Activer l'authentification unique (SSO) dans DocSpace

Introduction

La section Authentification unique permet d'activer les services d'authentification tiers en utilisant le protocole SAML pour un accès rapide, facile et sécurisé pour les utilisateurs de l'espace DocSpace.

C'est une option Payante (disponible uniquement pour le plan payant Business).

En général, Authentification unique (SSO) est la fonction qui permet aux utilisateurs de s'authentifier une seule fois et d'obtenir accès à plusieurs applications/services autorisés sans contrainte de renseigner à nouveau les informations d'identification. Par ex., quand un portail web comprend plusieurs sections indépendantes (forum, chat, blogue etc.), une fois connecté à un service, l'utilisateur est automatiquement connecté aux autres et n'a plus besoin de se connecter aux différentes applications une par une.

1. Utilisez le menu dans le coin inférieur gauche et sélectionnez l'option Paramètres.
2. Dans la section Paramètres DocSpace, accédez à la section Intégration de gauche.
3. Passez à l'onglet Authentification unique.
4. Activez l'option Activer l'authentification unique.
5. Dans la section Paramètres du fournisseur de service ONLYOFFICE, cliquez sur Afficher et remplissez les champs obligatoires. Il est possible de fournir les informations obligatoires de différentes façons:
   • Saisissez l'adresse URL vers le fichier de métadonnées. S'il est possible d'accéder aux métadonnées du fournisseur d'identité de l'extérieur, insérez le lien dans le champ L'URL vers le fichier XML de métadonnées et cliquez sur le bouton pour charger des données. Une fois les données chargés, tous les champs obligatoires du formulaire étendu seront remplis automatiquement.
   • Charger un fichier de métadonnées. Si votre fournisseur d'identité met à la disposition un fichier de métadonnées, utilisez le bouton Sélectionner fichier pour rechercher le fichier sur votre disque local. Une fois le fichier chargé, tous les champs obligatoires du formulaire étendu seront remplis automatiquement.
   • Configurer les paramètres manuellement. Si aucun fichier de métadonnées n'est disponible, configurez les paramètres manuellement. Veuillez contacter l'administrateur du fournisseur d'identité pour obtenir tous les données nécessaires.

Les paramètres disponibles:

• ID d'entité du fournisseur d'identités (champ obligatoire) - l'identifiant ou l'adresse URL du fournisseur d'identité que le fournisseur de service va utiliser pour identifier le fournisseur d'identité sans équivoque.
  https://example.com/idp/shibboleth

  où, example.com est le nom de domaine de votre service d'authentification unique

• URL du point de terminaison d'authentification unique IdP (champ obligatoire) - l'URL qui est utilisé pour l'authentification unique sur le côté du fournisseur d'identité. C'est l'adresse de terminaison du fournisseur d'identité à laquelle le fournisseur de service envoie les requêtes d'authentification.

  Sélectionnez le type de Liaison en cochant le bouton radio approprié. Liaison détermine le méthode de requête d'authentification et de réponse entre le fournisseur d'identité et le fournisseur de service via le protocole de transport utilisé: HTTP POST ou HTTP Rediriger.

• URL du point de terminaison de déconnexion unique IdP - l'URL qui est utilisé pour une déconnexion unique sur le côté du fournisseur de service. C'est l'adresse de terminaison du fournisseur d'identité à laquelle le fournisseur de service envoie les requêtes/réponses de déconnexion.

  Sélectionnez le type de Liaison en cochant le bouton radio approprié. Liaison détermine le méthode de requête de déconnexion et de réponse entre le fournisseur d'identité et le fournisseur de service via le protocole de transport utilisé: HTTP POST ou HTTP Rediriger.

• Format de NameID - le paramètre NameID permet d'identifier l'utilisateur au fournisseur de service. Sélectionnez le format approprié de la liste des formats prédéfinis.

Vous pouvez également ajouter les certificats publics du fournisseur d'identités et du fournisseur de service.

Certificats publics du fournisseur d'identités

Certificats publics du fournisseur d'identités cette section permet d'ajouter les certificats publics du fournisseur d'identité qui sont utilisés par le fournisseur de service pour vérifier les requêtes et les réponses envoyées par le fournisseur d'identité.

Une fois les métadonnées du fournisseur d'identité téléchargés, ces certificats seront ajoutés automatiquement à votre espace DocSpace. Sinon, vous pouvez retrouver les certificats sur votre compte chez fournisseur d'identité. Pour ajouter un certificat manuellement, cliquez sur le bouton Ajouter un certificat. La fenêtre Nouveau certificat s'affiche. Saisissez le certificat dans le champ Certificat public et cliquez sur OK.

Activez les options appropriées pour paramétrer les certificats.

Définissez les signatures de requêtes/réponses que le fournisseur d'identité envoie au fournisseur de service à vérifier.

• Vérifier la signature des réponses d'authentification - pour vérifier les signatures des réponses d'authentification SAML envoyées au fournisseur de service.
• Vérifier la signature des demandes de déconnexion - pour vérifier les signatures des demandes de déconnexion SAML envoyées au fournisseur de service.
• Vérifier les réponses de la signature de déconnexion - pour vérifier les signatures des réponses de déconnexion SAML envoyées au fournisseur de service.

Sélectionnez l'algorithme approprié de la liste Algorithme de la vérification de signature par défaut: rsa-sha1, rsa-sha256 or rsa-sha512.

Vous pouvez modifier ou supprimer les certificats ajoutés en utilisant les options appropriées.

Certificats publics du fournisseur de service

Certificats publics du fournisseur de service cette section permet d'ajouter les certificats publics qui sont utilisés pour signer et chiffrer les requêtes et les réponses du fournisseur de service.

Si votre fournisseur d'identité exige que des données d'entrée soient signés et/ou chiffrés, créez ou ajoutez les certificats appropriés depuis cette section.

Cliquez sur le bouton Ajouter un certificat. La fenêtre Nouveau certificat s'affiche. Vous pouvez générer un nouveau certificat auto-signé ou ajouté un certificat existant dans le champ Certificat public et la clé privée dans le champ Clé privée. Dans la liste déroulante Utiliser pour, sélectionnez l'une des options disponibles: signer, chiffrer, signer et chiffrer. Une fois que vous avez terminé, cliquez sur OK.

Les paramètres supplémentaires qui sont définis pendant le téléchargement/la génération du certificat dépendent du but que vous choisissez de la liste Utiliser pour. Les options ci-dessous sont utilisées pour définir les requêtes/réponses qui sont envoyées par le fournisseur de service au fournisseur d'identité à signer:

• Signer la demande de connexion - sert à obliger le fournisseur de service à signer la demande de connexion SAML envoyée au fournisseur d'identité.
• Signer la demande de déconnexion - sert à obliger le fournisseur de service à signer la demande de déconnexion SAML envoyée au fournisseur d'identité.
• Signer les réponses de fermeture de session - sert à obliger le fournisseur de service à signer les réponses de fermeture de session SAML envoyées au fournisseur d'identité.

Si vous avez sélectionné les options chiffrer ou signer et chiffrer dans la liste Utiliser pour, l'option Déchiffrer les assertions est également activée. La Clé privée appropriée est utilisée pour le déchiffrement.

Sélectionnez les algorithmes appropriés dans la liste:

• Algorithme de signature: rsa-sha1, rsa-sha256 or rsa-sha512.
• Algorithme de déchiffrement par défaut aes128-cbc, aes256-cbc or tripledes-cbc.

Vous pouvez modifier ou supprimer les certificats ajoutés en utilisant les options appropriées.

Mappage d'attributs

Mappage d'attributs - cette section permet de synchroniser les champs de la section Comptes avec les attributs renvoyés par le fournisseur d'identité. Lorsque l'utilisateur se connecte au fournisseur de service ONLYOFFICE en utilisant les informations d'identification SSO, le fournisseur de service ONLYOFFICE reçoit des attributs et remplit les champs Nom complet et Adresse email selon des renseignements fournis par le fournisseur d'identité. Si le profil utilisateur est manquant dans la section Comptes, ce-ci sera crée automatiquement. Une fois modifiés dans le système du fournisseur d'identité, les données d'utilisateur seront automatiquement mises à jour dans le système du fournisseur de service.

Les attributs disponibles sont les suivantes:

• Prénom (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant au prénom d'utilisateur.
• Nom (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant au nom d'utilisateur.
• Email (champ obligatoire) - l'attribut de la fiche d'utilisateur correspondant à l'adresse e-mail d'utilisateur.

Paramètres avancés

L'option Masquer la page d'authentification permet de masquer la page d'authentification par défaut et rediriger vers le service d'authentification unique.

Une fois votre DocSpace paramétré, cliquez sur Enregistrer. La section Les métadonnées du fournisseur de service ONLYOFFICE s'affiche.

Enregistrer ONLYOFFICE en tant que fournisseur de service fiable.

Maintenant, il faut ajouter ONLYOFFICE en tant que fournisseur de service fiable depuis votre compte chez fournisseur d'identifiant en fournissant les métadonnées du fournisseur de service ONLYOFFICE à votre fournisseur d'identifiant.

Pour obtenir les informations nécessaires, veuillez consultez la section Les métadonnées du fournisseur de service ONLYOFFICE sur la page Authentification unique. Vérifiez si les données du fournisseur de service sont rendues publiques. Pour ce faire, cliquez sur le bouton Télécharger le fichier XML des métadonnées du fournisseur de service. Le contenu du fichier s'affiche dans un onglet de navigateur. Sauvegardez les données en tant qu'un fichier XML afin de le télécharger à votre fournisseur d'identifiant.

Vous pouvez également copier les paramètres appropriés manuellement en cliquant sur le bouton dans les champs appropriés.

Les paramètres disponibles:

• ID d'entité du fournisseur de service (lien vers le fichier XML des métadonnées) - l'adresse URL du fichier XML du fournisseur de service afin que le fournisseur d'identité puisse identifier sans équivoque le fournisseur de service. Par défaut, l'adresse de fichier est comme suit: http://example.com/sso/metadata où example.com est le nom de domaine de votre espace DocSpace ONLYOFFICE ou l'adresse IP publique.
• URL du service d'assertion ACS du fournisseur de service (support du POST et redirection de liaison) - l'adresse URL de réception et traitement des assertions envoyées par le fournisseur d'identité. L'adresse par défaut est: http://example.com/sso/acs où example.com est le nom de domaine de votre espace ONLYOFFICE DocSpace ou l'adresse IP publique.
• URL d'une déconnexion unique du fournisseur de service (support de POST et de liaison de redirection) - l'URL qui est utilisé pour une déconnexion unique sur le côté du fournisseur d'identité. C'est l'adresse de terminaison du fournisseur de service à laquelle le fournisseur d'identité envoie les requêtes/réponses de déconnexion. L'adresse par défaut est: http://example.com/sso/slo/callbackoù example.com est le nom de domaine de votre espace DocSpace ONLYOFFICE ou l'adresse IP publique.

Se connecter au fournisseur de service ONLYOFFICE

Une fois l'authentification unique activé et paramétré, la connexion se fait comme suit:

1. L'utilisateur demande accès à ONLYOFFICE en cliquant sur le bouton Authentification unique (le texte sur le bouton peut différer si vous avez personnalisé le bouton pendant la configuration du fournisseur de service ONLYOFFICE) sur la page d'authentification de l'espace ONLYOFFICE DocSpace (authentification unique initié par le fournisseur de service).
2. Si le fournisseur d'identité et le fournisseur de service sont paramétrés correctement, ONLYOFFICE envoie la requête d'authentification au fournisseur d'identité et redirige l'utilisateur vers la page du fournisseur d'identité où il faut saisir ses informations d'identification.
3. Si l'utilisateur n'est pas encore connecté au fournisseur d'identité, il faut saisir ses informations d'identification chez fournisseur d'identité.
4. Le fournisseur d'identité crée la requête d'authentification comportant les données d'utilisateur et l'envoie à ONLYOFFICE.
5. ONLYOFFICE reçoit la réponse d'authentification du fournisseur d'identité et la valide.
6. Une fois la réponse validé, ONLYOFFICE autorise l'utilisateur à se connecter (l'utilisateur manquant est créé automatiquement, ou les données sont mis à jour si le fournisseur d'identité a apporté des modifications).

Il est aussi possible de se connecter sur la page d'authentification du fournisseur d'identité (authentification unique initié par le fournisseur d'identité), saisir les information d'authentification et ensuite accéder à l'espace ONLYOFFICE DocSpace sans avoir besoin de renseigner à nouveau l'identifiant et le mot de passe.

Se déconnecter du fournisseur de service ONLYOFFICE

Il y a deux façons de se déconnecter:

1. Depuis l'espace ONLYOFFICE DocSpace en utilisant le menu Déconnexion (dans ce cas la requête de déconnexion est envoyé par le fournisseur d'identité). L'utilisateur sera déconnecté automatiquement du fournisseur d'identité lorsqu'il est déconnecté de toutes les applications déjà accédées via l'authentification unique.
2. Depuis la page de déconnexion du fournisseur d'identité.

Modifier les profils utilisateur créés via l'authentification unique

Les profils des utilisateurs qui sont créés via l'authentification unique seront marqués par l'icône SSO dans la liste des utilisateurs pour l'administrateur DocSpace.

La possibilité de modifier tels profils dans le module Comptes est limitée. Les champs du profil utilisateur qui étaient remplis en utilisant l'authentification unique sont désactivés et on ne peut pas les modifier depuis le module Comptes. On peut modifier les données d'utilisateur uniquement sur le côté du fournisseur d'identité.