Configuration de l'authentification unique

Aujourd'hui nous ne pouvons pas nous imaginer notre vie sans réseaux sociaux, services de messagerie électronique, blogs et forums. C'est-à-dire nous avons toujours besoin de garder dans le mémoire un grand nombre de noms d'utilisateurs et de mots de passe. Difficile ? Oui. C'est pourquoi office en ligne vous donne la possibilité d'activer l'option d'Autentification unique. Dès le maintenant vous n'avez plus besoin d'entrer vos données d'indintification chaque fois quand vous vous connectez au portail !

Ce ne sont que les propriétaires du portail et les administrateurs dotés des droits d'accès complèt qui peuvent activer / désactiver cette option.

Ne savez pas comment activer et configurer l'autentification unique pour votre portail ? Lisez cet article pour apprendre à le faire !

Instructions à suivre

Fournisseur d'identité et Fournisseur de service jouent un rôle indispensable dans l'authentification unique. C'est pourquoi il est nécessaire de configurer les deux services pour un travail correct de l'authentification unique. Un Fournisseur d'identité est un service qui crée, maintient et gère l'information d'identité d'utilisateur et fournit l'authentification aux autres fournisseurs de service au sein d'une fédération. Les services tels que OneLogin, ADFS etc. agissent comme les fournisseurs d'identité. Un Fournisseur de service est une entité qui fournit des services Web et repose sur un fournisseur d'identité approuvé pour l'authentification d'utilisateurs (le fournisseur de service est office en ligne). Suivez les instructions ci-après pour configurer le Fournisseur de service.

Contrôlez les paramètres de configuration Fournisseur d'identité avant de configurer le Fournisseur de service.

Passez à la section Paramètres. Pour le faire, cliquez sur l'icône " /> dans le coin supérieur droit.
Ouvrez la section Sécurité.
Passez à l'onglet Accès au portail.
Cochez la case Activer l'authentification unique sous la légende Authentification unique.
Choisissez le Type d'authentification unique.
ONLYOFFICE prend en charge deux types d'authentification unique :
- SAML (Security Assertion Markup Language ou Langage de balisage d'assertion de sécurité en français) est un standard XML qui permet de transférer les données d'authentification / autorisation entre un fournisseur d'identité et un fournisseur de service par un jeton de sécurité qui contient des assertions.
- JWT (JSON Web Token) est un jeton de sécurité qui permet de transférer les données d'authentification / autorisation par URL en utilisant le format JSON et les signatures digitales.
Le Type d'authentification unique aussi bien que toutes les informations nécessaires pour remplir la page 'Authentification unique' dépendent du fournisseur d'identité choisi et sont indiqués sur sa page de configuration.
Entrez l'URL de l'émetteur.
L'URL de l'émetteur identifie le fournisseur du compte d'utilisateur. Elle est utilisée pour la validation de la signature de la réponse SAML ou du jeton JWT.
Remplissez le champ URL de point de terminaison SSO.
Si l'authentification unique est initialisée du côté du fournisseur de service, on effectue la redirection à l'URL spécifiée.
Remplissez le champ URL de point de terminaison SLO.
C'est un champ optionnel. Si vous le remplissez, chaque fois que vous vous connectez au portail, vous serez redirigé à l'URL spécifiée.
Choisissez le Type de validation de la signature.
Si vous choisissez l'option JWT de la liste Type d'authentification unique, vous aurez besoin de sélectionner le type de validation de la signature du jeton valide : clé de certificat X.509 ouvert, clé de l'algorithme asymétrique publique RSA SHA-256 ou clé de l'algorithme symétrique privée HMAC SHA-256. Si vous choisissez l'option SAML, le Type de validation de la signature doit être défini pour X.509.
Entrez la clé spécifiée au-dessus du champ Clé.
Cliquez sur le bouton Enregistrer.

C'est tout ! Après l'activation de l'authentification unique, les utilisateurs peuvent cliquer sur le lien Authentification unique au-dessous du bouton Connexion sur la page d'autorisation, ou utiliser la page d'authentification unique du côté du fournisseur d'identité.

Cliquez pour afficher un exemple de la configuration (ADFS 2.0 et office en ligne)

Installez la version ADFS avec toutes les dernières mises à jour et bogues corrigées.
Sur le panneau de contrôle ADFS choisissez Trust Relationships (Relations d'approbation) > Relying Party Trust (Approbation de la partie de confiance) et ajoutez Relying Party Trust (Approbation de la partie de confiance).
Dans la fenêtre ouverte sélectionnez Enter the data about relying party manually (Entrez les données sur la partie de confiance à la main) et cliquez sur le bouton Next (Avant).
Dans le champ Display name (Nom affiché) saisissez le nom désiré et cliquez sur le bouton Next (Avant).
Choisissez l'option ADFS 2.0 Profile (Profil ADFS 2.0) et cliquez sur le bouton Next (Avant).
Sautez l'étape suivante et cliquez sur le bouton Next (Avant).
Cochez la case Enable support for the SAML 2.0 WebSSO protocol (Activez la prise en charge du protocole SAML 2.0 WebSSO) et entrez URL: https://@@@/samllogin.ashx/ dans le champ Relying party SAML 2.0 SSO service URL (URL du service SSO de la partie de confiance SAML 2.0), où @@@ est le nom DNS du portail, par exemple : https://test.onlyoffice.com/samllogin.ashx/. Cliquez sur le bouton Next (Avant).
Saisissez https://@@@/samllogin.ashx dans le champ Relying Party Trust Identifier URL (URL de l'identificateur de la partie de confiance).
Choisissez l'option nécessaire et cliquez sur le bouton Next (Avant).
Cliquez sur le bouton Finish (Fini).
Ouvrez les paramètres de la partie de confiance créée, cliquez sur l'onglet Advanced (Avancé) et choisissez l'option SHA-1 dans Secure hash algorithm (Algorithme de hachage sécurisé).
Cliquez sur l'onglet Signature et ajoutez un certificat qui signe les demandes SAML à ADFS, ensuite cliquez sur le bouton OK.
Cliquez avec le bouton droit sur la partie de confiance créée et choisissez Edit claims rules (Modifier les règles de revendication).
Dans l'onglet Issuance transform rules (Règles de transformation d'émission) ajoutez une nouvelle règle en indiquant les champs à transférer vers le jeton, cliquez sur le bouton OK.

Configurez Authentification unique sur votre portail en utilisant l'information ADFS.

Type d'authentification unique - SAML
URL de l'émetteur - http://@@@/adfs/services/trust
URL de point de terminaison SSO - https://@@@/adfs/ls/
URL de point de terminaison SLO (optionnel) - https://@@@/adfs/ls/?wa=wsignout1.0
Où @@@ est le nom DNS de votre serveur ADFS
Type de validation de la signature - X.509
Entrez la Clé dans le champ correspondant
Pour trouver la clé suivez ADFS control panel - Service > Certificates > Token-signing (Panneau de cotrôle ADFS - Service > Certificats > Signature de jetons), cliquez avec le bouton droit et choisissez View certificate... (Afficher certificat), ouvrez l'onglet Détails et importez vers le fichier au format Base-64. Collez les données reçues dans le champ Clé.
Cliquez sur le bouton Enregistrer