153 lines
33 KiB
Plaintext
153 lines
33 KiB
Plaintext
<%@ Control Language="C#" Inherits="BaseContentUserControls" %>
|
||
<%@ Register Namespace="TeamLab.Controls" Assembly="__Code" TagPrefix="cc" %>
|
||
|
||
<script runat="server">
|
||
protected override void Init()
|
||
{
|
||
PageTitle = PageCaption = "Общие сведения о функции единого входа (SSO) ONLYOFFICE";
|
||
MetaKeyWords = "Панель управления, SSO, Single sign-on, единый вход";
|
||
MetaDescription = "Узнайте, как использовать функцию единого входа (SSO) в ONLYOFFICE.";
|
||
}
|
||
</script>
|
||
<div class="main_buscall_container dataBackup">
|
||
<div class="MainHelpCenter">
|
||
<h1 class="subHeaderFeaturesCaption TipsCaption">Общие сведения о функции единого входа (SSO) ONLYOFFICE</h1>
|
||
<div class="keyword_block">
|
||
<ul>
|
||
<li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/server-version/server-version.ascx" /></li>
|
||
<li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/local-server/local-server.ascx" /></li>
|
||
<li>
|
||
<span class="enterprise_display">
|
||
<cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/enterprise-edition/enterprise-edition.ascx" />
|
||
</span>
|
||
</li>
|
||
<li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/control-panel/control-panel.ascx" /></li>
|
||
<li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/sso/sso.ascx" /></li>
|
||
<li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/shibboleth/shibboleth.ascx" /></li>
|
||
<li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/onelogin/onelogin.ascx" /></li>
|
||
</ul>
|
||
</div>
|
||
<h2 id="Introduction">Введение</h2>
|
||
<p>Функция <b>Единый вход</b> (англ. Single Sign-On или SSO), доступная в <b>Панели управления</b>, позволяет включить возможность аутентификации с помощью доверенной третьей стороны, используя установленные у вас сервисы SSO (<a target="_blank" href="https://shibboleth.net/">Shibboleth</a>, <a target="_blank" href="https://www.onelogin.com/">OneLogin</a>).</p>
|
||
<p>В общих чертах, технология <b>единого входа</b> позволяет пользователям осуществлять вход в систему только один раз, а затем получать доступ ко множеству приложений/сервисов без повторной аутентификации. Например, если на веб-портале существует несколько обширных независимых разделов (форум, чат, блог и т. д.) то, пройдя процедуру аутентификации в одном из сервисов, пользователь автоматически получает доступ ко всем остальным, что избавляет его от многократного ввода данных своей учётной записи.</p>
|
||
<p>SSO - это всегда совместная работа двух приложений: поставщика учетных записей (англ. Identity Provider, далее по тексту сокращенно "IdP") и поставщика сервиса (англ. Service Provider, далее по тексту сокращенно "SP").</p>
|
||
<p>ONLYOFFICE SSO реализует только SP. В качестве IdP может выступать множество различных провайдеров, но ONLYOFFICE был протестирован только со следующими сервисами: Shibboleth и OneLogin.</p>
|
||
<p>Используя SSO-аутентификацию, вы получаете следующие преимущества:</p>
|
||
<ul>
|
||
<li><b>Повышенное удобство</b>. Пользователи получают более быстрый и простой способ доступа на портал, не требующий запоминания множества логинов и паролей.</li>
|
||
<li><b>Повышенный уровень безопасности</b>. ONLYOFFICE не хранит пароли пользователей ни в каком виде, а использует результаты аутентификации на стороне поставщика учетных записей.</li>
|
||
<li><b>Удобное администрирование</b>. Вся необходимая информация о пользователе передается в аутентификационном токене. При изменении информации о пользователе на стороне поставщика учетных записей данные автоматически обновятся на портале при последующей аутентификации с помощью SSO. Если профиль пользователя отсутствует на портале, он будет автоматически создан при первом входе пользователя на портал с помощью учетных данных SSO.</li>
|
||
</ul>
|
||
<p>В ONLYOFFICE SSO-аутентификация реализована на базе безопасного и широко используемого стандарта SAML. <b>SAML</b> (Security Assertion Markup Language, язык разметки декларации безопасности) - стандарт на базе языка XML, позволяющий передавать данные об аутентификации и авторизации между поставщиком учетных записей и поставщиком сервиса через токены безопасности, содержащие утверждения.</p>
|
||
<p>В данной статье описан процесс включения SSO в целом. Если вас интересуют конкретные настройки или примеры для определенных поставщиков учетных записей, обратитесь к нашим статьям о настройке поставщика сервиса ONLYOFFICE и поставщиков учетных записей <a href="<%=VirtualPathUtility.ToAbsolute("~/server/controlpanel/enterprise/configure-shibboleth.aspx")%>">Shibboleth</a> или <a href="<%=VirtualPathUtility.ToAbsolute("~/server/controlpanel/enterprise/configure-onelogin.aspx")%>">OneLogin</a>.</p>
|
||
<h2 id="EnablingSSO">Включение SSO</h2>
|
||
<p>Чтобы включить и настроить на портале аутентификацию с помощью SSO, необходимо выполнить два следующих основных шага:</p>
|
||
<ol>
|
||
<li>Зарегистрировать поставщика учетных записей на странице <b>SSO</b> в <b>Панели управления</b> ONLYOFFICE. Информацию, которую требуется указать, можно найти в вашем аккаунте поставщика учетных записей.</li>
|
||
<li>Зарегистрировать ONLYOFFICE в качестве проверенного поставщика сервиса в аккаунте поставщика учетных записей. Эта процедура различается в зависимости от выбранного поставщика учетных записей.</li>
|
||
</ol>
|
||
<div class="notehelp">Каждый портал можно одновременно интегрировать только с одним поставщиком учетных записей.</div>
|
||
<h2 id="RegisterIdP">Регистрация поставщика учетных записей в поставщике сервиса ONLYOFFICE</h2>
|
||
<p>Для регистрации поставщика учетных записей в ONLYOFFICE SP используйте раздел <b>Настройки поставщика сервиса ONLYOFFICE</b> на странице <b>SSO</b>.</p>
|
||
<ol>
|
||
<li>На портале ONLYOFFICE перейдите в <b>Панель управления</b> и откройте страницу <b>SSO</b>.</li>
|
||
<li>Нажмите на переключатель <b>Включить аутентификацию с помощью технологии единого входа</b>.</li>
|
||
<li>Заполните требуемые поля в разделе <b>Настройки поставщика сервиса ONLYOFFICE</b>. Нужную информацию можно указать несколькими разными способами:
|
||
<ul>
|
||
<li><b>Введите URL-адрес файла метаданных</b>. Если метаданные поставщика учетных записей доступны извне по ссылке, вставьте эту ссылку в поле <b>URL-адрес XML-файла метаданных IdP</b> и нажмите кнопку <b>Загрузить данные</b>. Когда данные будут загружены, все требуемые параметры автоматически отобразятся в расширенной форме.</li>
|
||
<li><b>Загрузите файл метаданных</b>. Если поставщик учетных записей предоставляет файл метаданных, используйте кнопку <b>Выбрать файл</b>, чтобы найти файл, сохраненный на локальной машине. Когда файл будет загружен, все требуемые параметры автоматически отобразятся в расширенной форме.</li>
|
||
<li><b>Укажите требуемые параметры вручную</b>. Если файл метаданных недоступен, введите нужные параметры вручную. Для получения нужных значений обратитесь к администратору вашего поставщика учетных записей.</li>
|
||
</ul>
|
||
</li>
|
||
</ol>
|
||
<p>Доступны следующие параметры:</p>
|
||
<ul>
|
||
<li><b>Идентификатор сущности поставщика учетных записей</b> (обязательное поле) - идентификатор поставщика учетных записей или URL-адрес, который будет использоваться поставщиком сервиса, чтобы однозначно идентифицировать поставщика учетных записей.
|
||
<div class="example">https://example.com/idp/shibboleth</div>
|
||
<p>где example.com - это доменное имя вашего SSO-сервиса</p>
|
||
</li>
|
||
<li><b>URL-адрес конечной точки единого входа IdP</b> (обязательное поле) - URL-адрес, используемый для единого входа на стороне поставщика учетных записей. Это адрес конечной точки в поставщике учетных записей, на который поставщик сервиса отправляет запросы аутентификации.
|
||
<p>Задайте нужный тип <b>Привязки</b>, выбрав одну из соответствующих радиокнопок. Привязки определяют, каким образом запросы и ответы аутентификации передаются между поставщиком учетных записей и поставщиком сервиса по стандартному транспортному протоколу: с помощью привязки HTTP <b>POST</b> или привязки <b>Перенаправления</b> HTTP.</p>
|
||
</li>
|
||
<li><b>URL-адрес конечной точки единого выхода IdP</b> - URL-адрес, используемый для единого выхода на стороне поставщика сервиса. Это адрес конечной точки в поставщике учетных записей, на который поставщик сервиса отправляет запросы и ответы выхода.
|
||
<p>Задайте нужный тип <b>Привязки</b>, выбрав одну из соответствующих радиокнопок. Привязки определяют, каким образом запросы и ответы выхода передаются между поставщиком учетных записей и поставщиком сервиса по стандартному транспортному протоколу: с помощью привязки HTTP <b>POST</b> или привязки <b>Перенаправления</b> HTTP.</p>
|
||
</li>
|
||
<li><b>Формат NameId</b> - параметр <b>NameID</b> позволяет поставщику сервиса идентифицировать пользователя. Выберите в списке один из доступных форматов.</li>
|
||
</ul>
|
||
<p>Можно также добавить сертификаты поставщика учетных записей и поставщика сервиса.</p>
|
||
<h5>Открытые сертификаты поставщика учетных записей</h5>
|
||
<p>В разделе <b>Открытые сертификаты поставщика учетных записей</b> можно добавить открытые сертификаты поставщика учетных записей, используемые поставщиком сервиса для проверки запросов и ответов от поставщика учетных записей.</p>
|
||
<p>Если вы загрузили метаданные поставщика учетных записей, эти сертификаты будут автоматически добавлены в <b>Панель управления</b>. В противном случае сертификаты можно найти в вашем аккаунте поставщика учетных записей. Чтобы добавить сертификат вручную, нажмите кнопку <b>Добавить сертификат</b>. Откроется окно <b>Новый сертификат</b>. Вставьте сертификат в поле <b>Открытый сертификат</b> и нажмите кнопку <b>OK</b>.</p>
|
||
<p>Задайте дополнительные параметры для сертификатов, поставив соответствующие галочки.</p>
|
||
<p>Укажите, подписи каких запросов/ответов, отправляемых от поставщика учетных записей поставщику сервиса, следует проверять:</p>
|
||
<ul>
|
||
<li><b>Проверять подпись ответов аутентификации</b> - чтобы проверять подписи ответов аутентификации SAML, отправляемых поставщику сервиса.</li>
|
||
<li><b>Проверять подпись запросов выхода</b> - чтобы проверять подписи запросов выхода SAML, отправляемых поставщику сервиса.</li>
|
||
<li><b>Проверять подпись ответов выхода</b> - чтобы проверять подписи ответов выхода SAML, отправляемых поставщику сервиса.</li>
|
||
</ul>
|
||
<p>Выберите нужный алгоритм из списка <b>Стандартный алгоритм проверки подписи</b>: <code>rsa-sha1</code>, <code>rsa-sha256</code> или <code>rsa-sha512</code>.</p>
|
||
<div class="notehelp">Настройки по умолчанию используются только в тех случаях, если в метаданных поставщика учетных записей не указано, какой алгоритм должен использоваться.</div>
|
||
<p>Можно редактировать или удалить добавленные сертификаты, используя соответствующую ссылку.</p>
|
||
<h5>Сертификаты поставщика сервиса</h5>
|
||
<p>В разделе <b>Сертификаты поставщика сервиса</b> можно добавить сертификаты поставщика сервиса, используемые для подписи и шифрования запросов и ответов от поставщика сервиса.</p>
|
||
<p>Если ваш поставщик учетных записей требует, чтобы входящие данные были подписаны и/или зашифрованы, создайте или добавьте сертификаты в этом разделе.</p>
|
||
<p>Нажмите кнопку <b>Добавить сертификат</b>. Откроется окно <b>Новый сертификат</b>. Вы можете сгенерировать самоподписанный сертификат или добавить уже имеющийся сертификат в поле <b>Открытый сертификат</b>, а соответствующий ему закрытый ключ - в поле <b>Закрытый ключ</b>. В списке <b>Использовать для</b> выберите один из доступных вариантов: <code>signing</code>, <code>encrypt</code>, <code>signing and encrypt</code>. Когда все будет готово, нажмите кнопку <b>OK</b>.</p>
|
||
<p>В зависимости от предназначения сертификата, выбранного в списке <b>Использовать для</b> при загрузке/генерации сертификата, указываются дополнительные параметры сертификата. Следующие параметры определяют, какие запросы/ответы, отправляемые от поставщика сервиса поставщику учетных записей, следует подписывать:</p>
|
||
<ul>
|
||
<li><b>Подписывать запросы аутентификации</b> - чтобы поставщик сервиса подписывал запросы аутентификации SAML, отправляемые поставщику учетных записей.</li>
|
||
<li><b>Подписывать запросы выхода</b> - чтобы поставщик сервиса подписывал запросы выхода SAML, отправляемые поставщику учетных записей.</li>
|
||
<li><b>Подписывать ответы выхода</b> - чтобы поставщик сервиса подписывал ответы выхода SAML, отправляемые поставщику учетных записей.</li>
|
||
</ul>
|
||
<p>Если вы выбрали опцию <code>encrypt</code> или <code>signing and encrypt</code> в списке <b>Использовать для</b>, также будет отмечен параметр <b>Расшифровывать утверждения</b>. Расшифровка осуществляется с помощью соответствующего <b>Закрытого ключа</b>.</p>
|
||
<p>Выберите нужные алгоритмы из списков:</p>
|
||
<ul>
|
||
<li><b>Алгоритм подписи</b>: <code>rsa-sha1</code>, <code>rsa-sha256</code> или <code>rsa-sha512</code>.</li>
|
||
<li><b>Стандартный алгоритм расшифровки</b>: <code>aes128-cbc</code>, <code>aes256-cbc</code> или <code>tripledes-cbc</code>.</li>
|
||
</ul>
|
||
<p>Можно редактировать или удалить добавленные сертификаты, используя соответствующую ссылку.</p>
|
||
<h5>Сопоставление атрибутов</h5>
|
||
<p>В разделе <b>Сопоставление атрибутов</b> можно указать соответствие полей модуля <b>Люди</b> ONLYOFFICE атрибутам пользователя, которые будут возвращаться из поставщика учетных записей. Когда пользователь осуществляет вход в ONLYOFFICE SP с использованием учетных данных SSO, ONLYOFFICE SP получает требуемые атрибуты и заполняет полное имя и адрес электронной почты для учетной записи пользователя значениями, полученными от поставщика учетных записей. Если такого пользователя нет в модуле "Люди", он будет создан автоматически. Если информация о пользователе была изменена на стороне поставщика учетных записей, данные также обновятся в поставщике сервиса.</p>
|
||
<p>Доступны следующие атрибуты:</p>
|
||
<ul>
|
||
<li><b>Имя</b> (обязательное поле) - атрибут в записи пользователя, соответствующий имени пользователя.</li>
|
||
<li><b>Фамилия</b> (обязательное поле) - атрибут в записи пользователя, соответствующий фамилии пользователя.</li>
|
||
<li><b>Электронная почта</b> (обязательное поле) - атрибут в записи пользователя, соответствующий адресу электронной почты пользователя.</li>
|
||
<li><b>Местоположение</b> - атрибут в записи пользователя, соответствующий местоположению пользователя.</li>
|
||
<li><b>Должность</b> - атрибут в записи пользователя, соответствующий должности пользователя.</li>
|
||
<li><b>Телефон</b> - атрибут в записи пользователя, соответствующий номеру телефона пользователя.</li>
|
||
</ul>
|
||
<p>Когда все параметры будут указаны в <b>Панели управления</b>, нажмите кнопку <b>Сохранить</b>. Откроется раздел <b>Метаданные поставщика сервиса ONLYOFFICE</b>.</p>
|
||
<h2 id="RegisterSP">Регистрация ONLYOFFICE в качестве проверенного поставщика сервиса в поставщике учетных записей</h2>
|
||
<p>Теперь необходимо добавить ONLYOFFICE в качестве проверенного поставщика сервиса в ваш аккаунт поставщика учетных записей, указав в поставщике учетных записей метаданные ONLYOFFICE SP.</p>
|
||
<p>Для получения нужных данных обратитесь к разделу <b>Метаданные поставщика сервиса ONLYOFFICE</b> на странице <b>SSO</b>. Убедитесь, что данные поставщика сервиса доступны публично. Для этого нажмите кнопку <b>Скачать XML-файл метаданных поставщика сервиса</b>. Содержимое XML-файла отобразится в новой вкладке браузера. Сохраните данные как XML-файл, чтобы можно было загрузить его в поставщик учетных записей.</p>
|
||
<p>Можно также вручную скопировать отдельные параметры, нажав на кнопку <b>Копировать в буфер обмена</b> в соответствующих полях.</p>
|
||
<p>Доступны следующие параметры:</p>
|
||
<ul>
|
||
<li><b>Идентификатор сущности поставщика сервиса</b> (ссылка на XML-файл метаданных) - URL-адрес XML-файла поставщика сервиса. Файл можно скачать, и он будет использоваться поставщиком учетных записей, чтобы однозначно идентифицировать поставщика сервиса. По умолчанию файл размещается по следующему адресу: <span class="param-type">http://example.com/sso/metadata</span>, где example.com - это доменное имя или публичный IP-адрес портала ONLYOFFICE.</li>
|
||
<li><b>URL-адрес службы обработчика утверждений поставщика сервиса</b> (поддерживаются привязки перенаправления и POST) - URL-адрес поставщика сервиса, по которому он получает и обрабатывает утверждения от поставщика учетных записей. По умолчанию используется следующий адрес: <span class="param-type">http://example.com/sso/acs</span>, где example.com - это доменное имя или публичный IP-адрес портала ONLYOFFICE.</li>
|
||
<li><b>URL-адрес единого выхода поставщика сервиса</b> (поддерживаются привязки перенаправления и POST) - URL-адрес, используемый для единого выхода на стороне поставщика учетных записей. Это адрес конечной точки в поставщике сервиса, по которому он получает и обрабатывает запросы и ответы выхода от поставщика учетных записей. По умолчанию используется следующий адрес: <span class="param-type">http://example.com/sso/slo/callback</span>, где example.com - это доменное имя или публичный IP-адрес портала ONLYOFFICE.</li>
|
||
</ul>
|
||
<div class="notehelp">Эти параметры и содержимое XML-файла различаются в зависимости от настроек вашего портала, например, если вы переключите портал на HTTPS или привяжете доменное имя, данные параметры тоже изменятся и потребуется заново настраивать поставщик учетных записей.</div>
|
||
<h2 id="LogIn">Вход в ONLYOFFICE SP</h2>
|
||
<p>После того как Единый вход включен и настроен, процесс входа осуществляется следующим образом:</p>
|
||
<ol>
|
||
<li>Пользователь запрашивает доступ к ONLYOFFICE, нажав на ссылку <b>Single Sign-on</b> под кнопкой <b>Войти</b> на странице аутентификации портала ONLYOFFICE (единый вход, инициированный поставщиком сервиса).</li>
|
||
<li>Если всё настроено верно в SP и IdP, ONLYOFFICE отправляет запрос аутентификации поставщику учетных записей и перенаправляет пользователя на страницу поставщика учетных записей, где пользователю надо ввести учетные данные.</li>
|
||
<li>Если пользователь ещё не осуществил вход в поставщик учетных записей, он вводит свои учетные данные в IdP.</li>
|
||
<li>Поставщик учетных записей создает ответ аутентификации, содержащий данные пользователя, и отправляет его поставщику сервиса ONLYOFFICE.</li>
|
||
<li>ONLYOFFICE получает ответ аутентификации от поставщика учетных записей и проверяет его подлинность.</li>
|
||
<li>Если подлинность ответа подтверждена, ONLYOFFICE позволяет пользователю войти (если такого пользователя нет на портале, он будет создан автоматически, а если данные были изменены в IdP, они будут обновлены).</li>
|
||
</ol>
|
||
<p>Можно также использовать страницу входа на стороне поставщика учетных записей (единый вход, инициированный поставщиком учетных записей), ввести учетные данные и получить доступ к порталу ONLYOFFICE без повторной аутентификации.</p>
|
||
<h2 id="LogOut">Выход из ONLYOFFICE SP</h2>
|
||
<p>Выход можно осуществить двумя доступными способами:</p>
|
||
<ol>
|
||
<li>С портала ONLYOFFICE, используя пункт меню <b>Выйти</b> (в этом случае отправляется запрос от IdP на выход). Пользователь также должен автоматически выйти из IdP, если он вышел из всех остальных приложений, к которым ранее получил доступ с помощью SSO-аутентификации.</li>
|
||
<li>Со страницы выхода поставщика учетных записей.</li>
|
||
</ol>
|
||
<h2 id="EditUserProfile">Редактирование профилей пользователей, созданных с помощью SSO</h2>
|
||
<p>Пользователи, созданные с помощью SSO-аутентификации, отмечены в списке пользователей значком "SSO" для администраторов портала.</p>
|
||
<p>Возможность редактирования профилей этих пользователей в модуле "Люди" ограничена. Поля профиля пользователя, созданные с помощью SSO-аутентификации, заблокированы для редактирования в модуле "Люди". Информацию о таких пользователях можно изменить только на стороне поставщика учетных записей.</p>
|
||
</div>
|
||
</div>
|