ONLYOFFICE SP und OneLogin IdP konfigurieren

Systemsteuerung v3.5 ONLYOFFICE Systemsteuerung: Änderungsprotokoll

Einleitung

Single Sign-On (SSO) ist eine Technologie, mit der sich Benutzer nur einmal anmelden und dann ohne erneute Authentifizierung auf mehrere Anwendungen/Dienste zugreifen können.

SSO wird immer durch den gemeinsamen Betrieb von zwei Anwendungen sichergestellt: einem Identitätsanbieter und einem Dienstanbieter (im Folgenden als "IdP" und "SP" bezeichnet). ONLYOFFICE SSO implementiert nur den SP. Viele verschiedene Anbieter können als IdP fungieren, aber dieser Artikel befasst sich mit der Implementierung von OneLogin.

Vorbereiten des ONLYOFFICE Workspace für das SSO-Setup

1. Installieren Sie ONLYOFFICE Workspace v. 11.0.0 für Docker oder eine spätere Version mit SSO-Unterstützung.
2. Fügen Sie einen Domainnamen hinzu, z.B. myportal-address.com.
3. Gehen Sie in Ihrem Portal zur Systemsteuerung -> HTTPS, erstellen Sie das letsencrypt-Zertifikat für die Traffic-Verschlüsselung und wenden Sie es an (um HTTPS in Ihrem Portal zu aktivieren).

IdP in OneLogin erstellen

1. Melden Sie sich für OneLogin an, falls Sie sich noch nicht registriert haben.
2. Melden Sie sich als Administrator bei OneLogin an.
3. Öffnen Sie den Abschnitt Administration.
4. Klicken Sie auf das Menü Applications (Anwendungen). Klicken Sie auf die Schaltfläche Add App (Anwendung hinzufügen).
   
5. Geben Sie im Suchfeld Find Application (Anwendung finden) den folgenden Text ein: SAML Custom Connector (Advanced) (Benutzerdefinierter SAML-Konnektor (Erweitert)):
   
6. Wählen Sie die gefundene Option.
7. Geben Sie in einem geöffneten Fenster einen beliebigen Display Name (Displayname) ein, beispielsweise "IDP OneLogin Onlyoffice v11 Test", um diese Anwendung von anderen zu unterscheiden, ersetzen Sie die Symbole durch Ihre eigenen und klicken Sie auf die Schaltfläche Save (Speichern).
   
8. Öffnen Sie das Untermenü Configuration (Konfiguration) und füllen Sie die Felder gemäß der folgenden Tabelle aus:
   Geben Sie Ihren eigenen Domainnamen oder Ihre öffentliche IP-Adresse an, auf der Ihr ONLYOFFICE SP gehostet wird, anstelle von myportal-address.com.
   

   Anwendungsdetails
   RelayState	https://myportal-address.com
   Audience (EntityID)	https://myportal-address.com/sso/
   Recipient (Empfänger)	https://myportal-address.com/sso/acs
   ACS (Consumer) URL Validator* (ACS (Verbraucher) URL-Validator)	^https:\/\/myportal-address\.com\/sso\/acs\/$
   ACS (Consumer) URL* (ACS (Verbraucher) URL)	https://myportal-address.com/sso/acs
   Single Logout URL	https://myportal-address.com/sso/slo/callback
   SAML initiator (SAML-Initiator)	Service Provider
   SAML nameID format	Email
   SAML issuer type (Typ des SAML-Ausstellers)	Specific
   SAML signature element (SAML-Signaturelement)	Assertion
   Encrypt assertion (Behauptung verschlüsseln)	(markieren Sie dieses Kästchen)
   SAML encryption method (SAML-Verschlüsselungsmethode)	AES-128-CBC
   Sign SLO Request (SLO-Anfrage unterzeichnen)	(markieren Sie dieses Kästchen)
   Sign SLO Response (SLO-Antwort unterzeichnen)	(markieren Sie dieses Kästchen)

   
9. Klicken Sie auf die Schaltfläche Save (Speichern) und öffnen Sie das Untermenü Parameters (Parameter).
   
10. Verwenden Sie die + Schaltfläche, um 5 Parameter zu erstellen (givenName, sn, mail, title, mobile). Aktivieren Sie die Option Include in SAML assertion (In SAML-Behauptung einschließen) und geben Sie für alle Parameter ein Value (Wert) aus der Werteliste an, der für die Ausgabe aus dem Feldkatalog des LDAP-Verzeichnisses geeignet ist:
    
11. Nachdem Sie alle erforderlichen Felder für SAML-Assertionsattribute im IdP ausgefüllt haben, sollten Sie fast das gleiche Ergebnis erhalten, wie in der Abbildung unten gezeigt. Klicken Sie auf die Schaltfläche Save (Speichern).
    
12. Öffnen Sie das Untermenü SSO auf. Wählen Sie ein gültiges Zertifikat aus der Zertifikatsliste aus, indem Sie auf den Link Change (Ändern) klicken, wenn Sie mehrere Zertifikate haben. Lassen Sie im Feld SAML Signature Algorithm (SAML-Signaturalgorithmus) die Option SHA-1 und klicken Sie auf die Schaltfläche Save (Speichern):
    
13. Kopieren Sie den Link aus dem Feld Issuer URL (Emittenten-URL) (z.B., https://app.onelogin.com/saml/metadata/4d87973f-629d-4a52-812e-bde45eff92b8) und gehen Sie zum ONLYOFFICE-Portal, indem Sie sich als Administrator anmelden. Öffnen Sie die Seite Systemsteuerung -> SSO.

ONLYOFFICE SP konfigurieren

1. Stellen Sie sicher, dass Sie als Administrator in Ihrer ONLYOFFICE-Systemsteuerung angemeldet sind, und klicken Sie im Abschnitt PORTALEINSTELLUNGEN in der linken Seitenleiste auf die Registerkarte SSO.
   Sie können im ONLYOFFICE-Portal nur einen Enterprise Identity Provider für Ihre Organisation registrieren.
   
2. Aktivieren Sie SSO mit dem Umschalter Authentifizierung mit Einmalanmeldung einschalten und fügen Sie den Link von OneLogin-issuer-URL in das Feld Adresse zur IdP Metadaten-XML-Datei ein.
   

   Drücken Sie die Schaltfläche mit dem Aufwärtspfeil, um die IdP-Metadaten zu laden. Das Formular ONLYOFFICE SP-Einstellungen wird automatisch mit Ihren Daten vom OneLogin-IdP ausgefüllt.

3. Im Feld Benutzerdefinierte Beschriftung des Login-Buttons können Sie einen beliebigen Text anstelle des Standardtexts eingeben (Single Sign-on). Dieser Text wird auf der Schaltfläche angezeigt, mit der Sie sich mit dem Single Sign-On-Dienst auf der ONLYOFFICE-Authentifizierungsseite beim Portal anmelden.
   
4. Jetzt müssen Sie ein Zertifikat im Abschnitt SP-Zertifikate erstellen. Klicken Sie dazu im entsprechenden Abschnitt auf die Schaltfläche Zertifikat hinzufügen.
   
5. Klicken Sie im geöffneten modalen Fenster auf den Link Selbst-signiertes SSL-Zertifikat generieren und wählen Sie die Option zum Signieren und Verschlüsseln in der Liste Nutzen für aus. Kopieren Sie vor dem Speichern des Zertifikats den Text des öffentlichen Zertifikats in die Zwischenablage (er wird für OneLogin benötigt) und klicken Sie dann auf die Schaltfläche OK.
   
6. Sie sollten fast das gleiche Ergebnis erhalten:
   
7. Es ist nicht erforderlich, das Formular für die Attributzuordnung anzupassen, da wir beim Erstellen von OneLogin-IdP dieselben Parameter angegeben haben. Folgende Werte werden verwendet:

   First Name (Vorname)	givenName
   Last Name (Nachname)	sn
   Email (E-Mail)	mail
   Location (Standort)	l
   Title (Titel)	title
   Phone (Telefonnummer)	mobile

   Im Abschnitt Erweiterte Einstellungen können Sie die Option Authentifizierungsseite ausblenden aktivieren, um die Standardauthentifizierungsseite auszublenden und automatisch zum SSO-Dienst weiterzuleiten.

8. Klicken Sie auf die Schaltfläche Speichern. Der Abschnitt ONLYOFFICE SP-Metadata sollte geöffnet werden. Überprüfen Sie, ob unsere Einstellungen öffentlich verfügbar sind, indem Sie auf die Schaltfläche Laden Sie SP Metadaten XML herunter klicken. Der Inhalt der XML-Datei sollte angezeigt werden.
9. Kehren Sie zu OneLogin zurück, um die Verschlüsselung einzurichten, öffnen Sie Ihre Anwendung und gehen Sie zur Seite Configuration. Scrollen Sie auf der Seite nach unten. Das neue Feld SAML Encryption (SAML-Verschlüsselung) zum Eingeben eines Verschlüsselungsschlüssels sollte erscheinen. Fügen Sie den kopierten Text des öffentlichen Zertifikats aus Schritt 4 dieser Anleitung in dieses Feld ein und klicken Sie auf die Schaltfläche Save:
   

Benutzer in OneLogin erstellen und ihnen Zugriff auf ONLYOFFICE gewähren

Um Benutzer in OneLogin anzulegen und ihnen Zugang zu unserem ONLYOFFICE SP zu gewähren, führen Sie die folgenden Schritte aus:

1. öffnen Sie die OneLogin-Seite All Users (Alle Benutzer) auf und melden Sie sich als Administrator an,
   
2. erstellen Sie einen neuen Benutzer oder bearbeiten Sie einen bestehenden Benutzer,
3. öffnen Sie das Untermenü Applications (Anwendungen) und klicken Sie auf die Schaltfläche +,
4. wählen Sie unsere neu erstellte Anwendung aus der Liste aus und klicken Sie auf CONTINUE (WEITER),
   
5. fügen Sie in einem geöffneten Fenster die fehlenden Daten hinzu und klicken Sie auf die Schaltfläche SAVE (SPEICHERN),
   
6. jetzt kann der Benutzer in ONLYOFFICE SP arbeiten.

Überprüfung der Arbeit des ONLYOFFICE SP mit dem OneLogin IdP

Bei ONLYOFFICE auf der SP-Seite anmelden

1. Öffnen Sie die ONLYOFFICE-Authentifizierungsseite auf (z. B., https://myportal-address.com/Auth.aspx).
2. Klicken Sie auf die Schaltfläche Single Sign-On (die Beschriftung kann abweichen, wenn Sie bei der Konfiguration von ONLYOFFICE SP einen eigenen Text angegeben haben). Wenn die Schaltfläche fehlt, bedeutet dies, dass SSO nicht aktiviert ist.
   
3. Wenn alle SP- und IdP-Parameter richtig eingestellt sind, werden wir zum OneLogin IdP-Anmeldeformular weitergeleitet:
   
4. Geben Sie den Benutzernamen und das Kennwort des Benutzers ein, dem Zugriff auf ONLYOFFICE SP gewährt wurde, und klicken Sie auf die Schaltfläche ANMELDEN.
5. Wenn alles korrekt ist, werden wir auf die Hauptseite des Portals weitergeleitet (der Benutzer wird automatisch angelegt, wenn er fehlt, oder die Daten werden aktualisiert, wenn er im IDP geändert wird).
   

Von ONLYOFFICE SP abmelden

1. Ein SSO-Benutzer kann sich über das Menü Ausloggen vom ONLYOFFICE-Portal abmelden. Der Benutzer sollte auch automatisch vom OneLogin IdP abgemeldet werden, falls er von allen anderen Anwendungen abgemeldet ist, auf die er in OneLogin Zugriff hat und bei denen er sich zuvor angemeldet hat.
   
2. Wenn Sie sich erfolgreich abgemeldet haben, werden Sie zur Portal-Authentifizierungsseite weitergeleitet.
   
3. Wenn Sie erneut auf die Schaltfläche Single Sign-on klicken, werden Sie wieder auf die OneLogin-Anmeldeseite weitergeleitet (das bedeutet, dass Sie sich erfolgreich vom Portal abgemeldet haben):
   

Profile für Benutzer, die mit SSO-Authentifizierung hinzugefügt wurden

Die Möglichkeit, mit der SSO-Authentifizierung erstellte Benutzerprofile zu bearbeiten, ist eingeschränkt. Die vom IdP erhaltenen Benutzerprofilfelder sind zur Bearbeitung deaktiviert (d.h. First Name, Last Name, Email, Title and Location). Sie können diese Felder nur von Ihrem IdP-Konto aus bearbeiten.

Die folgende Abbildung zeigt das Aktionsmenü für einen SSO-Benutzer:

Die folgende Abbildung zeigt ein zur Bearbeitung geöffnetes SSO-Benutzerprofil:

Die mit der SSO-Authentifizierung erstellten Benutzer sind in der Benutzerliste für die Portaladministratoren mit dem SSO-Symbol gekennzeichnet: