Systemsteuerung
v3.5
ONLYOFFICE Systemsteuerung: Änderungsprotokoll
Version 3.5.2
Release date: 02/29/2024
- Added the ability to restrict access rights to the application files for the Others group.
- Fixed issue with redirect to the portal main page when opening Control Panel after a day on Ubuntu 22.10.
- Fixed retrieving data error when opening the backup page.
- Fixed issue when backup with Mail is not performed after disabling and enabling encryption (added text about stopping services and the instruction to the Help Center).
- Fixed issue when features are not saved to the new tariff when setting a quota for the portal.
- Edited sources build.
Version 3.5
Release date: 03/14/2023
- Changed API methods for migration, implemented progressQueue.
- Changed settings for connecting third-party storages. Added tooltips for fields. Added the 'Server Side Encryption Method' block for Amazon AWS S3.
- Added logos for dark theme in the Branding section. Logos for the About page are now separate fields in the Advanced tab.
- Added the ability to set the portal memory quota.
Version 3.1.1
Release date: 08/08/2022
- Fixed issue with file indexing.
- Fixed elasticsearch container errors when updating ONLYOFFICE Groups.
- Fixed issue with brand logos after updating in the Docker installation.
- Fixed texts and layout for the Migration feature.
Version 3.1
Release date: 05/25/2022
- Added the Data Import page that allows to import data from Nextcloud, ownCloud and GoogleWorkspace to ONLYOFFICE Workspace.
- Moved Elasticsearch to a separate container.
- Fixed bugs.
Version 3.0
Release date: 06/07/2021
- License agreement dialog when installing docker components added.
- The inactive button with an action for uninstalled components (downloading and installing the available version) fixed.
- Indexing progress display added.
- New checks when restoring data from a local or a 3rd party storage.
- SSOAuth was removed from Control Panel. It's now available as a portal setting in Community Server.
- Bugs 47721, 49101, 49187, 49273, 49272, 49324, 46386, 49585 from the internal bugtracker fixed.
- 3rd party licenses and copyright updated.
Version 2.9.1
Release date: 12/10/2020
- Bug Fixes & Performance Improvements.
Version 2.9
Release date: 10/14/2020
- Control Panel is available in the free Community version with all settings excepting the editors logo replacement;
- Added the vsyscall check to the installation scripts when installing Mail Server on Debian with kernel 4.18.0 and later;
- Redesign of the navigation menu: added Common and Portal settings sections, added icons to menu items;
- Added the advanced rebranding page in the Common Settings;
- Added the possibility to reindex the full-text search;
- Updated
node.js
, updated packages (transition to samlify
for SSO);
- Added the Encryption at rest block in the Storage section;
- Added the Private Room section for the server version only;
- Added the
upgrade
page with a proposal to upgrade to Enterprise Edition;
- Added the
activate
page with a possibility to upload a license file;
- Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.
- Added the Sign in to domain option on the authorization page.
- Transition to the new
samlify
library;
- Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.
Version 2.7
Release date: 04/25/2019
- Added more fields mapped for the users loaded via LDAP: user photo, birthday, contacts, primary phone number;
- Added the setting to autosync LDAP on schedule;
- Added the possibility to give administrator rights to the user group at the portal via LDAP;
- Updated the rules for LDAP users.
Version 2.5.1
Release date: 04/07/2018
- Fixed the
Server internal error
error when using the groups enclosed inside each other in the AD (bug #37414).
- Fixed the issue when the user data between the Service Provider and the portal was transferred via HTTP only, even when HTTPS was enabled.
Version 2.4.0
Release date: 01/13/2018
- Fixed the
Invalid ssoConfig
error which occurred when the link to the IdP contained the question mark '?', e.g.: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777
;
- Fixed the
Invalid authentication token
error which prevented from adding a user to the portal using the AD FS, in case the +
or -
characters were present when sending the encrypted data.
Version 2.3.0
Release date: 12/15/2017
- Added the changelog for Control Panel and link to it;
- Fixed the bug when JWT parameters were not sent when updating Document Server(bug #36270);
- Fixed the bug when
Audit Trail
heading was present at the login history page (bug #36026);
- The current machine is now checked for being linked with the domain name for multiple portals.
- Fixed the bug with the
LDAP Domain not found
error which occurred if the DN record had no DC records (the users with Sun/Oracle DS were affected); now if the LDAP domain could not be specified, the LDAP domain will acquire the unknown
value or the ldap.domain
value from the web.appsettings.config
configuration file;
- Fixed the bug with the
Sizelimit Exceeded
error when trying to get more than 1000 users from the Active Directory;
- Increased the login speed with the Group Membership setting enabled;
- Added additional logging;
- Fixed the bug with LDAP operation hanging when using Mono v5.2.0 and older;
- Fixed the bug with the error when trying to login using the email address entered in the fields different from the
Mail Attribute
;
- Fixed the bug occurring in the enclosed groups, when the users were displayed not in all groups.
Version 2.2.0
Release date: 10/31/2017
- Added the
documentserver-prepare4shutdown.sh
script launch when updating the document-server for the correct edited document saving.
- Dramatically changed LDAP integration, migrated to the single library for the work with LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
- Login and email are now split into two separate fields;
- Added the support for big data;
- Increased the work speed via the LDAP protocol (the connection to the server and receiving the data is now made once per session, added the limits when only a certain number of results is necessary, fixed the slow login for bit data, removed the sorting out used to find the SID parameter);
- Fixed the user re-creation issue;
- Fixed the duplicate username issue;
- Fixed the already existing email issue;
- Replaced the LDAP user deletion with account deactivation (for further data migration and data safety);
- Instead of re-creating a user with an unknown SID but an existing email the data is updated;
- Added the attempt to save the correct UserName/Login in case a similar one is already taken on the portal.
- Added the AD FS support;
- Replaced the Single Sign-on link at the authorization page with the customizable button, added the button customization to the SSO setting of the Control Panel.
Version 2.1.0
Release date: 07/03/2017
- Added the support of letsencrypt service for the domain certificate generation.
- Added the new
sso.auth
service;
- Added the new SSO settings page;
- Added the support for Shibboleth.
Version 2.0.0
Release date: 05/25/2017
- The Control Panel migrated from
MVC
to Node.js
.
Version 1.6.0
Release date: 12/05/2016
- Added LDAP synchronization for users and groups when saving the settings, after login and using the Sync button;
- Changed email formation for LDAP users;
- Fixed the problem of creation of users with invalid emails;
- Fixed the problem of duplicate users;
- Added icons and hints to the users in the list for the admin;
- Blocked for editing the user profile fields imported using LDAP;
- Added the real LDAP password saving to the database during login in case LDAP Auth is disabled, now the LDAP users will become common portal users when LDAP Auth is disabled;
- Added new API Settings method - Sync LDAP;
- Added new translations;
- Bug fixes.
- Made changes at the Update page for the Control Panel for Windows;
- Updates are performed using the downloaded installation packages for each module.
- The current installed component version numbers are obtained via API request to the Community Server.
- The new versions available for download are obtained via the request to the https://download.onlyoffice.com/install/windows/updates.txt file, where all the latest component version numbers and links for their download are stored in the JSON format.
Einleitung
Mit der Option Single Sign-On, die sich in der Systemsteuerung befindet, können SieWenn Ihr SaaS-Serviceplan das stipuliert, können Sie im Abschnitt Single Sign-On die Authentifizierung von Drittanbietern mit den installierten SSO-Dienste (Shibboleth, OneLogin oder Active Directory Federation Services) aktivieren/deaktivieren, um Benutzern eine schnellere, einfachere und sicherere Möglichkeit zu bieten, auf das Portal zuzugreifen.mithilfe von SAML aktivieren/deaktivieren, um Benutzern eine schnellere, einfachere und sicherere Möglichkeit zu bieten, auf das Portal zuzugreifen.
Die Single Sign-On-Technologie ermöglicht Benutzern, sich nur einmal anzumelden und dann auf mehrere autorisierte (d.h. in einen Identitätsanbieter integrierte) Anwendungen/Dienste zuzugreifen, ohne bei jedem Zugriff auf eine andere Anwendung ihre Anmeldeinformationen eingeben zu müssen.
SSO wird immer durch die gemeinsame Arbeit von zwei Anwendungen sichergestellt: einem Identitätsanbieter und einem Dienstanbieter (im Folgenden als "IdP" und "SP" bezeichnet).
ONLYOFFICE SSO implementiert nur den SP. Viele verschiedene Anbieter können als IdP funktionieren, aber ONLYOFFICE wurde nur mit den folgenden Diensten getestet: Shibboleth, OneLogin und AD FS.
Mit der SSO-Authentifizierung erhalten Sie:
- Bessere Bequemlichkeit. Benutzer erhalten eine schnellere und einfachere Möglichkeit, auf das Portal zuzugreifen, ohne sich mehrere Kennwörter und Anmeldungen merken zu müssen.
- Verbesserte Sicherheit. ONLYOFFICE speichert keine Benutzerkennwörter in irgendeiner Form, sondern verwendet stattdessen die Ergebnisse der Authentifizierung auf der Seite des Identitätsanbieters.
- Einfache Verwaltung. Alle erforderlichen Benutzerinformationen werden über ein Authentifizierungstoken übertragen. Wenn sich die Benutzerinformationen auf der Seite des Identitätsanbieters ändern, werden sie bei der nächsten SSO-Authentifizierung automatisch im Portal aktualisiert. Wenn im Portal kein Benutzerprofil vorhanden ist, wird es automatisch erstellt, wenn sich der Benutzer zum ersten Mal mit den SSO-Anmeldeinformationen beim Portal anmeldet.
In ONLYOFFICE wird die SSO-Authentifizierung auf der Basis des sicheren und häufig verwendeten SAML-Standards implementiert. SAML (Security Assertion Markup Language) ist ein XML-Standard, mit dem Benutzerauthentifizierungs-/Autorisierungsdaten zwischen einem Identitätsanbieter und einem Dienstanbieter über Sicherheitstoken übertragen werden können, die Zusicherungen enthalten.
Dieser Artikel beschreibt den Prozess des Aktivierens von SSO im Allgemeinen. Wenn Sie nach bestimmten Einstellungen/Beispielen für bestimmte IdPs suchen, lesen Sie bitte unsere Artikel zum Konfigurieren von ONLYOFFICE SP und Shibboleth, OneLogin, oder AD FS-IdPs.
SSO aktivieren
Um die SSO-Authentifizierung für Ihr Portal zu aktivieren und zu konfigurieren, müssen Sie die folgenden zwei Hauptschritte ausführen:
- Registrieren Sie Ihren Identitätsanbieter auf der Seite ONLYOFFICE Systemsteuerung -> SSO. Die Informationen, die Sie angeben sollten, finden Sie in Ihrem Identity Provider-Konto.
Wenn Sie SSO verwenden möchten, wenn Sie ONLYOFFICE Desktop-Editoren mit Ihrem ONLYOFFICE Workspace verbinden, deaktivieren Sie Private Räume in der Systemsteuerung.
- Registrieren Sie ONLYOFFICE als vertrauenswürdigen Dienstanbieter in Ihrem Konto als Identitätsanbieter. Dieses Verfahren unterscheidet sich je nach ausgewähltem Identitätsanbieter.
Jedes Portal kann gleichzeitig nur mit einem Identitätsanbieter integriert werden.
Ihren Identitätsanbieter beim ONLYOFFICE-Dienstanbieter registrieren
Um Ihren IdP in ONLYOFFICE SP zu registrieren, verwenden Sie den Abschnitt ONLYOFFICE SP-Einstellungen auf der Seite SSO.
Ein Identitätsanbieter (Identity Provider, IdP) ist ein Dienst, der Benutzeridentitätsinformationen erstellt, verwaltet und anderen Dienstanbietern innerhalb eines Verbunds eine Benutzerauthentifizierung bietet. Dienste wie OneLogin, ADFS usw. gelten als Identitätsanbieter. Ein Dienstleister (Service Provider, SP) ist ein Dienst, der Webdienste bereitstellt und für die Benutzerauthentifizierung auf einen vertrauenswürdigen Identitätsanbieter angewiesen ist. In unserem Fall ist der Dienstleister ONLYOFFICE.
Sie können SSO auf der Basis von SAML für den Authentifizierungs/Autorisierungsdatenaustausch zwischen einem Identitätsanbieter und einem Dienstanbieter aktivieren:
- SAML (Security Assertion Markup Language) - ein XML-Standard, mit dem Benutzerauthentifizierungs-/Autorisierungsdaten zwischen einem Identitätsanbieter und einem Dienstanbieter über Sicherheitstoken übertragen werden können, die Assertionen enthalten.
Eine bessere Sicherheit wird dadurch ermöglicht, dass das Online-Büro keine Kennwörter der Benutzer speichert, sondern die Ergebnisse der Authentifizierung auf der Seite des Identitätsanbieters verwendet. Alle erforderlichen Benutzerinformationen werden über ein Authentifizierungstoken übertragen. Wenn sich die Benutzerinformationen auf der Seite des Identitätsanbieters ändern, werden sie bei der nächsten SSO-Authentifizierung automatisch im Portal aktualisiert (beachten Sie, dass die Daten nur in eine Richtung synchronisiert werden können: vom Identitätsanbieter zum Online-Büro).
Nachdem der Identitätsanbieter und das Online-Büro gegenseitig konfiguriert wurden, um SSO sicherzustellen, wird der Benutzer-SSO-Authentifizierungsprozess auf der Seite des Identitätsanbieters ausgeführt. Das Online-Büro erhält ein Authentifizierungstoken (SAML) vom Identitätsanbieter. Nach der Validierung des Tokens (mithilfe digitaler Signaturen und der Token-Lebensdauer) ermöglicht das Online-Büro dem Benutzer den Zugriff auf das Portal.
SSO aktivieren
Gehen Sie wie folgt vor, um die SSO-Authentifizierung für Ihr Portal zu aktivieren und zu konfigurieren:
Überprüfen Sie die Konfiguration des Identitätsanbieters, bevor Sie den Dienstanbieter anpassen.
- Öffnen Sie die Systemsteuerung des ONLYOFFICE-Portals und öffnen Sie dann die Seite SSO im Abschnitt PORTAL-EINSTELLUNGEN auf der linken Seite.
Öffnen Sie die Einstellungen des Portals. Klicken Sie auf das Symbol in der rechten oberen Ecke.
- Klicken Sie im Abschnitt Integration in der linken Seitenleiste auf den Link Single Sign-On.
- Aktivieren Sie den Umschalter Authentifizierung mit Einmalanmeldung einschalten.
Aktivieren Sie den Umschalter Authentifizierung mit Einmalanmeldung einschalten unter der Beschriftung Single Sign-On.
- Füllen Sie die erforderlichen Felder im Abschnitt ONLYOFFICE SP-Einstellungen aus. Die erforderlichen Informationen können auf verschiedene Arten angegeben werden:
- Geben Sie die URL-Adresse der Metadatendatei ein. Wenn Ihre IdP-Metadaten über den Link von außen zugegriffen werden können, fügen Sie den Link in das Feld URL-Adresse zur IdP Metadaten-XML-Datei ein und klicken Sie auf die Schaltfläche Laden der DatenPfeilschaltfläche, um Daten zu laden. Wenn die Daten geladen werden, werden alle erforderlichen Parameter automatisch in der erweiterten Form angezeigt.
- Laden Sie die Metadatendatei hoch. Wenn Ihr IdP eine Metadatendatei bereitstellt, suchen Sie mit der Schaltfläche Datei wählen nach der auf Ihrem lokalen Computer gespeicherten Datei. Wenn die Datei hochgeladen wird, werden alle erforderlichen Parameter automatisch in der erweiterten Form angezeigt.
- Geben Sie die erforderlichen Parameter manuell an. Wenn die Metadatendatei nicht verfügbar ist, geben Sie die erforderlichen Parameter manuell ein. Um die erforderlichen Werte zu erhalten, wenden Sie sich bitte an Ihren IdP-Administrator.
Die folgenden Parameter sind verfügbar:
- Identity-Provider (IdP) Entitäts-ID (Pflichtfeld): Die Kennung des Identitätsanbieters oder die URL-Adresse, die vom Dienstanbieter zur eindeutigen Identifizierung des IdP verwendet wird.
https://example.com/idp/shibboleth
wobei example.com Ihr SSO-Dienstdomänenname ist
- Einmalanmeldung-URL des Endpunkts von IdP (Pflichtfeld): Die URL, die für die einmalige Anmeldung auf der Seite des Identitätsanbieters verwendet wird. Dies ist die Endpunktadresse in Ihrem IdP, an die der Dienstleister Authentifizierungsanforderungen sendet.
Stellen Sie den erforderlichen Bindungstyp ein, indem Sie eines der entsprechenden Optionsfelder auswählen. Bindungen geben an, wie Authentifizierungsanforderungen und -antworten zwischen dem IdP und SP über das zugrunde liegende Transportprotokoll übertragen werden: mithilfe der HTTP-POST- oder HTTP-Redirect-Bindung.
- Einzel-Abmeldung-URL des Endpunkts von IdP: Die URL, die für die einmalige Abmeldung auf der Seite des Dienstanbieters verwendet wird. Dies ist die Endpunktadresse in Ihrem IdP, an die der Dienstleister Abmeldeanforderungen/-antworten sendet.
Stellen Sie den erforderlichen Bindungstyp ein, indem Sie eines der entsprechenden Optionsfelder auswählen. Bindungen geben an, wie Authentifizierungsanforderungen und -antworten zwischen dem IdP und SP über das zugrunde liegende Transportprotokoll übertragen werden: mithilfe der HTTP-POST- oder HTTP-Redirect-Bindung.
- NameID-Format: Mit dem Parameter NameID kann der Dienstleister einen Benutzer identifizieren. Wählen Sie eines der verfügbaren Formate aus der Liste aus.
Es ist möglich, die Schaltfläche zum Anmelden am Portal mit dem Single Sign-On-Dienst auf der ONLYOFFICE-Authentifizierungsseite anzupassen. Sie können dies über das Feld Benutzerdefinierte Beschriftung des Login-Buttons im Abschnitt ONLYOFFICE SP-Einstellungen anpassen.
Sie können auch die IdP- und SP-Zertifikate hinzufügen.
Öffentliche Zertifikate des Identity-Providers
Öffentliches Zertifikat des Identity-Providers: In diesem Abschnitt können Sie die öffentlichen Zertifikate des Identitätsanbieters hinzufügen, die vom Dienstleister verwendet werden, um die Anforderungen und Antworten des IdP zu überprüfen.
Wenn Sie die IdP-Metadaten geladen haben, werden diese Zertifikate automatisch zur Systemsteuerungzum Portal hinzugefügt. Andernfalls finden Sie die Zertifikate in Ihrem IdP-Konto. Um ein Zertifikat manuell hinzuzufügen, klicken Sie auf die Schaltfläche Zertifikat hinzufügen. Das Fenster Neues Zertifikat wird geöffnet. Geben Sie das Zertifikat in das Feld Öffentliches Zertifikat ein und klicken Sie auf die Schaltfläche OK.
Stellen Sie zusätzliche Parameter für Zertifikate ein und aktivieren Sie die entsprechenden Kontrollkästchen.
Geben Sie an, welche Signaturen von Anforderungen/Antworten überprüft werden sollen, die von IdP an SP gesendet werden:
- Signatur der Antwort-Authentifikation prüfenUnterzeichnungen der Authentifizierungsantworten überprüfen, um die Signaturen der an SP gesendeten SAML-Authentifizierungsantworten zu überprüfen.
- Signatur der Abmeldeanfrage prüfenUnterzeichnungen der Abmeldeanforderungen überprüfen, um die Signaturen der an SP gesendeten SAML-Abmeldeanforderungen zu überprüfen.
- Signatur der Abmelde-Response prüfenUnterzeichnungen der Abmeldeantworten überprüfen, um die Signaturen der an SP gesendeten SAML-Abmeldeantworten zu überprüfen.
Wählen Sie den erforderlichen Algorithmus aus der Liste Standard Algorithmen zur SignaturprüfungStandardalgorithmus für Überprüfung einer Signatur aus: rsa-sha1
, rsa-sha256
oder rsa-sha512
.
Standardeinstellungen werden nur in solchen Fällen verwendet, in denen IdP-Metadaten nicht angibt, welcher Algorithmus verwendet werden soll.
Sie können die hinzugefügten Zertifikate über den entsprechenden Link bearbeiten oder löschen.
SP-Zertifikate
SP-Zertifikate: In diesem Abschnitt können Sie die Service-Provider-Zertifikate hinzufügen, mit denen die Anforderungen und Antworten des Dienstleisters signiert und verschlüsselt werden.
Wenn Ihr IdP erfordert, dass Eingabedaten signiert und/oder verschlüsselt sind, erstellen oder fügen Sie in diesem Abschnitt entsprechende Zertifikate hinzu.
Klicken Sie auf die Schaltfläche Zertifikat hinzufügen. Das Fenster Neues Zertifikat wird geöffnet. Sie können ein selbstsigniertes Zertifikat erstellen oder ein vorhandenes Zertifikat im Feld Öffentliches Zertifikat und den entsprechenden Privaten Schlüssel im Feld Privater Schlüssel hinzufügen. Wählen Sie in der Liste Nutzen für eine der verfügbaren Optionen aus: signing
, encrypt
, signing and encrypt
. Wenn Sie bereit sind, klicken Sie auf die Schaltfläche OK.
Abhängig von dem Zertifikatszweck, der beim Hochladen/Generieren des Zertifikats in der Liste Nutzen für ausgewählt wurde, werden die zusätzlichen Parameter des Zertifikats angegeben. Die folgenden Parameter definieren, welche von SP an IdP gesendeten Anforderungen/Antworten signiert werden sollen:
- Authentifizierungsanforderungen signierenAuthentifizierungsanforderungen unterzeichnen, damit SP die an IdP gesendeten SAML-Authentifizierungsanforderungen signiert.
- Anmeldeanforderungen signieren, damit SP die an IdP gesendeten SAML-Abmeldeanforderungen signiert.
- Abmelde-Responses signieren, damit SP die an IdP gesendeten SAML-Abmeldeantworten signiert.
Wenn Sie in der Liste Nutzen für die Option encrypt
oder signing and encrypt
ausgewählt haben, wird auch der Parameter Aussagen entschlüsseln aktiviert. Die Verschlüsselung wird mit dem entsprechenden privaten Schlüssel gemacht.
Wählen Sie die erforderlichen Algorithmen aus den Listen aus:
- Signaturalgorithmus:
rsa-sha1
, rsa-sha256
oder rsa-sha512
.
- Standard EntschlüsselungsalgorithmusStandardalgorithmus für Entschlüsselung:
aes128-cbc
, aes256-cbc
oder tripledes-cbc
.
Sie können die hinzugefügten Zertifikate über den entsprechenden Link bearbeiten oder löschen.
Attributzuordnung
Attributzuordnung: In diesem Abschnitt können Sie die Verbindung der Felder im ONLYOFFICE Modul Personen zu den Benutzerattributen festlegen, die vom IdP zurückgegeben werden. Wenn sich ein Benutzer mit den SSO-Anmeldeinformationen bei ONLYOFFICE SP anmeldet, empfängt ONLYOFFICE SP die erforderlichen Attribute und füllt die Felder für den vollständigen Namen und die E-Mail-Adresse im Benutzerkonto mit den vom IdP empfangenen Werten aus. Wenn der Benutzer im Modul Personen nicht vorhanden ist, wird er automatisch erstellt. Wenn die Benutzerinformationen auf der IdP-Seite geändert wurden, werden sie auch in SP aktualisiert.
Die verfügbaren Attribute sind:
- Vorname (ein Attribut in einem Benutzerdatensatz, das dem Vornamen des Benutzers entspricht)
- Nachname (ein Attribut in einem Benutzerdatensatz, das dem Nachnamen des Benutzers entspricht)
- E-Mail (ein Attribut in einem Benutzerdatensatz, das der E-Mail-Adresse des Benutzers entspricht)
- Standort (ein Attribut in einem Benutzerdatensatz, das dem Standort des Benutzers entspricht)
- Titel (ein Attribut in einem Benutzerdatensatz, das dem Titel des Benutzers entspricht)
- Telefon (ein Attribut in einem Benutzerdatensatz, das der Mobiltelefonnummer des Benutzers entspricht)
Erweiterte Einstellungen
Mit der Option Authentifizierungsseite ausblenden können Sie die Standardauthentifizierungsseite ausblenden und automatisch zum SSO-Dienst umleiten.
Wenn alle Einstellungen in der Systemsteuerungden Einstellungen des Portals festgelegt wurden, klicken Sie auf die Schaltfläche Speichern. Der Abschnitt ONLYOFFICE SP-Metadaten wird geöffnet.
ONLYOFFICE als vertrauenswürdigen Dienstanbieter in Ihrem Identitätsanbieter registrieren
Jetzt sollen Sie ONLYOFFICE als vertrauenswürdigen Dienstanbieter Ihrem IdP-Konto hinzufügen und die ONLYOFFICE SP-Metadaten im IdP angeben.
Informationen zum Empfangen der erforderlichen Daten finden Sie im Abschnitt ONLYOFFICE SP-Metadaten auf der SSO-Seite. Stellen Sie sicher, dass die SP-Daten öffentlich zugänglich sind. Klicken Sie dazu auf die Schaltfläche SP Metadaten XML herunterladen. Der Inhalt der XML-Datei wird in einem neuen Browser-Tab angezeigt. Speichern Sie die Daten als XML-Datei, um sie auf den IdP hochladen zu können.
Sie können auch individuelle Parameter manuell kopieren, indem Sie in den entsprechenden Feldern auf die Schaltfläche In Zwischenablage kopieren klicken.
Die folgenden Parameter stehen zur Verfügung:
- SP-Entitäts ID (Link zu Metadaten der XML-Datei): Die XML-URL-Adresse des Dienstanbieters, die heruntergeladen und vom Identitätsanbieter verwendet werden kann, um den SP eindeutig zu identifizieren. Standardmäßig befindet sich die Datei unter der folgenden Adresse: http://example.com/sso/metadata, wobei example.com der Domainname oder die öffentliche IP-Adresse Ihres ONLYOFFICE-Portals ist.
- SP Assertion-Verbrauch-URL (unterstützt POST und Umleitungsbindung): Die URL-Adresse des Dienstanbieters, an der er Zusicherungen vom Identitätsanbieter empfängt und verarbeitet. Standardmäßig wird die folgende Adresse verwendet: http://example.com/sso/acs, wobei example.com Ihr ONLYOFFICE-Portal-Domainname oder Ihre öffentliche IP-Adresse ist.
- SP Einmalanmeldung-URL (unterstützt POST und Umleitungsbindung): Die URL, die für die einzelne Abmeldung auf der Seite des Identitätsanbieters verwendet wird. Dies ist die Endpunktadresse in Ihrem SP, an der Abmeldeanforderungen/-antworten vom Identitätsanbieter empfangen und verarbeitet werden. Standardmäßig wird die folgende Adresse verwendet: http://example.com/sso/slo/callback, wobei example.com der Domainname oder die öffentliche IP-Adresse Ihres ONLYOFFICE-Portals ist.
Diese Parameter und XML-Inhalte unterscheiden sich abhängig von Ihrer Portalkonfiguration, z.B. wenn Sie Ihr Portal auf HTTPS umstellen oder einen Domainnamen angeben, werden auch die Parameter geändert und Sie müssen Ihren IdP neu konfigurieren.
Anmelden bei ONLYOFFICE SP
Nachdem das SSO aktiviert und konfiguriert wurde, wird der Anmeldevorgang folgendermaßen ausgeführt:
- Ein Benutzer fordert den Zugriff auf ONLYOFFICE an, indem er/sie auf der ONLYOFFICE-Portalauthentifizierungsseite (SP-initiiertes SSO) auf die Schaltfläche Single Sign-On klickt (die Beschriftung kann abweichen, wenn Sie bei der Konfiguration von ONLYOFFICE SP Ihren eigenen Text angegeben haben).
- Wenn alle IdP- und SP-Einstellungen korrekt eingestellt sind, sendet ONLYOFFICE die Authentifizierungsanforderung an den IdP und leitet den Benutzer zur IdP-Seite weiter, auf der er/sie nach Anmeldeinformationen gefragt wird.
- Wenn der Benutzer noch nicht beim IdP angemeldet ist, gibt er/sie Anmeldeinformationen im IdP an.
- IdP erstellt die Authentifizierungsantwort, die Benutzerdaten enthält, und sendet sie an ONLYOFFICE.
- ONLYOFFICE empfängt die Authentifizierungsantwort vom Identitätsanbieter und validiert sie.
- Wenn die Antwort validiert ist, kann sich der Benutzer mit ONLYOFFICE anmelden (der Benutzer wird automatisch erstellt, wenn er/sie fehlt, oder die Daten werden aktualisiert, wenn sie im IdP geändert wird).
Es ist auch möglich, die Anmeldeseite auf der Seite des Identitätsanbieters (von IdP initiiertes SSO) zu verwenden, Anmeldeinformationen einzugeben und dann ohne erneute Authentifizierung auf das ONLYOFFICE-Portal zuzugreifen.
Abmelden vom ONLYOFFICE SP
Die Abmeldung kann auf zwei Arten erfolgen:
- Im ONLYOFFICE-Portal über das Menü Ausloggen (in diesem Fall wird die Anforderung von IdP an die Abmeldung gesendet). Der Benutzer sollte auch automatisch vom IdP abgemeldet werden, falls er/sie von allen anderen Anwendungen abgemeldet wird, auf die zuvor über die SSO-Authentifizierung zugegriffen wurde.
- Auf der IdP-Abmeldeseite.
Bearbeiten von Benutzerprofilen, die mit SSO erstellt wurden
Die mit der SSO-Authentifizierung erstellten Benutzer sind in der Benutzerliste des Portaladministrators mit dem SSO-Symbol gekennzeichnet.
Die Möglichkeit, solche Benutzerprofile im Modul Personen zu bearbeiten, ist eingeschränkt. Die Benutzerprofilfelder, die mit der SSO-Authentifizierung erstellt wurden, sind für die Bearbeitung im Modul Personen deaktiviert. Die Benutzerdaten können nur auf der IdP-Seite geändert werden.