IlyaSobolev/helpcenter
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases 27 Wiki Activity
5ad2636828
helpcenter/Web/Controls/Help/Server/ControlPanel/SSODescription/SSODescription.de.ascx

180 lines
27 KiB
Plaintext
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<%@ Control Language="C#" Inherits="BaseContentUserControls" %>
<%@ Register Namespace="TeamLab.Controls" Assembly="__Code" TagPrefix="cc" %>
<script runat="server">
protected override void Init()
{
PageTitle = PageCaption = "ONLYOFFICE Single Sign-On-Einstellungen";
MetaKeyWords = "Systemsteuerung, SSO, Single sign-on";
MetaDescription = "Erfahren Sie, wie Sie ONLYOFFICE Single Sign-On verwenden.";
}
</script>
<div class="main_buscall_container dataBackup">
<div class="MainHelpCenter">
<h1 class="subHeaderFeaturesCaption TipsCaption">ONLYOFFICE Single Sign-On-Einstellungen</h1>
<span class="serverversion_display"><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/VariousControls/Versions/ControlPanel/ControlPanel_Current.ascx" /></span>
<div class="keyword_block">
<ul>
<li><span class="serverversion_display"><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/server-version/server-version.ascx" /></span></li>
<li><span class="serverversion_display"><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/local-server/local-server.ascx" /></span></li>
<%--<li>
<span class="enterprise_display">
<cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/enterprise-edition/enterprise-edition.ascx" />
</span>
</li>--%>
<li><span class="serverversion_display"><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/control-panel/control-panel.ascx" /></span></li>
<li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/sso/sso.ascx" /></li>
<li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/shibboleth/shibboleth.ascx" /></li>
<li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/onelogin/onelogin.ascx" /></li>
<li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/adfs/adfs.ascx" /></li>
</ul>
</div>
<h2 id="Introduction">Einleitung</h2>
<p><span class="serverversion_display">Mit der Option <b>Single Sign-On</b>, die sich in der <b>Systemsteuerung</b> befindet, können Sie</span><span class="saasversion_display">Wenn Ihr <b>SaaS</b>-Serviceplan das stipuliert, können Sie im Abschnitt <b>Single Sign-On</b></span> die Authentifizierung von Drittanbietern <span class="serverversion_display">mit den installierten SSO-Dienste (<a target="_blank" href="https://shibboleth.net/">Shibboleth</a>, <a target="_blank" href="https://www.onelogin.com/">OneLogin</a> oder <a target="_blank" href="https://en.wikipedia.org/wiki/Active_Directory_Federation_Services">Active Directory Federation Services</a>) aktivieren/deaktivieren, um Benutzern eine schnellere, einfachere und sicherere Möglichkeit zu bieten, auf das Portal zuzugreifen.</span><span class="saasversion_display">mithilfe von SAML aktivieren/deaktivieren, um Benutzern eine schnellere, einfachere und sicherere Möglichkeit zu bieten, auf das Portal zuzugreifen.</span></p>
<p>Die <b>Single Sign-On</b>-Technologie ermöglicht Benutzern, sich nur einmal anzumelden und dann auf mehrere autorisierte (d.h. in einen Identitätsanbieter integrierte) Anwendungen/Dienste zuzugreifen, ohne bei jedem Zugriff auf eine andere Anwendung ihre Anmeldeinformationen eingeben zu müssen.</p>
<div class="serverversion_display">
<p>SSO wird immer durch die gemeinsame Arbeit von zwei Anwendungen sichergestellt: einem Identitätsanbieter und einem Dienstanbieter (im Folgenden als "IdP" und "SP" bezeichnet).</p>
<p>ONLYOFFICE SSO implementiert nur den SP. Viele verschiedene Anbieter können als IdP funktionieren, aber ONLYOFFICE wurde nur mit den folgenden Diensten getestet: Shibboleth, OneLogin und AD FS.</p>
<p>Mit der SSO-Authentifizierung erhalten Sie:</p>
<ul>
<li><b>Bessere Bequemlichkeit</b>. Benutzer erhalten eine schnellere und einfachere Möglichkeit, auf das Portal zuzugreifen, ohne sich mehrere Kennwörter und Anmeldungen merken zu müssen.</li>
<li><b>Verbesserte Sicherheit</b>. ONLYOFFICE speichert keine Benutzerkennwörter in irgendeiner Form, sondern verwendet stattdessen die Ergebnisse der Authentifizierung auf der Seite des Identitätsanbieters.</li>
<li><b>Einfache Verwaltung</b>. Alle erforderlichen Benutzerinformationen werden über ein Authentifizierungstoken übertragen. Wenn sich die Benutzerinformationen auf der Seite des Identitätsanbieters ändern, werden sie bei der nächsten SSO-Authentifizierung automatisch im Portal aktualisiert. Wenn im Portal kein Benutzerprofil vorhanden ist, wird es automatisch erstellt, wenn sich der Benutzer zum ersten Mal mit den SSO-Anmeldeinformationen beim Portal anmeldet.</li>
</ul>
<p>In ONLYOFFICE wird die SSO-Authentifizierung auf der Basis des sicheren und häufig verwendeten SAML-Standards implementiert. <b>SAML</b> (Security Assertion Markup Language) ist ein XML-Standard, mit dem Benutzerauthentifizierungs-/Autorisierungsdaten zwischen einem Identitätsanbieter und einem Dienstanbieter über Sicherheitstoken übertragen werden können, die Zusicherungen enthalten.</p>
<p>Dieser Artikel beschreibt den Prozess des Aktivierens von SSO im Allgemeinen. Wenn Sie nach bestimmten Einstellungen/Beispielen für bestimmte IdPs suchen, lesen Sie bitte unsere Artikel zum Konfigurieren von ONLYOFFICE SP und <a href="<%=VirtualPathUtility.ToAbsolute("~/server/controlpanel/enterprise/configure-shibboleth.aspx")%>">Shibboleth</a>, <a href="<%=VirtualPathUtility.ToAbsolute("~/server/controlpanel/enterprise/configure-onelogin.aspx")%>">OneLogin</a>, oder <a href="<%=VirtualPathUtility.ToAbsolute("~/server/controlpanel/enterprise/configure-adfs.aspx")%>">AD FS</a>-IdPs.</p>
<h2 id="EnablingSSO">SSO aktivieren</h2>
<p>Um die SSO-Authentifizierung für Ihr Portal zu aktivieren und zu konfigurieren, müssen Sie die folgenden zwei Hauptschritte ausführen:</p>
<ol>
<li>Registrieren Sie Ihren Identitätsanbieter auf der Seite ONLYOFFICE <b>Systemsteuerung</b> -> <b>SSO</b>. Die Informationen, die Sie angeben sollten, finden Sie in Ihrem Identity Provider-Konto.
<div class="notehelp enterprise_display">Wenn Sie SSO verwenden möchten, wenn Sie <b>ONLYOFFICE Desktop-Editoren</b> mit Ihrem <b><%= ((BasePage)Page).EditionVersion %></b> verbinden, deaktivieren Sie <b>Private Räume</b> in der <b>Systemsteuerung</b>.</div>
</li>
<li>Registrieren Sie ONLYOFFICE als vertrauenswürdigen Dienstanbieter in Ihrem Konto als Identitätsanbieter. Dieses Verfahren unterscheidet sich je nach ausgewähltem Identitätsanbieter.</li>
</ol>
<div class="notehelp">Jedes Portal kann gleichzeitig nur mit einem Identitätsanbieter integriert werden.</div>
<h2 id="RegisterIdP">Ihren Identitätsanbieter beim ONLYOFFICE-Dienstanbieter registrieren</h2>
<p>Um Ihren IdP in ONLYOFFICE SP zu registrieren, verwenden Sie den Abschnitt <b>ONLYOFFICE SP-Einstellungen</b> auf der Seite <b>SSO</b>.</p>
</div>
<div class="saasversion_display">
<p>Ein <b>Identitätsanbieter</b> (Identity Provider, IdP) ist ein Dienst, der Benutzeridentitätsinformationen erstellt, verwaltet und anderen Dienstanbietern innerhalb eines Verbunds eine Benutzerauthentifizierung bietet. Dienste wie OneLogin, ADFS usw. gelten als Identitätsanbieter. Ein <b>Dienstleister</b> (Service Provider, SP) ist ein Dienst, der Webdienste bereitstellt und für die Benutzerauthentifizierung auf einen vertrauenswürdigen Identitätsanbieter angewiesen ist. In unserem Fall ist der Dienstleister ONLYOFFICE.</p>
<p>Sie können SSO auf der Basis von SAML für den Authentifizierungs/Autorisierungsdatenaustausch zwischen einem Identitätsanbieter und einem Dienstanbieter aktivieren:</p>
<ul>
<li><b>SAML</b> (Security Assertion Markup Language) - ein XML-Standard, mit dem Benutzerauthentifizierungs-/Autorisierungsdaten zwischen einem Identitätsanbieter und einem Dienstanbieter über Sicherheitstoken übertragen werden können, die Assertionen enthalten.</li>
</ul>
<p>Eine bessere Sicherheit wird dadurch ermöglicht, dass das Online-Büro keine Kennwörter der Benutzer speichert, sondern die Ergebnisse der Authentifizierung auf der Seite des Identitätsanbieters verwendet. Alle erforderlichen Benutzerinformationen werden über ein Authentifizierungstoken übertragen. Wenn sich die Benutzerinformationen auf der Seite des Identitätsanbieters ändern, werden sie bei der nächsten SSO-Authentifizierung automatisch im Portal aktualisiert (beachten Sie, dass die Daten nur in eine Richtung synchronisiert werden können: vom Identitätsanbieter zum Online-Büro).</p>
<p>Nachdem der Identitätsanbieter und das Online-Büro gegenseitig konfiguriert wurden, um SSO sicherzustellen, wird der Benutzer-SSO-Authentifizierungsprozess auf der Seite des Identitätsanbieters ausgeführt. Das Online-Büro erhält ein Authentifizierungstoken (SAML) vom Identitätsanbieter. Nach der Validierung des Tokens (mithilfe digitaler Signaturen und der Token-Lebensdauer) ermöglicht das Online-Büro dem Benutzer den Zugriff auf das Portal.</p>
<h2 id="EnablingSSOsaas">SSO aktivieren</h2>
<p>Gehen Sie wie folgt vor, um die SSO-Authentifizierung für Ihr Portal zu aktivieren und zu konfigurieren:</p>
<p>Überprüfen Sie die Konfiguration des <em>Identitätsanbieters</em>, bevor Sie den <em>Dienstanbieter</em> anpassen.</p>
</div>
<ol>
<li><span class="serverversion_display">Öffnen Sie die <b>Systemsteuerung</b> des ONLYOFFICE-Portals und öffnen Sie dann die Seite <b>SSO</b> im Abschnitt <b>PORTAL-EINSTELLUNGEN</b> auf der linken Seite.</span>
<span class="saasversion_display">Öffnen Sie die <b>Einstellungen</b> des Portals. Klicken Sie auf das Symbol <img alt="Einstellungen Symbol" src="<%=VirtualPathUtility.ToAbsolute("~/images/help/tipstricks/settingsicon.png")%>" /> in der rechten oberen Ecke.</span>
</li>
<li class="saasversion_display">Klicken Sie im Abschnitt <b>Integration</b> in der linken Seitenleiste auf den Link <b>Single Sign-On</b>.</li>
<li><span class="serverversion_display">Aktivieren Sie den Umschalter <b>Authentifizierung mit Einmalanmeldung einschalten</b>.</span>
<span class="saasversion_display">Aktivieren Sie den Umschalter <b>Authentifizierung mit Einmalanmeldung einschalten</b> unter der Beschriftung <b>Single Sign-On</b>.</span>
</li>
<li>Füllen Sie die erforderlichen Felder im Abschnitt <b>ONLYOFFICE SP-Einstellungen</b> aus. Die erforderlichen Informationen können auf verschiedene Arten angegeben werden:
<ul>
<li><b>Geben Sie die URL-Adresse der Metadatendatei ein</b>. Wenn Ihre IdP-Metadaten über den Link von außen zugegriffen werden können, fügen Sie den Link in das Feld <b>URL-Adresse zur IdP Metadaten-XML-Datei</b> ein und klicken Sie auf die <span class="serverversion_display">Schaltfläche <b>Laden der Daten</b></span><span class="saasversion_display">Pfeilschaltfläche</span><span class="saasversion_display">, um Daten zu laden</span>. Wenn die Daten geladen werden, werden alle erforderlichen Parameter automatisch in der erweiterten Form angezeigt.</li>
<li><b>Laden Sie die Metadatendatei hoch</b>. Wenn Ihr IdP eine Metadatendatei bereitstellt, suchen Sie mit der Schaltfläche <b>Datei wählen</b> nach der auf Ihrem lokalen Computer gespeicherten Datei. Wenn die Datei hochgeladen wird, werden alle erforderlichen Parameter automatisch in der erweiterten Form angezeigt.</li>
<li><b>Geben Sie die erforderlichen Parameter manuell an</b>. Wenn die Metadatendatei nicht verfügbar ist, geben Sie die erforderlichen Parameter manuell ein. Um die erforderlichen Werte zu erhalten, wenden Sie sich bitte an Ihren IdP-Administrator.</li>
</ul>
</li>
</ol>
<p>Die folgenden Parameter sind verfügbar:</p>
<ul>
<li><b>Identity-Provider (IdP) Entitäts-ID</b> (Pflichtfeld): Die Kennung des Identitätsanbieters oder die URL-Adresse, die vom Dienstanbieter zur eindeutigen Identifizierung des IdP verwendet wird.
<div class="example">https://example.com/idp/shibboleth</div>
<p>wobei example.com Ihr SSO-Dienstdomänenname ist</p>
</li>
<li><b>Einmalanmeldung-URL des Endpunkts von IdP</b> (Pflichtfeld): Die URL, die für die einmalige Anmeldung auf der Seite des Identitätsanbieters verwendet wird. Dies ist die Endpunktadresse in Ihrem IdP, an die der Dienstleister Authentifizierungsanforderungen sendet.
<p>Stellen Sie den erforderlichen <b>Bindung</b>styp ein, indem Sie eines der entsprechenden Optionsfelder auswählen. Bindungen geben an, wie Authentifizierungsanforderungen und -antworten zwischen dem IdP und SP über das zugrunde liegende Transportprotokoll übertragen werden: mithilfe der HTTP-<b>POST</b>- oder HTTP-<b>Redirect</b>-Bindung.</p>
</li>
<li><b>Einzel-Abmeldung-URL des Endpunkts von IdP</b>: Die URL, die für die einmalige Abmeldung auf der Seite des Dienstanbieters verwendet wird. Dies ist die Endpunktadresse in Ihrem IdP, an die der Dienstleister Abmeldeanforderungen/-antworten sendet.
<p>Stellen Sie den erforderlichen <b>Bindung</b>styp ein, indem Sie eines der entsprechenden Optionsfelder auswählen. Bindungen geben an, wie Authentifizierungsanforderungen und -antworten zwischen dem IdP und SP über das zugrunde liegende Transportprotokoll übertragen werden: mithilfe der HTTP-<b>POST</b>- oder HTTP-<b>Redirect</b>-Bindung.</p>
</li>
<li><b>NameID-Format</b>: Mit dem Parameter <b>NameID</b> kann der Dienstleister einen Benutzer identifizieren. Wählen Sie eines der verfügbaren Formate aus der Liste aus.</li>
</ul>
<div class="notehelp">Es ist möglich, die Schaltfläche zum Anmelden am Portal mit dem Single Sign-On-Dienst auf der ONLYOFFICE-Authentifizierungsseite anzupassen. Sie können dies über das Feld <b>Benutzerdefinierte Beschriftung des Login-Buttons</b> im Abschnitt <b>ONLYOFFICE SP-Einstellungen</b> anpassen.</div>
<p>Sie können auch die IdP- und SP-Zertifikate hinzufügen.</p>
<h5>Öffentliche Zertifikate des Identity-Providers</h5>
<p><b>Öffentliches Zertifikat des Identity-Providers</b>: In diesem Abschnitt können Sie die öffentlichen Zertifikate des Identitätsanbieters hinzufügen, die vom Dienstleister verwendet werden, um die Anforderungen und Antworten des IdP zu überprüfen.</p>
<p>Wenn Sie die IdP-Metadaten geladen haben, werden diese Zertifikate automatisch <span class="serverversion_display">zur <b>Systemsteuerung</b></span><span class="saasversion_display">zum Portal</span> hinzugefügt. Andernfalls finden Sie die Zertifikate in Ihrem IdP-Konto. Um ein Zertifikat manuell hinzuzufügen, klicken Sie auf die Schaltfläche <b>Zertifikat hinzufügen</b>. Das Fenster <b>Neues Zertifikat</b> wird geöffnet. Geben Sie das Zertifikat in das Feld <b>Öffentliches Zertifikat</b> ein und klicken Sie auf die Schaltfläche <b>OK</b>.</p>
<p>Stellen Sie zusätzliche Parameter für Zertifikate ein und aktivieren Sie die entsprechenden Kontrollkästchen.</p>
<p>Geben Sie an, welche Signaturen von Anforderungen/Antworten überprüft werden sollen, die von IdP an SP gesendet werden:</p>
<ul>
<li><span class="serverversion_display"><b>Signatur der Antwort-Authentifikation prüfen</b></span><span class="saasversion_display"><b>Unterzeichnungen der Authentifizierungsantworten überprüfen</b></span>, um die Signaturen der an SP gesendeten SAML-Authentifizierungsantworten zu überprüfen.</li>
<li><span class="serverversion_display"><b>Signatur der Abmeldeanfrage prüfen</b></span><span class="saasversion_display"><b>Unterzeichnungen der Abmeldeanforderungen überprüfen</b></span>, um die Signaturen der an SP gesendeten SAML-Abmeldeanforderungen zu überprüfen.</li>
<li><span class="serverversion_display"><b>Signatur der Abmelde-Response prüfen</b></span><span class="saasversion_display"><b>Unterzeichnungen der Abmeldeantworten überprüfen</b></span>, um die Signaturen der an SP gesendeten SAML-Abmeldeantworten zu überprüfen.</li>
</ul>
<p>Wählen Sie den erforderlichen Algorithmus aus der Liste <span class="serverversion_display"><b>Standard Algorithmen zur Signaturprüfung</b></span><span class="saasversion_display"><b>Standardalgorithmus für Überprüfung einer Signatur</b></span> aus: <code>rsa-sha1</code>, <code>rsa-sha256</code> oder <code>rsa-sha512</code>.</p>
<div class="notehelp">Standardeinstellungen werden nur in solchen Fällen verwendet, in denen IdP-Metadaten nicht angibt, welcher Algorithmus verwendet werden soll.</div>
<p>Sie können die hinzugefügten Zertifikate über den entsprechenden Link bearbeiten oder löschen.</p>
<h5>SP-Zertifikate</h5>
<p><b>SP-Zertifikate</b>: In diesem Abschnitt können Sie die Service Provider-Zertifikate hinzufügen, mit denen die Anforderungen und Antworten des Dienstleisters signiert und verschlüsselt werden.</p>
<p>Wenn Ihr IdP erfordert, dass Eingabedaten signiert und/oder verschlüsselt sind, erstellen oder fügen Sie in diesem Abschnitt entsprechende Zertifikate hinzu.</p>
<p>Klicken Sie auf die Schaltfläche <b>Zertifikat hinzufügen</b>. Das Fenster <b>Neues Zertifikat</b> wird geöffnet. Sie können ein selbstsigniertes Zertifikat erstellen oder ein vorhandenes Zertifikat im Feld <b>Öffentliches Zertifikat</b> und den entsprechenden Privaten Schlüssel im Feld <b>Privater Schlüssel</b> hinzufügen. Wählen Sie in der Liste <b>Nutzen für</b> eine der verfügbaren Optionen aus: <code>signing</code>, <code>encrypt</code>, <code>signing and encrypt</code>. Wenn Sie bereit sind, klicken Sie auf die Schaltfläche <b>OK</b>. </p>
<p>Abhängig von dem Zertifikatzweck, der beim Hochladen/Generieren des Zertifikats in der Liste <b>Nutzen für</b> ausgewählt wurde, werden die zusätzlichen Parameter des Zertifikats angegeben. Die folgenden Parameter definieren, welche von SP an IdP gesendeten Anforderungen/Antworten signiert werden sollen:</p>
<ul>
<li><span class="serverversion_display"><b>Authentifizierungsanforderungen signieren</b></span><span class="saasversion_display"><b>Authentifizierungsanforderungen unterzeichnen</b></span>, damit SP die an IdP gesendeten SAML-Authentifizierungsanforderungen signiert.</li>
<li><b>Anmeldeanforderungen signieren</b>, damit SP die an IdP gesendeten SAML-Abmeldeanforderungen signiert.</li>
<li><b>Abmelde-Responses signieren</b>, damit SP die an IdP gesendeten SAML-Abmeldeantworten signiert.</li>
</ul>
<p>Wenn Sie in der Liste <b>Nutzen für</b> die Option <code>encrypt</code> oder <code>signing and encrypt</code> ausgewählt haben, wird auch der Parameter <b>Aussagen entschlüsseln</b> aktiviert. Die Verschlüsselung wird mit dem entsprechenden <b>privaten Schlüssel</b> gemacht.</p>
<p>Wählen Sie die erforderlichen Algorithmen aus den Listen aus:</p>
<ul>
<li><b>Signaturalgorithmus</b>: <code>rsa-sha1</code>, <code>rsa-sha256</code> oder <code>rsa-sha512</code>.</li>
<li><span class="serverversion_display"><b>Standard Entschlüsselungsalgorithmus</b></span><span class="saasversion_display"><b>Standardalgorithmus für Entschlüsselung</b></span>: <code>aes128-cbc</code>, <code>aes256-cbc</code> oder <code>tripledes-cbc</code>.</li>
</ul>
<p>Sie können die hinzugefügten Zertifikate über den entsprechenden Link bearbeiten oder löschen.</p>
<h5>Attributzuordnung</h5>
<p><b>Attributzuordnung</b>: In diesem Abschnitt können Sie die Verbindung der Felder im ONLYOFFICE Modul <b>Personen</b> zu den Benutzerattributen festlegen, die vom IdP zurückgegeben werden. Wenn sich ein Benutzer mit den SSO-Anmeldeinformationen bei ONLYOFFICE SP anmeldet, empfängt ONLYOFFICE SP die erforderlichen Attribute und füllt die Felder für den vollständigen Namen und die E-Mail-Adresse im Benutzerkonto mit den vom IdP empfangenen Werten aus. Wenn der Benutzer im Modul Personen nicht vorhanden ist, wird er automatisch erstellt. Wenn die Benutzerinformationen auf der IdP-Seite geändert wurden, werden sie auch in SP aktualisiert.</p>
<p>Die verfügbaren Attribute sind:</p>
<ul>
<li><b>Vorname</b> (ein Attribut in einem Benutzerdatensatz, das dem Vornamen des Benutzers entspricht)</li>
<li><b>Nachname</b> (ein Attribut in einem Benutzerdatensatz, das dem Nachnamen des Benutzers entspricht)</li>
<li><b>E-Mail</b> (ein Attribut in einem Benutzerdatensatz, das der E-Mail-Adresse des Benutzers entspricht)</li>
<li><b>Standort</b> (ein Attribut in einem Benutzerdatensatz, das dem Standort des Benutzers entspricht)</li>
<li><b>Titel</b> (ein Attribut in einem Benutzerdatensatz, das dem Titel des Benutzers entspricht)</li>
<li><b>Telefon</b> (ein Attribut in einem Benutzerdatensatz, das der Mobiltelefonnummer des Benutzers entspricht)</li>
</ul>
<h5>Erweiterte Einstellungen</h5>
<p>Mit der Option <b>Authentifizierungsseite ausblenden</b> können Sie die Standardauthentifizierungsseite ausblenden und automatisch zum SSO-Dienst umleiten.</p>
<p>Wenn alle Einstellungen in <span class="serverversion_display">der <b>Systemsteuerung</b></span><span class="saasversion_display">den Einstellungen des Portals</span> festgelegt wurden, klicken Sie auf die Schaltfläche <b>Speichern</b>. Der Abschnitt <b>ONLYOFFICE SP-Metadaten</b> wird geöffnet.</p>
<h2 id="RegisterSP">ONLYOFFICE als vertrauenswürdigen Dienstanbieter in Ihrem Identitätsanbieter registrieren</h2>
<p>Jetzt sollen Sie ONLYOFFICE als vertrauenswürdigen Dienstanbieter Ihrem IdP-Konto hinzufügen und die ONLYOFFICE SP-Metadaten im IdP angeben.</p>
<p>Informationen zum Empfangen der erforderlichen Daten finden Sie im Abschnitt <b>ONLYOFFICE SP-Metadaten</b> auf der <b>SSO</b>-Seite. Stellen Sie sicher, dass die SP-Daten öffentlich zugänglich sind. Klicken Sie dazu auf die Schaltfläche <b>SP Metadaten XML herunterladen</b>. Der Inhalt der XML-Datei wird in einem neuen Browser-Tab angezeigt. Speichern Sie die Daten als XML-Datei, um sie auf den IdP hochladen zu können.</p>
<p>Sie können auch individuelle Parameter manuell kopieren, indem Sie in den entsprechenden Feldern auf die Schaltfläche <b>In Zwischenablage kopieren</b> klicken.</p>
<p>Die folgenden Parameter stehen zur Verfügung:</p>
<ul>
<li><b>SP-Entitäts ID</b> (Link zu Metadaten der XML-Datei): Die XML-URL-Adresse des Dienstanbieters, die heruntergeladen und vom Identitätsanbieter verwendet werden kann, um den SP eindeutig zu identifizieren. Standardmäßig befindet sich die Datei unter der folgenden Adresse: <span class="param-type">http://example.com/sso/metadata</span>, wobei example.com der Domainname oder die öffentliche IP-Adresse Ihres ONLYOFFICE-Portals ist.</li>
<li><b>SP Assertion-Verbrauch-URL</b> (unterstützt POST und Umleitungsbindung): Die URL-Adresse des Dienstanbieters, an der er Zusicherungen vom Identitätsanbieter empfängt und verarbeitet. Standardmäßig wird die folgende Adresse verwendet: <span class="param-type">http://example.com/sso/acs</span>, wobei example.com Ihr ONLYOFFICE-Portal-Domainname oder Ihre öffentliche IP-Adresse ist.</li>
<li><b>SP Einmalanmeldung-URL</b> (unterstützt POST und Umleitungsbindung): Die URL, die für die einzelne Abmeldung auf der Seite des Identitätsanbieters verwendet wird. Dies ist die Endpunktadresse in Ihrem SP, an der Abmeldeanforderungen/-antworten vom Identitätsanbieter empfangen und verarbeitet werden. Standardmäßig wird die folgende Adresse verwendet: <span class="param-type">http://example.com/sso/slo/callback</span>, wobei example.com der Domainname oder die öffentliche IP-Adresse Ihres ONLYOFFICE-Portals ist.</li>
</ul>
<div class="notehelp">Diese Parameter und XML-Inhalte unterscheiden sich abhängig von Ihrer Portalkonfiguration, z.B. wenn Sie Ihr Portal auf HTTPS umstellen oder einen Domainnamen angeben, werden auch die Parameter geändert und Sie müssen Ihren IdP neu konfigurieren.</div>
<h2 id="LogIn">Anmelden bei ONLYOFFICE SP</h2>
<p>Nachdem das SSO aktiviert und konfiguriert wurde, wird der Anmeldevorgang folgendermaßen ausgeführt:</p>
<ol>
<li>Ein Benutzer fordert den Zugriff auf ONLYOFFICE an, indem er/sie auf der ONLYOFFICE-Portalauthentifizierungsseite (SP-initiiertes SSO) auf die Schaltfläche <b>Single Sign-On</b> klickt (die Beschriftung kann abweichen, wenn Sie bei der Konfiguration von ONLYOFFICE SP Ihren eigenen Text angegeben haben).</li>
<li>Wenn alle IdP- und SP-Einstellungen korrekt eingestellt sind, sendet ONLYOFFICE die Authentifizierungsanforderung an den IdP und leitet den Benutzer zur IdP-Seite weiter, auf der er/sie nach Anmeldeinformationen gefragt wird.</li>
<li>Wenn der Benutzer noch nicht beim IdP angemeldet ist, gibt er/sie Anmeldeinformationen im IdP an.</li>
<li>IdP erstellt die Authentifizierungsantwort, die Benutzerdaten enthält, und sendet sie an ONLYOFFICE.</li>
<li>ONLYOFFICE empfängt die Authentifizierungsantwort vom Identitätsanbieter und validiert sie.</li>
<li>Wenn die Antwort validiert ist, kann sich der Benutzer mit ONLYOFFICE anmelden (der Benutzer wird automatisch erstellt, wenn er/sie fehlt, oder die Daten werden aktualisiert, wenn sie im IdP geändert wird).</li>
</ol>
<p>Es ist auch möglich, die Anmeldeseite auf der Seite des Identitätsanbieters (von IdP initiiertes SSO) zu verwenden, Anmeldeinformationen einzugeben und dann ohne erneute Authentifizierung auf das ONLYOFFICE-Portal zuzugreifen.</p>
<h2 id="LogOut">Abmelden vom ONLYOFFICE SP</h2>
<p>Die Abmeldung kann auf zwei Arten erfolgen:</p>
<ol>
<li>Im ONLYOFFICE-Portal über das Menü <b>Ausloggen</b> (in diesem Fall wird die Anforderung von IdP an die Abmeldung gesendet). Der Benutzer sollte auch automatisch vom IdP abgemeldet werden, falls er/sie von allen anderen Anwendungen abgemeldet wird, auf die zuvor über die SSO-Authentifizierung zugegriffen wurde.</li>
<li>Auf der IdP-Abmeldeseite.</li>
</ol>
<h2 id="EditUserProfile">Bearbeiten von Benutzerprofilen, die mit SSO erstellt wurden</h2>
<p>Die mit der SSO-Authentifizierung erstellten Benutzer sind in der Benutzerliste des Portaladministrators mit dem <span class="sso_icon">SSO</span>-Symbol gekennzeichnet.</p>
<p>Die Möglichkeit, solche Benutzerprofile im Modul Personen zu bearbeiten, ist eingeschränkt. Die Benutzerprofilfelder, die mit der SSO-Authentifizierung erstellt wurden, sind für die Bearbeitung im Modul Personen deaktiviert. Die Benutzerdaten können nur auf der IdP-Seite geändert werden.</p>
</div>
</div>
Reference in New Issue View Git Blame Copy Permalink