Artículos con :
Cerrar
Changelog
Cerrar
Pruébelo en la nube
Centro de ayuda
Control Panel

Cómo configurar ONLYOFFICE SP y AD FS IdP

Control Panel v3.5 ONLYOFFICE Control Panel changelog

Version 3.5.2

Release date: 02/29/2024

General

  • Added the ability to restrict access rights to the application files for the Others group.
  • Fixed issue with redirect to the portal main page when opening Control Panel after a day on Ubuntu 22.10.
  • Fixed retrieving data error when opening the backup page.
  • Fixed issue when backup with Mail is not performed after disabling and enabling encryption (added text about stopping services and the instruction to the Help Center).
  • Fixed issue when features are not saved to the new tariff when setting a quota for the portal.
  • Edited sources build.

Version 3.5

Release date: 03/14/2023

General

  • Changed API methods for migration, implemented progressQueue.
  • Changed settings for connecting third-party storages. Added tooltips for fields. Added the 'Server Side Encryption Method' block for Amazon AWS S3.
  • Added logos for dark theme in the Branding section. Logos for the About page are now separate fields in the Advanced tab.
  • Added the ability to set the portal memory quota.

Version 3.1.1

Release date: 08/08/2022

General

  • Fixed issue with file indexing.
  • Fixed elasticsearch container errors when updating ONLYOFFICE Groups.
  • Fixed issue with brand logos after updating in the Docker installation.
  • Fixed texts and layout for the Migration feature.

Version 3.1

Release date: 05/25/2022

General

  • Added the Data Import page that allows to import data from Nextcloud, ownCloud and GoogleWorkspace to ONLYOFFICE Workspace.
  • Moved Elasticsearch to a separate container.
  • Fixed bugs.

Version 3.0

Release date: 06/07/2021

Update

  • License agreement dialog when installing docker components added.
  • The inactive button with an action for uninstalled components (downloading and installing the available version) fixed.

Search

  • Indexing progress display added.

LoginHistory and AuditTrail

  • New empty screens added.

Restore

  • New checks when restoring data from a local or a 3rd party storage.

SSO

  • SSOAuth was removed from Control Panel. It's now available as a portal setting in Community Server.

General improvements and bug fixes

  • Bugs 47721, 49101, 49187, 49273, 49272, 49324, 46386, 49585 from the internal bugtracker fixed.
  • 3rd party licenses and copyright updated.

Version 2.9.1

Release date: 12/10/2020

Bug fixes

  • Bug Fixes & Performance Improvements.

Version 2.9

Release date: 10/14/2020

General

  • Control Panel is available in the free Community version with all settings excepting the editors logo replacement;
  • Added the vsyscall check to the installation scripts when installing Mail Server on Debian with kernel 4.18.0 and later;
  • Redesign of the navigation menu: added Common and Portal settings sections, added icons to menu items;
  • Added the advanced rebranding page in the Common Settings;
  • Added the possibility to reindex the full-text search;
  • Updated node.js, updated packages (transition to samlify for SSO);
  • Added the Encryption at rest block in the Storage section;
  • Added the Private Room section for the server version only;
  • Added the upgrade page with a proposal to upgrade to Enterprise Edition;
  • Added the activate page with a possibility to upload a license file;
  • Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

LDAP

  • Added the Sign in to domain option on the authorization page.

Single Sign-on

  • Transition to the new samlify library;
  • Added the HideAuthPage option to the SSO settings to hide the authorization page. When the HideAuthPage option is enabled, an automatic redirect from the authorization page to the SSO service will occur.

Version 2.7

Release date: 04/25/2019

LDAP

  • Added more fields mapped for the users loaded via LDAP: user photo, birthday, contacts, primary phone number;
  • Added the setting to autosync LDAP on schedule;
  • Added the possibility to give administrator rights to the user group at the portal via LDAP;
  • Updated the rules for LDAP users.

Version 2.5.1

Release date: 04/07/2018

LDAP

  • Fixed the Server internal error error when using the groups enclosed inside each other in the AD (bug #37414).

Single Sign-on

  • Fixed the issue when the user data between the Service Provider and the portal was transferred via HTTP only, even when HTTPS was enabled.

Version 2.4.0

Release date: 01/13/2018

Single Sign-on

  • Fixed the Invalid ssoConfig error which occurred when the link to the IdP contained the question mark '?', e.g.: IdP Single Sign-On Endpoint URL: https://accounts.google.com/o/saml2/idp?idpid=777777;
  • Fixed the Invalid authentication token error which prevented from adding a user to the portal using the AD FS, in case the + or - characters were present when sending the encrypted data.

Version 2.3.0

Release date: 12/15/2017

General

  • Added the changelog for Control Panel and link to it;
  • Fixed the bug when JWT parameters were not sent when updating Document Server(bug #36270);
  • Fixed the bug when Audit Trail heading was present at the login history page (bug #36026);
  • The current machine is now checked for being linked with the domain name for multiple portals.

LDAP

  • Fixed the bug with the LDAP Domain not found error which occurred if the DN record had no DC records (the users with Sun/Oracle DS were affected); now if the LDAP domain could not be specified, the LDAP domain will acquire the unknown value or the ldap.domain value from the web.appsettings.config configuration file;
  • Fixed the bug with the Sizelimit Exceeded error when trying to get more than 1000 users from the Active Directory;
  • Increased the login speed with the Group Membership setting enabled;
  • Added additional logging;
  • Fixed the bug with LDAP operation hanging when using Mono v5.2.0 and older;
  • Fixed the bug with the error when trying to login using the email address entered in the fields different from the Mail Attribute;
  • Fixed the bug occurring in the enclosed groups, when the users were displayed not in all groups.

Version 2.2.0

Release date: 10/31/2017

General

  • Added the documentserver-prepare4shutdown.sh script launch when updating the document-server for the correct edited document saving.

LDAP

  • Dramatically changed LDAP integration, migrated to the single library for the work with LDAP (Novell.Directory.Ldap.NETStandard, Nuget, MIT);
  • Login and email are now split into two separate fields;
  • Added the support for big data;
  • Increased the work speed via the LDAP protocol (the connection to the server and receiving the data is now made once per session, added the limits when only a certain number of results is necessary, fixed the slow login for bit data, removed the sorting out used to find the SID parameter);
  • Fixed the user re-creation issue;
  • Fixed the duplicate username issue;
  • Fixed the already existing email issue;
  • Replaced the LDAP user deletion with account deactivation (for further data migration and data safety);
  • Instead of re-creating a user with an unknown SID but an existing email the data is updated;
  • Added the attempt to save the correct UserName/Login in case a similar one is already taken on the portal.

Single Sign-on

  • Added the AD FS support;
  • Replaced the Single Sign-on link at the authorization page with the customizable button, added the button customization to the SSO setting of the Control Panel.

Version 2.1.0

Release date: 07/03/2017

HTTPS

  • Added the support of letsencrypt service for the domain certificate generation.

Single Sign-on

  • Added the new sso.auth service;
  • Added the new SSO settings page;
  • Added the support for Shibboleth.

Version 2.0.0

Release date: 05/25/2017

General

  • The Control Panel migrated from MVC to Node.js.

Version 1.6.0

Release date: 12/05/2016

LDAP

  • Added LDAP synchronization for users and groups when saving the settings, after login and using the Sync button;
  • Changed email formation for LDAP users;
  • Fixed the problem of creation of users with invalid emails;
  • Fixed the problem of duplicate users;
  • Added icons and hints to the users in the list for the admin;
  • Blocked for editing the user profile fields imported using LDAP;
  • Added the real LDAP password saving to the database during login in case LDAP Auth is disabled, now the LDAP users will become common portal users when LDAP Auth is disabled;
  • Added new API Settings method - Sync LDAP;
  • Added new translations;
  • Bug fixes.

Version for Windows

  • Made changes at the Update page for the Control Panel for Windows;
  • Updates are performed using the downloaded installation packages for each module.
  • The current installed component version numbers are obtained via API request to the Community Server.
  • The new versions available for download are obtained via the request to the https://download.onlyoffice.com/install/windows/updates.txt file, where all the latest component version numbers and links for their download are stored in the JSON format.

Introducción

Single Sign-on (SSO) es una tecnología que permite a los usuarios ingresar sólo una vez y luego obtener acceso a múltiples aplicaciones/servicios sin re-autenticación.

Si un portal web incluye varias secciones amplias e independientes (foro, chat, blogs etc.), un usuario puede someterse a un procedimiento de autenticación en uno de los servicios y automáticamente obtener acceso a todos los demás servicios sin tener que ingresar las credenciales varias veces.

SSO es siempre una operación conjunta de dos aplicaciones: un Proveedor de Identidad y un Proveedor de Servicios (en lo sucesivo denominados "IdP" y "SP"). ONLYOFFICE SSO aplica sólo SP. Diferentes proveedores pueden actuar como IdP, pero este artículo considera la implementación de Active Directory Federation Services (AD FS).

Requisitos del sistema

Los requisitos del sistema incluyen el siguiente software que ha sido probado y funciona correctamente con ONLYOFFICE SSO:

  • Windows Server 2008 R2, Windows Server 2016;
  • AD FS versión 3.0 o una versión posterior.

Preparación de ONLYOFFICE Workspace para configurar SSO

  1. Instale ONLYOFFICE Workspace v9.5 para Docker o cualquier versión posterior con el soporte de SSO.
  2. Añada un nombre del dominio, por ejemplo, myportal-address.com.
  3. En su portal vaya al Panel de Control -> HTTPS, cree y aplique el certificado letsencrypt para la encriptación del tráfico (para activar HTTPS en su portal).

Preparación de AD FS para configurar SSO

  1. Instale la última versión de AD DS (Active Directory Domain Service) con todas las actualizaciones oficiales y correcciones.
  2. Instale la última versión de AD FS con todas las actualizaciones oficiales y correcciones.
    Para desplegar AD FS desde cero Usted puede usar las siguientes instrucciones.
  3. Verifique que el enlace a los metadatos de AD FS está disponible al público. Para hacerlo,
    1. En el Administrador del servidor abra Tools (Herramientas) -> AD FS Management (Gestión de AD FS),
    2. Vaya a AD FS \ Service \ Endpoints (AD FS \ Servicio \ Puntos finales),
    3. Encuentre la fila con el tipo Federation Metadata (Metadatos de federación) en la tabla. El enlace a los metadatos IdP se construye con arreglo al esquema siguiente:
      https://{ad-fs-domain}/{path-to-FederationMetadata.xml}
      How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP

      Como alternativa, Usted puede usar el comando siguiente PowerShell:

      PS C:\Users\Administrator> (Get-ADFSEndpoint | Where {$_.Protocol -eq "FederationMetadata" -or $_.Protocol -eq "Federation Metadata"}).FullUrl.ToString()

      Como resultado Usted debe recibir un enlace que tiene el siguiente aspecto:

      https://onlyofficevm.northeurope.cloudapp.azure.com/FederationMetadata/2007-06/FederationMetadata.xml
    4. Para verificar que AD FS se ha iniciado correctamente abra el enlace recibido en un navegador web. El xml debe ser mostrado o descargado. Copie el enlace al archivo xml de metadatos: será necesario en el próximo paso.

Configuración de ONLYOFFICE SP

  1. Asegúrese de que se ha registrado como Administrador en el Panel de Control de ONLYOFFICE y haga clic en la pestaña SSO.
    Usted puede registrar sólo un proveedor de identidad corporativo para su organización en el portal ONLYOFFICE.
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  2. Active SSO usando el conmutador Activar Autenticación Single Sign-on y pegue el enlace copiado del AD FS en el campo URL al XML Metadatos Idp.
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP

    Pulse el botón con la flecha hacia arriba para cargar los metadatos IdP. El formulario Ajustes de ONLYOFFICE SP se llenará automáticamente con sus datos del AD FS IdP.

  3. En el campo Texto personalizado para botón de acceso Usted puede introducir cualquier texto en vez del estándar (Single Sign-on). Este texto se mostrará en el botón usado para acceso al portal con el servicio Single Sign-on en la página de autenticación de ONLYOFFICE.
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  4. En el selector Formato del NameID elija el siguiente valor: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress.
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  5. En la sección Certificados Públicos de IdP \ Ajustes avanzados desmarque la opción Verificar firma de respuestas de cierre de sesión, porque AD FS no lo requiere de forma predeterminada.
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  6. Ahora necesita añadir certificados a la sección Certificados de SP. Usted puede generar certificados autofirmados o añadir otros certificados.
    en la ventana Nuevos Certificados mueva el selector Usar para a la opción signing and encrypt, porque AD FS IdP se configura automáticamente para verificar firmas digitales y cifrar datos.
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP

    Usted debe lograr casi el mismo resultado:

    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  7. En la sección Certificados de SP \ Ajustes avanzados desmarque la casilla Firmar respuestas de cierre de sesión, porque AD FS no lo requiere de forma predeterminada.
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
    No es necesario ajustar el formulario Mapeo de atributos, porque configuraremos estos parámetros en el AD FS IdP más tarde.
  8. Haga clic en el botón Guardar. La sección Metadatos de ONLYOFFICE SP debe abrirse.
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP

    Verifique que nuestros ajustes están disponibles al público pulsando el botón Descargar XML de Metadatos de SP. El contenido del archivo XML debe ser mostrado.

  9. Copie el enlace a los metadatos de ONLYOFFICE SP del campo ID de Entidad de SP (enlace al XML con metadatos) y vaya a la máquina donde AD FS está instalado.
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP

Configuración de AD FS IdP

  1. En el Administrador del servidor abra Tools (Herramientas) -> AD FS Management (Gestión de AD FS),
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  2. En el panel AD FS Management (Gestión de AD FS) seleccione la opción Trust Relationships > Relying Party Trusts (Relaciones de confianza > Usuario de confianza). Haga clic en la opción Add Relying Party Trust... (Agregar confianza) a la derecha. Se abrirá Add Relying Party Trust Wizard (la página de bienvenida),
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  3. En la página de bienvenida seleccione el botón de opción Import data about the relying party published online or on a local network (Importar datos acerca del usuario de confianza publicados en línea o en una red local), pegue el enlace previamente copiado a los metadatos de ONLYOFFICE SP en el campo Federation metadata address (host name or URL) (Dirección de metadatos de federación (el nombre del host o URL)) y haga clic en el botón Next (Siguiente),
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  4. En el campo Display name (Mostrar nombre) especifique cualquier nombre y haga clic en el botón Next (Siguiente),
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  5. Seleccione la opción I do not want to configure multi-factor authentication settings for this relying party trust at this time (No quiero configurar los ajustes de autenticación multi-factorial para este usuario de confianza en ese momento) y haga clic en el botón Next (Siguiente),
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  6. Seleccione la opción Permit all users to access this relying party (Permitir acceso a este usuario de confianza a todos los usuarios) y haga clic en el botón Next (Siguiente),
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  7. Verifique los ajustes resultantes y haga clic en el botón Next (Siguiente),
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  8. Deje la opción predeterminada sin cambios y haga clic en el botón Close (Cerrar),
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  9. Se abrirá nueva ventana. En la pestaña Issuance Transform Rules (Reglas de conversión de emisión) haga clic en el botón Add Rule... (Añadir regla...),
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  10. Seleccione la opción Send LDAP Attributes as Claims (Enviar atributos LDAP como aprobaciones) de la lista Claim rule template (Plantilla de la regla de aprobación) y haga clic en el botón Next (Siguiente),
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  11. Indique cualquier nombre en el campo Claim rule name (Nombre de la regla de aprobación). Seleccione la opción Active Directory (Directorio Activo) de la lista Attribute store (Almacenamiento de atributos) y complete el formulario Mapping of LDAP attributes to outgoing claim types (Mapeo de atributos LDAP según los tipos de aprobaciones salientes) de acuerdo a la tabla siguiente. Cuando todo está listo, pulse el botón Finish (Finalizar).
    LDAP Attribute/Atributo LDAP (Seleccione o escriba para añadir más) Outgoing Claim Type/Tipo de aprobación saliente (Seleccione o escriba para añadir más)
    Given-Name givenName
    Surname sn
    E-Mail-Addresses mail
    Telephone-Number mobile
    Title title
    physicalDeliveryOfficeName l
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  12. En la ventana Edit Claim Rules (Editar reglas de aprobación) haga clic en el botón Add Rule... (Añadir regla...) de nuevo, seleccione la opción Transform an Incoming Claim (Convertir una aprobación entrante) de la lista Claim rule template (Plantilla de la regla de aprobación) y haga clic en el botón Next (Siguiente),
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  13. Indique cualquier nombre en el campo Claim rule name (Nombre de la regla de aprobación) y seleccione las siguientes opciones de las listas:
    • Incoming claim type: (Tipo de aprobación entrante) mail,
    • Outgoing claim type: (Tipo de aprobación saliente) Name ID,
    • Outgoing name ID format: (Formato ID del nombre saliente) Email
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP

    Cuando todo está listo, haga clic en el botón Finish (Finalizar).

    Usted debe lograr casi el mismo resultado:

    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP

    Si logout (cierre de sesión) del AD FS no funciona, se recomienda añadir Custom Claim Rule (Regla personalizada de aprobación) reemplazando {portal-domain} por su dominio SP y cambiando {ad-fs-domain} a su dominio IdP:

    c:[Type == "mail"]
     => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Issuer = c.Issuer, OriginalIssuer = c.OriginalIssuer, Value = c.Value, ValueType = c.ValueType, Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/format"] = "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/namequalifier"] = "http://{ad-fs-domain}/adfs/services/trust", Properties["http://schemas.xmlsoap.org/ws/2005/05/identity/claimproperties/spnamequalifier"] = "https://{portal-domain}/sso/metadata");
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  14. Pulse el botón OK,
  15. Para que SSO pueda funcionar de la intranet Usted necesita activar la opción Forms Authentication (Formularios de Autenticación) en la ventana Edit Global Authentication Policy (Editar política de autenticación global) (menú contextual AD FS / Authentication Policies (AD FS / Políticas de Autenticación)),
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  16. Abra las propiedades del usuario de confianza creado y cambie a la pestaña Advanced (Ajustes avanzados),
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP

    Seleccione la opción SHA-1 en la lista Secure hash algorithm (Algoritmo SHA).

    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP

Verificación del funcionamiento de ONLYOFFICE SP con AD FS IdP

Acceso al ONLYOFFICE en el lado de SP
  1. Vaya a la página de autenticación de ONLYOFFICE (por ejemplo, https://myportal-address.com/auth.aspx).
  2. Haga clic en el botón Single sign-on (el nombre del botón puede variar si Usted ha especificado su propio texto al configurar ONLYOFFICE SP). Si el botón está desaparecido, esto significa que SSO no está activado.
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  3. Si todos los parámetros de SP y IdP están correctamente configurados, nos redirigirá al formulario de acceso en AD FS IdP:
    How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
  4. Introduzca el login y la contraseña de la cuenta en AD FS IdP y pulse el botón Sign in (Acceso).
  5. Si las credenciales son correctas, nos redirigirá a la página principal del portal (si no hay tal usuario en el portal, él se creará automáticamente, o si los datos han sido modificados en el IDP, ellos se actualizarán).
Perfiles de usuarios añadidos con autenticación SSO

La posibilidad de editar perfiles de usuarios creados usando la autenticación SSO está restringida. Los campos del perfil de usuario recibidos del IdP están desactivados para edición (como Nombre, Apellido, Correo, Posición y Ubicación). Usted puede editar estos campos sólo en su cuenta IdP.

La imagen debajo muestra el menú "Acciones" para un usuario SSO:

How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP

La imagen siguiente muestra el perfil de un usuario SSO abierto para edición:

How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP

Los usuarios creados usando la autenticación SSO están marcados con el icono SSO en la lista de usuarios para los administradores del portal:

How to configure ONLYOFFICE SP and AD FS IdP How to configure ONLYOFFICE SP and AD FS IdP
Download Host on your own server Available for
Docker, Windows and Linux
También le podría gustar:
Cerrar