Общие сведения о функции единого входа (SSO) ONLYOFFICE

Панель управления v3.5 История изменений Панели управления ONLYOFFICE

Open in new window

Version 3.5.2

Release date: 02/29/2024

General

• Added the ability to restrict access rights to the application files for the Others group.
• Fixed issue with redirect to the portal main page when opening Control Panel after a day on Ubuntu 22.10.
• Fixed retrieving data error when opening the backup page.
• Fixed issue when backup with Mail is not performed after disabling and enabling encryption (added text about stopping services and the instruction to the Help Center).
• Fixed issue when features are not saved to the new tariff when setting a quota for the portal.
• Edited sources build.

Version 3.5

Release date: 03/14/2023

General

• Changed API methods for migration, implemented progressQueue.
• Changed settings for connecting third-party storages. Added tooltips for fields. Added the 'Server Side Encryption Method' block for Amazon AWS S3.
• Added logos for dark theme in the Branding section. Logos for the About page are now separate fields in the Advanced tab.
• Added the ability to set the portal memory quota.

Version 3.1.1

Release date: 08/08/2022

General

• Fixed issue with file indexing.
• Fixed elasticsearch container errors when updating ONLYOFFICE Groups.
• Fixed issue with brand logos after updating in the Docker installation.
• Fixed texts and layout for the Migration feature.

Version 3.1

Release date: 05/25/2022

General

• Added the Data Import page that allows to import data from Nextcloud, ownCloud and GoogleWorkspace to ONLYOFFICE Workspace.
• Moved Elasticsearch to a separate container.
• Fixed bugs.

Version 3.0

Release date: 06/07/2021

Update

• License agreement dialog when installing docker components added.
• The inactive button with an action for uninstalled components (downloading and installing the available version) fixed.

Search

• Indexing progress display added.

LoginHistory and AuditTrail

• New empty screens added.

Restore

• New checks when restoring data from a local or a 3rd party storage.

SSO

• SSOAuth was removed from Control Panel. It's now available as a portal setting in Community Server.

General improvements and bug fixes

• Bugs 47721, 49101, 49187, 49273, 49272, 49324, 46386, 49585 from the internal bugtracker fixed.
• 3rd party licenses and copyright updated.

Version 2.9.1

Release date: 12/10/2020

Bug fixes

• Bug Fixes & Performance Improvements.

Version 2.9

Release date: 10/14/2020

General

• Control Panel is available in the free Community version with all settings excepting the editors logo replacement;
• Added the vsyscall check to the installation scripts when installing Mail Server on Debian with kernel 4.18.0 and later;
• Redesign of the navigation menu: added Common and Portal settings sections, added icons to menu items;
• Added the advanced rebranding page in the Common Settings;
• Added the possibility to reindex the full-text search;
• Updated node.js, updated packages (transition to samlify for SSO);
• Added the Encryption at rest block in the Storage section;
• Added the Private Room section for the server version only;
• Added the upgrade page with a proposal to upgrade to Enterprise Edition;
• Added the activate page with a possibility to upload a license file;
• Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

LDAP

• Added the Sign in to domain option on the authorization page.

Single Sign-on

• Transition to the new samlify library;
• Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

Version 2.7

Release date: 04/25/2019

LDAP

• Added more fields mapped for the users loaded via LDAP: user photo, birthday, contacts, primary phone number;
• Added the setting to autosync LDAP on schedule;
• Added the possibility to give administrator rights to the user group at the portal via LDAP;
• Updated the rules for LDAP users.

Version 2.5.1

Release date: 04/07/2018

LDAP

• Fixed the Server internal error error when using the groups enclosed inside each other in the AD (bug #37414).

Single Sign-on

• Fixed the issue when the user data between the Service Provider and the portal was transferred via HTTP only, even when HTTPS was enabled.

Version 2.4.0

Release date: 01/13/2018

Single Sign-on

• Fixed the Invalid ssoConfig error which occurred when the link to the IdP contained the question mark '?', e.g.: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
• Fixed the Invalid authentication token error which prevented from adding a user to the portal using the AD FS, in case the + or - characters were present when sending the encrypted data.

Version 2.3.0

Release date: 12/15/2017

General

• Added the changelog for Control Panel and link to it;
• Fixed the bug when JWT parameters were not sent when updating Document Server(bug #36270);
• Fixed the bug when Audit Trail heading was present at the login history page (bug #36026);
• The current machine is now checked for being linked with the domain name for multiple portals.

LDAP

• Fixed the bug with the LDAP Domain not found error which occurred if the DN record had no DC records (the users with Sun/Oracle DS were affected); now if the LDAP domain could not be specified, the LDAP domain will acquire the unknown value or the ldap.domain value from the web.appsettings.config configuration file;
• Fixed the bug with the Sizelimit Exceeded error when trying to get more than 1000 users from the Active Directory;
• Increased the login speed with the Group Membership setting enabled;
• Added additional logging;
• Fixed the bug with LDAP operation hanging when using Mono v5.2.0 and older;
• Fixed the bug with the error when trying to login using the email address entered in the fields different from the Mail Attribute;
• Fixed the bug occurring in the enclosed groups, when the users were displayed not in all groups.

Version 2.2.0

Release date: 10/31/2017

General

• Added the documentserver-prepare4shutdown.sh script launch when updating the document-server for the correct edited document saving.

LDAP

• Dramatically changed LDAP integration, migrated to the single library for the work with LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
• Login and email are now split into two separate fields;
• Added the support for big data;
• Increased the work speed via the LDAP protocol (the connection to the server and receiving the data is now made once per session, added the limits when only a certain number of results is necessary, fixed the slow login for bit data, removed the sorting out used to find the SID parameter);
• Fixed the user re-creation issue;
• Fixed the duplicate username issue;
• Fixed the already existing email issue;
• Replaced the LDAP user deletion with account deactivation (for further data migration and data safety);
• Instead of re-creating a user with an unknown SID but an existing email the data is updated;
• Added the attempt to save the correct UserName/Login in case a similar one is already taken on the portal.

Single Sign-on

• Added the AD FS support;
• Replaced the Single Sign-on link at the authorization page with the customizable button, added the button customization to the SSO setting of the Control Panel.

Version 2.1.0

Release date: 07/03/2017

HTTPS

• Added the support of letsencrypt service for the domain certificate generation.

Single Sign-on

• Added the new sso.auth service;
• Added the new SSO settings page;
• Added the support for Shibboleth.

Version 2.0.0

Release date: 05/25/2017

General

• The Control Panel migrated from MVC to Node.js.

Version 1.6.0

Release date: 12/05/2016

LDAP

• Added LDAP synchronization for users and groups when saving the settings, after login and using the Sync button;
• Changed email formation for LDAP users;
• Fixed the problem of creation of users with invalid emails;
• Fixed the problem of duplicate users;
• Added icons and hints to the users in the list for the admin;
• Blocked for editing the user profile fields imported using LDAP;
• Added the real LDAP password saving to the database during login in case LDAP Auth is disabled, now the LDAP users will become common portal users when LDAP Auth is disabled;
• Added new API Settings method - Sync LDAP;
• Added new translations;
• Bug fixes.

Version for Windows

• Made changes at the Update page for the Control Panel for Windows;
• Updates are performed using the downloaded installation packages for each module.
• The current installed component version numbers are obtained via API request to the Community Server.
• The new versions available for download are obtained via the request to the https://download.onlyoffice.com/install/windows/updates.txt file, where all the latest component version numbers and links for their download are stored in the JSON format.

Введение

Функция Единый вход (англ. Single Sign-On или SSO), доступная в Панели управления,Если ваш тарифный план облачной версии включает такую возможность, раздел Единый вход позволяет включить возможность аутентификации с помощью доверенной третьей стороны, используя установленные у вас сервисы SSO (Shibboleth, OneLogin или Active Directory Federation Services).

В общих чертах, технология единого входа позволяет пользователям осуществлять вход в систему только один раз, а затем получать доступ ко множеству приложений/сервисов без повторной аутентификации. Например, если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.

1. На портале ONLYOFFICE перейдите в Панель управления и откройте страницу SSO в разделе НАСТРОЙКИ ПОРТАЛА на левой боковой панели. Перейдите на страницу Настроек портала. Для этого нажмите значок в правом верхнем углу.
2. В разделе Интеграция на левой боковой панели нажмите на ссылку Единый вход.
3. Нажмите на переключатель Включить аутентификацию с помощью технологии единого входа. Включите переключатель Включить аутентификацию с помощью технологии единого входа под заголовком Единый вход.
4. Заполните требуемые поля в разделе Настройки поставщика сервиса ONLYOFFICE. Нужную информацию можно указать несколькими разными способами:
   • Введите URL-адрес файла метаданных. Если метаданные поставщика учетных записей доступны извне по ссылке, вставьте эту ссылку в поле URL-адрес XML-файла метаданных IdP и нажмите кнопку Загрузить данные. Когда данные будут загружены, все требуемые параметры автоматически отобразятся в расширенной форме.
   • Загрузите файл метаданных. Если поставщик учетных записей предоставляет файл метаданных, используйте кнопку Выбрать файл, чтобы найти файл, сохраненный на локальной машине. Когда файл будет загружен, все требуемые параметры автоматически отобразятся в расширенной форме.
   • Укажите требуемые параметры вручную. Если файл метаданных недоступен, введите нужные параметры вручную. Для получения нужных значений обратитесь к администратору вашего поставщика учетных записей.

Доступны следующие параметры:

• Идентификатор сущности поставщика учетных записей (обязательное поле) - идентификатор поставщика учетных записей или URL-адрес, который будет использоваться поставщиком сервиса, чтобы однозначно идентифицировать поставщика учетных записей.
  https://example.com/idp/shibboleth

  где example.com - это доменное имя вашего SSO-сервиса

• URL-адрес конечной точки единого входа IdP (обязательное поле) - URL-адрес, используемый для единого входа на стороне поставщика учетных записей. Это адрес конечной точки в поставщике учетных записей, на который поставщик сервиса отправляет запросы аутентификации.

  Задайте нужный тип Привязки, выбрав одну из соответствующих радиокнопок. Привязки определяют, каким образом запросы и ответы аутентификации передаются между поставщиком учетных записей и поставщиком сервиса по стандартному транспортному протоколу: с помощью привязки HTTP POST или привязки HTTP Redirect.

• URL-адрес конечной точки единого выхода IdP - URL-адрес, используемый для единого выхода на стороне поставщика сервиса. Это адрес конечной точки в поставщике учетных записей, на который поставщик сервиса отправляет запросы и ответы выхода.

  Задайте нужный тип Привязки, выбрав одну из соответствующих радиокнопок. Привязки определяют, каким образом запросы и ответы выхода передаются между поставщиком учетных записей и поставщиком сервиса по стандартному транспортному протоколу: с помощью привязки HTTP POST или привязки HTTP Redirect.

• Формат NameId - параметр NameID позволяет поставщику сервиса идентифицировать пользователя. Выберите в списке один из доступных форматов.

Можно также добавить сертификаты поставщика учетных записей и поставщика сервиса.

Открытые сертификаты поставщика учетных записей

В разделе Открытые сертификаты поставщика учетных записей можно добавить открытые сертификаты поставщика учетных записей, используемые поставщиком сервиса для проверки запросов и ответов от поставщика учетных записей.

Если вы загрузили метаданные поставщика учетных записей, эти сертификаты будут автоматически добавлены в Панель управленияна портал. В противном случае сертификаты можно найти в вашем аккаунте поставщика учетных записей. Чтобы добавить сертификат вручную, нажмите кнопку Добавить сертификат. Откроется окно Новый сертификат. Вставьте сертификат в поле Открытый сертификат и нажмите кнопку OK.

Задайте дополнительные параметры для сертификатов, поставив соответствующие галочки.

Укажите, подписи каких запросов/ответов, отправляемых от поставщика учетных записей поставщику сервиса, следует проверять:

• Проверять подпись ответов аутентификации - чтобы проверять подписи ответов аутентификации SAML, отправляемых поставщику сервиса.
• Проверять подпись запросов выхода - чтобы проверять подписи запросов выхода SAML, отправляемых поставщику сервиса.
• Проверять подпись ответов выхода - чтобы проверять подписи ответов выхода SAML, отправляемых поставщику сервиса.

Выберите нужный алгоритм из списка Стандартный алгоритм проверки подписи: rsa-sha1, rsa-sha256 или rsa-sha512.

Можно редактировать или удалить добавленные сертификаты, используя соответствующую ссылку.

Сертификаты поставщика сервиса

В разделе Сертификаты поставщика сервиса можно добавить сертификаты поставщика сервиса, используемые для подписи и шифрования запросов и ответов от поставщика сервиса.

Если ваш поставщик учетных записей требует, чтобы входящие данные были подписаны и/или зашифрованы, создайте или добавьте сертификаты в этом разделе.

Нажмите кнопку Добавить сертификат. Откроется окно Новый сертификат. Вы можете сгенерировать самоподписанный сертификат или добавить уже имеющийся сертификат в поле Открытый сертификат, а соответствующий ему закрытый ключ - в поле Закрытый ключ. В списке Использовать для выберите один из доступных вариантов: signing, encrypt, signing and encrypt. Когда все будет готово, нажмите кнопку OK.

В зависимости от предназначения сертификата, выбранного в списке Использовать для при загрузке/генерации сертификата, указываются дополнительные параметры сертификата. Следующие параметры определяют, какие запросы/ответы, отправляемые от поставщика сервиса поставщику учетных записей, следует подписывать:

• Подписывать запросы аутентификации - чтобы поставщик сервиса подписывал запросы аутентификации SAML, отправляемые поставщику учетных записей.
• Подписывать запросы выхода - чтобы поставщик сервиса подписывал запросы выхода SAML, отправляемые поставщику учетных записей.
• Подписывать ответы выхода - чтобы поставщик сервиса подписывал ответы выхода SAML, отправляемые поставщику учетных записей.

Если вы выбрали опцию encrypt или signing and encrypt в списке Использовать для, также будет отмечен параметр Расшифровывать утверждения. Расшифровка осуществляется с помощью соответствующего Закрытого ключа.

Выберите нужные алгоритмы из списков:

• Алгоритм подписи: rsa-sha1, rsa-sha256 или rsa-sha512.
• Стандартный алгоритм расшифровки: aes128-cbc, aes256-cbc или tripledes-cbc.

Можно редактировать или удалить добавленные сертификаты, используя соответствующую ссылку.

Сопоставление атрибутов

В разделе Сопоставление атрибутов можно указать соответствие полей модуля Люди ONLYOFFICE атрибутам пользователя, которые будут возвращаться из поставщика учетных записей. Когда пользователь осуществляет вход в ONLYOFFICE SP с использованием учетных данных SSO, ONLYOFFICE SP получает требуемые атрибуты и заполняет полное имя и адрес электронной почты для учетной записи пользователя значениями, полученными от поставщика учетных записей. Если такого пользователя нет в модуле "Люди", он будет создан автоматически. Если информация о пользователе была изменена на стороне поставщика учетных записей, данные также обновятся в поставщике сервиса.

Доступны следующие атрибуты:

• Имя (обязательное поле) - атрибут в записи пользователя, соответствующий имени пользователя.
• Фамилия (обязательное поле) - атрибут в записи пользователя, соответствующий фамилии пользователя.
• Электронная почта (обязательное поле) - атрибут в записи пользователя, соответствующий адресу электронной почты пользователя.
• Местоположение - атрибут в записи пользователя, соответствующий местоположению пользователя.
• Должность - атрибут в записи пользователя, соответствующий должности пользователя.
• Телефон - атрибут в записи пользователя, соответствующий номеру телефона пользователя.

Дополнительные параметры

Настройка Скрыть страницу аутентификации позволяет cкрыть страницу аутентификации по умолчанию и автоматически перенаправлять на сервис SSO.

Когда все параметры будут указаны в Панели управленияна портале, нажмите кнопку Сохранить. Откроется раздел Метаданные поставщика сервиса ONLYOFFICE.

Регистрация ONLYOFFICE в качестве проверенного поставщика сервиса в поставщике учетных записей

Теперь необходимо добавить ONLYOFFICE в качестве проверенного поставщика сервиса в ваш аккаунт поставщика учетных записей, указав в поставщике учетных записей метаданные ONLYOFFICE SP.

Для получения нужных данных обратитесь к разделу Метаданные поставщика сервиса ONLYOFFICE на странице SSO. Убедитесь, что данные поставщика сервиса доступны публично. Для этого нажмите кнопку Скачать XML-файл метаданных поставщика сервиса. Содержимое XML-файла отобразится в новой вкладке браузера. Сохраните данные как XML-файл, чтобы можно было загрузить его в поставщик учетных записей.

Можно также вручную скопировать отдельные параметры, нажав на кнопку Копировать в буфер обмена в соответствующих полях.

Доступны следующие параметры:

• Идентификатор сущности поставщика сервиса (ссылка на XML-файл метаданных) - URL-адрес XML-файла поставщика сервиса. Файл можно скачать, и он будет использоваться поставщиком учетных записей, чтобы однозначно идентифицировать поставщика сервиса. По умолчанию файл размещается по следующему адресу: http://example.com/sso/metadata, где example.com - это доменное имя или публичный IP-адрес портала ONLYOFFICE.
• URL-адрес службы обработчика утверждений поставщика сервиса (поддерживаются привязки Redirect и POST) - URL-адрес поставщика сервиса, по которому он получает и обрабатывает утверждения от поставщика учетных записей. По умолчанию используется следующий адрес: http://example.com/sso/acs, где example.com - это доменное имя или публичный IP-адрес портала ONLYOFFICE.
• URL-адрес единого выхода поставщика сервиса (поддерживаются привязки Redirect и POST) - URL-адрес, используемый для единого выхода на стороне поставщика учетных записей. Это адрес конечной точки в поставщике сервиса, по которому он получает и обрабатывает запросы и ответы выхода от поставщика учетных записей. По умолчанию используется следующий адрес: http://example.com/sso/slo/callback, где example.com - это доменное имя или публичный IP-адрес портала ONLYOFFICE.

Вход в ONLYOFFICE SP

После того как Единый вход включен и настроен, процесс входа осуществляется следующим образом:

1. Пользователь запрашивает доступ к ONLYOFFICE, нажав на кнопку Single Sign-on (название кнопки может отличаться, если вы указали свой вариант при настройке ONLYOFFICE SP) на странице аутентификации портала ONLYOFFICE (единый вход, инициированный поставщиком сервиса).
2. Если всё настроено верно в SP и IdP, ONLYOFFICE отправляет запрос аутентификации поставщику учетных записей и перенаправляет пользователя на страницу поставщика учетных записей, где пользователю надо ввести учетные данные.
3. Если пользователь ещё не осуществил вход в поставщик учетных записей, он вводит свои учетные данные в IdP.
4. Поставщик учетных записей создает ответ аутентификации, содержащий данные пользователя, и отправляет его поставщику сервиса ONLYOFFICE.
5. ONLYOFFICE получает ответ аутентификации от поставщика учетных записей и проверяет его подлинность.
6. Если подлинность ответа подтверждена, ONLYOFFICE позволяет пользователю войти (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).

Можно также использовать страницу входа на стороне поставщика учетных записей (единый вход, инициированный поставщиком учетных записей), ввести учетные данные и получить доступ к порталу ONLYOFFICE без повторной аутентификации.

Выход из ONLYOFFICE SP

Выход можно осуществить двумя доступными способами:

1. С портала ONLYOFFICE, используя пункт меню Выйти (в этом случае отправляется запрос от IdP на выход). Пользователь также должен автоматически выйти из IdP, если он вышел из всех остальных приложений, к которым ранее получил доступ с помощью SSO-аутентификации.
2. Со страницы выхода поставщика учетных записей.

Редактирование профилей пользователей, созданных с помощью SSO

Пользователи, созданные с помощью SSO-аутентификации, отмечены в списке пользователей значком SSO для администраторов портала.

Возможность редактирования профилей этих пользователей в модуле "Люди" ограничена. Поля профиля пользователя, созданные с помощью SSO-аутентификации, заблокированы для редактирования в модуле "Люди". Информацию о таких пользователях можно изменить только на стороне поставщика учетных записей.