serez redirigé vers la page d'authentification.
   
3. Si vous cliquez sur le bouton Single Sign-on encore une fois, vous serez redirigé vers la page de connexion OneLogin (cela veut dire que vous avez réussi de vous déconnecter du portail):
   

Profils des utilisateurs qui sont créés via l'authentification unique

La possibilité de modifier les profils des utilisateurs qui sont créés via l'authentification unique est limitée. Les champs comportant des données fournies par le fournisseur d'identité sont marqués désactivé et on ne peut pas les modifier (par ex. Nom, Prénom, Email, Titre et Emplacement). On peut modifier ces données uniquement depuis le compte du fournisseur d'identité.

La figure ci-dessous illustre le menu Actions pour un utilisateur SSO:

La figure suivante illustre le profil d'utilisateur SSO à modifier:

Les profils des utilisateurs qui sont créés via l'authentification unique seront indiqués à l'aide d'icône SSO pour les administrateurs du portail.