Systemsteuerung
v3.5
ONLYOFFICE Systemsteuerung: Änderungsprotokoll
Version 3.5.2
Release date: 02/29/2024
- Added the ability to restrict access rights to the application files for the Others group.
- Fixed issue with redirect to the portal main page when opening Control Panel after a day on Ubuntu 22.10.
- Fixed retrieving data error when opening the backup page.
- Fixed issue when backup with Mail is not performed after disabling and enabling encryption (added text about stopping services and the instruction to the Help Center).
- Fixed issue when features are not saved to the new tariff when setting a quota for the portal.
- Edited sources build.
Version 3.5
Release date: 03/14/2023
- Changed API methods for migration, implemented progressQueue.
- Changed settings for connecting third-party storages. Added tooltips for fields. Added the 'Server Side Encryption Method' block for Amazon AWS S3.
- Added logos for dark theme in the Branding section. Logos for the About page are now separate fields in the Advanced tab.
- Added the ability to set the portal memory quota.
Version 3.1.1
Release date: 08/08/2022
- Fixed issue with file indexing.
- Fixed elasticsearch container errors when updating ONLYOFFICE Groups.
- Fixed issue with brand logos after updating in the Docker installation.
- Fixed texts and layout for the Migration feature.
Version 3.1
Release date: 05/25/2022
- Added the Data Import page that allows to import data from Nextcloud, ownCloud and GoogleWorkspace to ONLYOFFICE Workspace.
- Moved Elasticsearch to a separate container.
- Fixed bugs.
Version 3.0
Release date: 06/07/2021
- License agreement dialog when installing docker components added.
- The inactive button with an action for uninstalled components (downloading and installing the available version) fixed.
- Indexing progress display added.
- New checks when restoring data from a local or a 3rd party storage.
- SSOAuth was removed from Control Panel. It's now available as a portal setting in Community Server.
- Bugs 47721, 49101, 49187, 49273, 49272, 49324, 46386, 49585 from the internal bugtracker fixed.
- 3rd party licenses and copyright updated.
Version 2.9.1
Release date: 12/10/2020
- Bug Fixes & Performance Improvements.
Version 2.9
Release date: 10/14/2020
- Control Panel is available in the free Community version with all settings excepting the editors logo replacement;
- Added the vsyscall check to the installation scripts when installing Mail Server on Debian with kernel 4.18.0 and later;
- Redesign of the navigation menu: added Common and Portal settings sections, added icons to menu items;
- Added the advanced rebranding page in the Common Settings;
- Added the possibility to reindex the full-text search;
- Updated
node.js
, updated packages (transition to samlify
for SSO);
- Added the Encryption at rest block in the Storage section;
- Added the Private Room section for the server version only;
- Added the
upgrade
page with a proposal to upgrade to Enterprise Edition;
- Added the
activate
page with a possibility to upload a license file;
- Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.
- Added the Sign in to domain option on the authorization page.
- Transition to the new
samlify
library;
- Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.
Version 2.7
Release date: 04/25/2019
- Added more fields mapped for the users loaded via LDAP: user photo, birthday, contacts, primary phone number;
- Added the setting to autosync LDAP on schedule;
- Added the possibility to give administrator rights to the user group at the portal via LDAP;
- Updated the rules for LDAP users.
Version 2.5.1
Release date: 04/07/2018
- Fixed the
Server internal error
error when using the groups enclosed inside each other in the AD (bug #37414).
- Fixed the issue when the user data between the Service Provider and the portal was transferred via HTTP only, even when HTTPS was enabled.
Version 2.4.0
Release date: 01/13/2018
- Fixed the
Invalid ssoConfig
error which occurred when the link to the IdP contained the question mark '?', e.g.: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777
;
- Fixed the
Invalid authentication token
error which prevented from adding a user to the portal using the AD FS, in case the +
or -
characters were present when sending the encrypted data.
Version 2.3.0
Release date: 12/15/2017
- Added the changelog for Control Panel and link to it;
- Fixed the bug when JWT parameters were not sent when updating Document Server(bug #36270);
- Fixed the bug when
Audit Trail
heading was present at the login history page (bug #36026);
- The current machine is now checked for being linked with the domain name for multiple portals.
- Fixed the bug with the
LDAP Domain not found
error which occurred if the DN record had no DC records (the users with Sun/Oracle DS were affected); now if the LDAP domain could not be specified, the LDAP domain will acquire the unknown
value or the ldap.domain
value from the web.appsettings.config
configuration file;
- Fixed the bug with the
Sizelimit Exceeded
error when trying to get more than 1000 users from the Active Directory;
- Increased the login speed with the Group Membership setting enabled;
- Added additional logging;
- Fixed the bug with LDAP operation hanging when using Mono v5.2.0 and older;
- Fixed the bug with the error when trying to login using the email address entered in the fields different from the
Mail Attribute
;
- Fixed the bug occurring in the enclosed groups, when the users were displayed not in all groups.
Version 2.2.0
Release date: 10/31/2017
- Added the
documentserver-prepare4shutdown.sh
script launch when updating the document-server for the correct edited document saving.
- Dramatically changed LDAP integration, migrated to the single library for the work with LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
- Login and email are now split into two separate fields;
- Added the support for big data;
- Increased the work speed via the LDAP protocol (the connection to the server and receiving the data is now made once per session, added the limits when only a certain number of results is necessary, fixed the slow login for bit data, removed the sorting out used to find the SID parameter);
- Fixed the user re-creation issue;
- Fixed the duplicate username issue;
- Fixed the already existing email issue;
- Replaced the LDAP user deletion with account deactivation (for further data migration and data safety);
- Instead of re-creating a user with an unknown SID but an existing email the data is updated;
- Added the attempt to save the correct UserName/Login in case a similar one is already taken on the portal.
- Added the AD FS support;
- Replaced the Single Sign-on link at the authorization page with the customizable button, added the button customization to the SSO setting of the Control Panel.
Version 2.1.0
Release date: 07/03/2017
- Added the support of letsencrypt service for the domain certificate generation.
- Added the new
sso.auth
service;
- Added the new SSO settings page;
- Added the support for Shibboleth.
Version 2.0.0
Release date: 05/25/2017
- The Control Panel migrated from
MVC
to Node.js
.
Version 1.6.0
Release date: 12/05/2016
- Added LDAP synchronization for users and groups when saving the settings, after login and using the Sync button;
- Changed email formation for LDAP users;
- Fixed the problem of creation of users with invalid emails;
- Fixed the problem of duplicate users;
- Added icons and hints to the users in the list for the admin;
- Blocked for editing the user profile fields imported using LDAP;
- Added the real LDAP password saving to the database during login in case LDAP Auth is disabled, now the LDAP users will become common portal users when LDAP Auth is disabled;
- Added new API Settings method - Sync LDAP;
- Added new translations;
- Bug fixes.
- Made changes at the Update page for the Control Panel for Windows;
- Updates are performed using the downloaded installation packages for each module.
- The current installed component version numbers are obtained via API request to the Community Server.
- The new versions available for download are obtained via the request to the https://download.onlyoffice.com/install/windows/updates.txt file, where all the latest component version numbers and links for their download are stored in the JSON format.
Einleitung
Single Sign-on (SSO) ist eine Technologie, mit der sich Benutzer nur einmal anmelden und dann ohne erneute Authentifizierung auf mehrere Anwendungen/Dienste zugreifen können.
Enthält ein Webportal mehrere große unabhängige Bereiche (Forum, Chat, Blogs usw.), kann ein Benutzer innerhalb eines der Dienste das Authentifizierungsverfahren durchlaufen und erhält automatisch Zugang zu allen anderen Diensten ohne mehrmalige Eingabe von Zugangsdaten.
SSO wird immer durch den gemeinsamen Betrieb von zwei Anwendungen sichergestellt: einem Identitätsanbieter und einem Dienstanbieter (im Folgenden als "IdP" und "SP" bezeichnet). ONLYOFFICE SSO implementiert nur den SP. Viele verschiedene Anbieter können als IdP fungieren, aber dieser Artikel befasst sich mit der Implementierung von Active Directory Federation Services (AD FS).
Wenn Sie beim Verbinden von ONLYOFFICE Desktop-Editoren mit Ihrem ONLYOFFICE Workspace SSO verwenden möchten, deaktivieren Sie Private Räume in der Systemsteuerung.
Systemanforderungen
Die Systemanforderungen umfassen die folgende Software, die mit ONLYOFFICE SSO getestet wurde und nachweislich ordnungsgemäß funktioniert:
- Windows Server 2008 R2, Windows Server 2016;
- AD FS Version 3.0 oder höher.
Vorbereiten des ONLYOFFICE Workspace für das SSO-Setup
- Installieren Sie ONLYOFFICE Workspace für Docker oder eine spätere Version mit SSO-Unterstützung (AD FS wird ab Community Server v9.5 unterstützt).
- Fügen Sie einen Domainnamen hinzu, z.B. myportal-address.com.
- Gehen Sie in Ihrem Portal zur Systemsteuerung -> HTTPS, erstellen Sie das letsencrypt-Zertifikat für die Traffic-Verschlüsselung und wenden Sie es an (um HTTPS in Ihrem Portal zu aktivieren).
Vorbereiten von AD FS für das SSO-Setup
- Installieren Sie die neueste AD DS-Version (Active Directory Domain Service) mit allen offiziellen Updates und Patches.
- Installieren Sie die neueste AD FS-Version mit allen offiziellen Updates und Patches.
Um AD FS bereitzustellen, können Sie die folgenden
Anweisungen verwenden.
- Stellen Sie sicher, dass der Link zu den AD FS-Metadaten öffentlich verfügbar ist. Dazu,
- Im Server Manager öffnen Sie Tools (Werkzeuge) -> AD FS Management (AD FS Verwaltung),
- Öffnen Sie AD FS \ Service \ Endpoints (AD FS \ Dienst \ Endpunkte),
- Suchen Sie in der Tabelle die Zeile mit dem Typ Federation Metadata (Föderationsmetadaten). Der Link zu den IdP-Metadaten ist nach folgendem Schema aufgebaut:
https://{ad-fs-domain}/{path-to-FederationMetadata.xml}
Sie können auch den folgenden PowerShell-Befehl verwenden:
PS C:\Users\Administrator> (Get-ADFSEndpoint | Where {$_.Protocol -eq "FederationMetadata" -or $_.Protocol -eq "Federation Metadata"}).FullUrl.ToString()
Sie sollten einen Link erhalten, der so aussieht:
https://onlyofficevm.northeurope.cloudapp.azure.com/FederationMetadata/2007-06/FederationMetadata.xml
- Um zu überprüfen, ob AD FS ordnungsgemäß gestartet wurde, öffnen Sie den erhaltenen Link in einem Webbrowser. Das XML sollte angezeigt oder heruntergeladen werden. Kopieren Sie den Link zum Metadaten-XML: Er wird im nächsten Schritt benötigt.
- Stellen Sie sicher, dass Sie als Administrator in Ihrer ONLYOFFICE-Systemsteuerung angemeldet sind, und klicken Sie im Abschnitt PORTALEINSTELLUNGEN in der linken Seitenleiste auf die Registerkarte SSO.
Sie können im ONLYOFFICE-Portal nur einen Enterprise Identity Provider für Ihre Organisation registrieren.
- Aktivieren Sie SSO mit dem Umschalter Authentifizierung mit Einmalanmeldung einschalten und fügen Sie den Link zum AD FS in das Feld URL-Adresse zur IdP Metadaten-XML-Datei ein.
Drücken Sie die Schaltfläche mit dem Aufwärtspfeil, um die IdP-Metadaten zu laden. Das Formular ONLYOFFICE SP-Einstellungen wird automatisch mit Ihren Daten vom AD FS-IdP ausgefüllt.
- Im Feld Benutzerdefinierte Beschriftung des Login-Buttons können Sie einen beliebigen Text anstelle des Standardtexts eingeben (Single Sign-On). Dieser Text wird auf der Schaltfläche angezeigt, mit der Sie sich mit dem Single Sign-On-Dienst auf der ONLYOFFICE-Authentifizierungsseite beim Portal anmelden.
- Wählen Sie in der Auswahl für das NameID Format den folgenden Wert aus: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.
- Im Abschnitt Öffentliches Zertifikat des Identity-Providers \ Erweiterte Einstellungen deaktivieren Sie die Option Signatur der Abmelde-Response prüfen, da AD FS dies standardmäßig nicht erfordert.
- Jetzt müssen Sie selbstsignierte Zertifikate erstellen oder andere Zertifikate im Abschnitt SP-Zertifikate hinzufügen.
Wählen Sie im Fenster Neues Zertifikat, in der Liste Nutzen für die Option zum Signieren und Verschlüsseln aus, da Ihr AD FS-IdP automatisch konfiguriert wird, um zu überprüfen, ob die Daten digital signiert und verschlüsselt sind.
Sie sollten fast das gleiche Ergebnis erhalten:
- Im Abschnitt SP-Zertifikate \ Erweiterte Einstellungen deaktivieren Sie die Option Abmelde-Responses signieren, da AD FS dies standardmäßig nicht erfordert.
Es ist nicht erforderlich, das Formular für die Attributzuordnung anzupassen, da wir diese Parameter später im AD FS-IdP festlegen. Im Abschnitt Erweiterte Einstellungen können Sie die Option Anmeldeseite ausblenden aktivieren, um die Standardauthentifizierungsseite auszublenden und automatisch zum SSO-Dienst weiterzuleiten.
- Klicken Sie auf die Schaltfläche Speichern. Der Abschnitt ONLYOFFICE SP-Metadata sollte geöffnet werden.
Überprüfen Sie, ob unsere Einstellungen öffentlich verfügbar sind, indem Sie auf die Schaltfläche Laden Sie SP Metadaten XML herunter klicken. Der Inhalt der XML-Datei sollte angezeigt werden.
- Kopieren Sie den Link zu den ONLYOFFICE SP-Metadaten aus dem Feld SP-Entitäts ID (Link zu Metadaten der XML-Datei) und wechseln Sie zu dem Computer, auf dem AD FS installiert ist.
AD FS IdP konfigurieren
- Im Server Manager öffnen Sie die Seite Tools (Werkzeuge) -> AD FS Management (AD FS Verwaltung),
- Wählen Sie im Feld AD FS Management (AD FS Verwaltung) die Option Trust Relationships > Relying Party Trusts (Vertrauensbeziehungen > Vertrauensstellungen der vertrauenden Seite) aus. Klicken Sie rechts auf die Option Add Relying Party Trust... (Vertrauen der vertrauenden Seite hinzufügen...). Der Assistent Add Relying Party Trust Wizard (Assistent zum Hinzufügen einer Vertrauensstellung der vertrauenden Seite) wird geöffnet.
- Wählen Sie im Assistentenfenster das Optionsfeld Import data about the relying party published online or on a local network (Online oder in einem lokalen Netzwerk veröffentlichte Daten über die vertrauende Seite importieren), fügen Sie den zuvor kopierten Link zu den ONLYOFFICE SP-Metadaten in das Feld Federation metadata address (host name or URL) (Föderation-Metadatenadresse (Hostname oder URL)) ein und klicken Sie auf die Schaltfläche Next (Weiter).
- Geben Sie im Feld Display name (Display name) einen beliebigen Namen ein und klicken Sie auf die Schaltfläche Next (Weiter).
- Wählen Sie die Option I do not want to configure multi-factor authentication settings for this relying party trust at this time (Ich möchte derzeit keine Multi-Faktor-Authentifizierungseinstellungen für diese Vertrauensstellung der vertrauenden Seite konfigurieren) aus und klicken Sie auf die Schaltfläche Next (Weiter).
- Wählen Sie die Option Permit all users to access this relying party (Allen Benutzern den Zugriff auf diese vertrauende Seite erlauben) aus und klicken Sie auf die Schaltfläche Next (Weiter).
- Überprüfen Sie die resultierenden Einstellungen und klicken Sie auf die Schaltfläche Next (Weiter).
- Lassen Sie die Standardoption unverändert und klicken Sie auf die Schaltfläche Close (Schließen).
- Ein neues Fenster wird geöffnet. Klicken Sie auf der Registerkarte Issuance Transform Rules (Ausgabetransformationsregeln) auf die Schaltfläche Add Rule... (Regel hinzufügen).
- Wählen Sie die Option Send LDAP Attributes as Claims (LDAP-Attribute als Ansprüche versenden) aus der Liste Claim rule template (Vorlage für eine Anspruchsregel) aus und klicken Sie auf die Schaltfläche Next (Weiter).
- Geben Sie einen beliebigen Namen in das Feld Claim rule name (Name der Anspruchsregel) ein. Wählen Sie die Option Active Directory (Aktives Verzeichnis) aus der Liste Attribute store (Attributspeicher) aus und füllen Sie das Formular Mapping of LDAP attributes to outgoing claim types (Zuordnung von LDAP-Attributen zu ausgehenden Anspruchstypen) gemäß der folgenden Tabelle aus. Wenn Sie fertig sind, klicken Sie auf Finish (Fertig).
LDAP-Attribut (auswählen oder eingeben, um weitere hinzuzufügen) |
Art des ausgehenden Anspruchs (auswählen oder eingeben, um weitere hinzuzufügen) |
Given-Name |
givenName |
Surname (Nachname) |
sn |
E-Mail-Addresses |
mail |
Telephone-Number (Telefonnummer) |
mobile |
Title (Titel) |
title |
physicalDeliveryOfficeName |
l |
- Klicken Sie im Fenster Edit Claim Rules (Anspruchsregeln bearbeiten) erneut auf die Schaltfläche Add Rule... (Regel hinzufügen), wählen Sie die Option Transform an Incoming Claim (Einen eingehenden Anspruch transformieren) aus der Liste Claim rule template (Vorlage für eine Anspruchsregel) und klicken Sie auf Next (Weiter).
- Geben Sie einen beliebigen Namen in das Feld Claim rule name (Name der Anspruchsregel) ein und wählen Sie die folgenden Optionen aus den Listen aus:
- Incoming claim type (Eingehender Anspruchstyp): mail,
- Outgoing claim type (Ausgehender Anspruchstyp): Name ID,
- Outgoing name ID format (Ausgehendes Namens-ID-Format): Email
Wenn Sie fertig sind, klicken Sie auf Finish (Fertig).
Sie sollten fast das gleiche Ergebnis erhalten.
Wenn die Abmeldung von AD FS nicht funktioniert, wird es empfohlen, eine benutzerdefinierte Anspruchsregel hinzuzufügen, die {portal-domain}
durch Ihre SP-Domain ersetzt und {ad-fs-domain}
in Ihre IdP-Domain ändert:
c:[Type == "mail"]
=> issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://{ad-fs-domain}/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://{portal-domain}/sso/metadata");
- Klicken Sie auf die Schaltfläche OK.
- Damit SSO über das Intranet funktionieren kann, müssen Sie die Option Forms Authentication (Formularauthentifizierung) in Edit Global Authentication Policy (Globale Authentifizierungsrichtlinie bearbeiten) bearbeiten (Kontextmenü AD FS / Authentication Policies (AD FS / Authentifizierungsrichtlinien)) aktivieren,
- Öffnen Sie die Eigenschaften der erstellten Vertrauensstellung der vertrauenden Seite und wechseln Sie zur Registerkarte Advanced (Erweitert).
Wählen Sie die OptionSHA-1 in der Liste Secure hash algorithm (Sicherer Hash-Algorithmus) aus.
Überprüfung der Operation des ONLYOFFICE SP mit dem AD FS IdP
Bei ONLYOFFICE auf der SP-Seite anmelden
- Öffnen Sie die ONLYOFFICE-Authentifizierungsseite auf (z. B., https://myportal-address.com/auth.aspx).
- Klicken Sie auf die Schaltfläche Single Sign-On (die Beschriftung kann abweichen, wenn Sie bei der Konfiguration von ONLYOFFICE SP einen eigenen Text angegeben haben). Wenn die Schaltfläche fehlt, bedeutet dies, dass SSO nicht aktiviert ist.
- Wenn alle SP- und IdP-Parameter richtig eingestellt sind, werden wir zum AD FS IdP-Anmeldeformular weitergeleitet:
- Geben Sie den Benutzernamen und das Kennwort des AD FS IdP-Kontos ein und klicken Sie auf die Schaltfläche ANMELDEN.
- Wenn alles korrekt ist, werden wir auf die Hauptseite des Portals weitergeleitet (der Benutzer wird automatisch angelegt, wenn er fehlt, oder die Daten werden aktualisiert, wenn er im IDP geändert wird).
Profile für Benutzer, die mit SSO-Authentifizierung hinzugefügt wurden
Die Möglichkeit, mit der SSO-Authentifizierung erstellte Benutzerprofile zu bearbeiten, ist eingeschränkt. Die vom IdP erhaltenen Benutzerprofilfelder sind zur Bearbeitung deaktiviert (d.h. Vorname
, Nachname
, E-Mail
, Titel
und Standort
). Sie können diese Felder nur von Ihrem IdP-Konto aus bearbeiten.
Die folgende Abbildung zeigt das Aktionsmenü für einen SSO-Benutzer:
Die folgende Abbildung zeigt ein zur Bearbeitung geöffnetes SSO-Benutzerprofil:
Die mit der SSO-Authentifizierung erstellten Benutzer sind in der Benutzerliste für die Portaladministratoren mit dem SSO-Symbol gekennzeichnet: