helpcenter/Web/Controls/Help/Server/ControlPanel/SSODescription/SSODescription.es.ascx

<%@ Control Language="C#" Inherits="BaseContentUserControls" %>
<%@ Register Namespace="TeamLab.Controls" Assembly="__Code" TagPrefix="cc" %>

<script runat="server">
    protected override void Init()
    {
        PageTitle = PageCaption = "Descripción de la función Single Sign-on de ONLYOFFICE";
        MetaKeyWords = "Panel de Control, SSO, Single sign-on";
        MetaDescription = "Aprenda cómo usar la función Single Sign-on de ONLYOFFICE.";
    }
</script>
<div class="main_buscall_container dataBackup">
    <div class="MainHelpCenter">
        <h1 class="subHeaderFeaturesCaption TipsCaption">Descripción de la función Single Sign-on de ONLYOFFICE</h1>
    <cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/VariousControls/Versions/ControlPanel/ControlPanel_Current.ascx" />
        <div class="keyword_block">
            <ul>
                <li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/server-version/server-version.ascx" /></li>
                <li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/local-server/local-server.ascx" /></li>
                <li>
                    <span class="enterprise_display">
                        <cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/enterprise-edition/enterprise-edition.ascx" />
                    </span>
                </li>
                <li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/control-panel/control-panel.ascx" /></li>
                <li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/sso/sso.ascx" /></li>
                <li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/shibboleth/shibboleth.ascx" /></li>
                <li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/onelogin/onelogin.ascx" /></li>
                <li><cc:LocalizeContent runat="Server" ControlName="~/Controls/Help/Tags/adfs/adfs.ascx" /></li>
            </ul>
        </div>
        <h2 id="Introduction">Introducción</h2>
        <p>La función <b>Single Sign-on</b> proporcionada por el <b>Panel de Control</b> le permite activar la autenticación de terceras partes usando los servicios SSO instalados (<a target="_blank" href="https://shibboleth.net/">Shibboleth</a>, <a target="_blank" href="https://www.onelogin.com/">OneLogin</a> o <a target="_blank" href="https://en.wikipedia.org/wiki/Active_Directory_Federation_Services">Active Directory Federation Services</a>).</p>
        <p>En general, la tecnología <b>Single Sign-on</b> permite a los usuarios ingresar en el sistema sólo una vez y luego obtener acceso a múltiples aplicaciones/servicios sin re-autenticación. Por ejemplo, si un portal web incluye varias secciones amplias e independientes (foros, chat, blogs etc.), un usuario puede someterse a un procedimiento de autenticación en uno de los servicios y automáticamente obtener acceso a todos los demás servicios sin tener que ingresar las credenciales vaias veces.</p>
        <p>SSO es siempre una operación conjunta de dos aplicaciones: un Proveedor de Identidad y un Proveedor de Servicios (en lo sucesivo denominados "IdP" y "SP").</p>
        <p>ONLYOFFICE SSO aplica sólo SP. Diferentes proveedores pueden actuar como IdP, pero ONLYOFFICE se ha probado solo con los siguientes servicios: Shibboleth, OneLogin y AD FS.</p>
        <p>Con la autenticación SSO Usted obtendrá los siguientes beneficios principales:</p>
        <ul>
            <li><b>Una mayor comodidad</b>. Usuarios obtienen un modo más fácil y rápido de acceder al portal sin necesidad de memorizar varios logins y contraseñas.</li>
            <li><b>Seguridad mejorada</b>. ONLYOFFICE no almacena las contraseñas de usuarios en cualquier forma, en lugar de esto ONLYOFFICE usa los resultados de la autenticación en el lado del Proveedor de Identidad.</li>
            <li><b>Administración sencilla</b>. Toda la información necesaria sobre un usuario se transmite a través de un token de autenticación. Si se modifica la información sobre un usuario en el lado del Proveedor de Identidad, los datos se actualizarán automáticamente en el portal durante la siguiente autenticación SSO. Si un perfil de usuario no existe en el portal, se creará automáticamente cuando el usuario ingrese en el portal usando las credenciales SSO por primera vez.</li>
        </ul>
        <p>En ONLYOFFICE la autenticación SSO se implementa en la base del estándar SAML seguro y de uso general. <b>SAML</b> (Security Assertion Markup Language, El Lenguaje de Marcado para Confirmaciones de Seguridad) es un estándar XML que permite transmitir los datos de autenticación/autorización entre un Proveedor de Identidad y un Proveedor de Servicios a través de tokens de seguridad que contienen confirmaciones.</p>
        <p>Este artículo describe el proceso de activación de SSO en general. Si busca configuraciones específicas/ejemplos para ciertos IdPs, por favor, consulte nuestros artículos sobre cómo configurar ONLYOFFICE SP e IdPs de <a href="<%=VirtualPathUtility.ToAbsolute("~/server/controlpanel/enterprise/configure-shibboleth.aspx")%>">Shibboleth</a>, <a href="<%=VirtualPathUtility.ToAbsolute("~/server/controlpanel/enterprise/configure-onelogin.aspx")%>">OneLogin</a> o <a href="<%=VirtualPathUtility.ToAbsolute("~/server/controlpanel/enterprise/configure-adfs.aspx")%>">AD FS</a>.</p>
        <h2 id="EnablingSSO">Activación de SSO</h2>
        <p>Para activar y configurar la autenticación SSO para su portal Usted necesita realizar los dos pasos siguientes principales:</p>
        <ol>
            <li>Registrar su Proveedor de Identidad en el <b>Panel de Control</b> de ONLYOFFICE -> la página <b>SSO</b>. La información que debe especificar se puede encontrar en la cuenta de su Proveedor de Identidad.</li>
            <li>Registrar ONLYOFFICE como un Proveedor de Servicios de confianza en la cuenta de su Proveedor de Identidad. Este procedimiento difiere dependiendo del Proveedor de Identidad seleccionado.</li>
        </ol>
        <div class="notehelp">Cada portal se puede integrar solo con un Proveedor de Identidad al mismo tiempo.</div>
        <h2 id="RegisterIdP">Registro de su Proveedor de Identidad en el Proveedor de Servicios de ONLYOFFICE</h2>
        <p>Para registrar su IdP en ONLYOFFICE SP use la sección <b>Ajustes de ONLYOFFICE SP</b> en la página <b>SSO</b>.</p>
        <ol>
            <li>En su portal ONLYOFFICE vaya al <b>Panel de Control</b> y abra la página <b>SSO</b>.</li>
            <li>Haga clic en el conmutador <b>Activar Autenticación Single Sign-on</b>.</li>
            <li>Complete los campos requeridos en la sección <b>Ajustes de ONLYOFFICE SP</b>. Se puede especificar la información necesaria en diferentes formas:
                <ul>
                    <li><b>Introduzca la dirección URL del archivo con metadatos</b>. Si metadatos del IdP son accesibles desde el exterior por el enlace, inserte el enlace en el campo <b>URL al XML Metadatos Idp</b> y pulse el botón <b>Cargar datos</b>. Después de cargar los datos, todos los parámetros requeridos se visualizarán automáticamente en la forma ampliada.</li>
                    <li><b>Cargue el archivo con metadatos</b>. Si su IdP proporciona un archivo con metadatos, use el botón <b>Seleccionar archivo</b> para buscar el archivo almacenado en su máquina local. Después de cargar el archivo, todos los parámetros requeridos se visualizarán automáticamente en la forma ampliada.</li>
                    <li><b>Especifique los parámetros requeridos manualmente</b>. Si el archivo con metadatos no está disponible, introduzca los parámetros necesarios manualmente. Para obtener los valores necesarios, por favor, póngase en contacto con el administrador de su IdP.</li>
                </ul>
            </li>
        </ol>
        <p>Los siguientes parámetros están disponibles:</p>
        <ul>
            <li><b>ID de la entidad del IdP</b> (campo obligatorio) - el identificador del Proveedor de Identidad o la dirección URL que será usado por el Proveedor de Servicios para identificar inequívocamente el IdP.
                <div class="example">https://example.com/idp/shibboleth</div>
                <p>donde example.com es el nombre de dominio de su servicio SSO</p>
            </li>
            <li><b>URL del punto final de Single Sign-On del IdP</b> (campo obligatorio) - la dirección URL usada para single sign-on en el lado del Proveedor de Identidad. Es la dirección del punto final en su IdP a la que SP envía solicitudes de autenticación.
                <p>Establezca el tipo necesario de <b>Vinculante</b> seleccionando uno de los botones de radio. Vinculantes especifican la forma en que solicitudes de autenticación y respuestas se transmiten entre IdP y SP sobre el protocolo de transporte subyacente: usando los vinculantes HTTP <b>POST</b> o HTTP <b>Redirect</b>.</p>
            </li>
            <li><b>URL del punto final de Single Logout del IdP</b> - la dirección URL usada para single logout en el lado del Proveedor de Servicios. Es la dirección del punto final en su IdP a la que SP envía solicitudes/respuestas de logout (cierre de sesión).
                <p>Establezca el tipo necesario de <b>Vinculante</b> seleccionando uno de los botones de radio. Vinculantes especifican la forma en que solicitudes y respuestas logout se transmiten entre IdP y SP sobre el protocolo de transporte subyacente: usando los vinculantes HTTP <b>POST</b> o HTTP <b>Redirect</b>.</p>
            </li>
            <li><b>Formato NameId</b> - el parámetro <b>NameID</b> permite al SP identificar un usuario. Seleccione uno de los formatos disponibles de la lista.</li>
        </ul>
        <div class="notehelp">Es posible personalizar el botón que se usa para acceder al portal con el servicio Single Sign-on en la página de autenticación de ONLYOFFICE. Usted puede hacerlo usando el campo <b>Texto personalizado para botón de acceso</b> en la sección <b>Ajustes de ONLYOFFICE SP</b>.</div>
        <p>También se puede añadir los certificados de IdP y SP.</p>
        <h5>Certificados públicos del IdP</h5>
        <p><b>Certificados públicos del IdP</b> - esta sección le permite añadir los certificados públicos del Proveedor de Identidad usados por el SP para verificar las solicitudes y respuestas del IdP.</p>
        <p>Si Usted ha cargado los metadatos de IdP, estos certificados se añadirán al <b>Panel de Control</b> automáticamente. De lo contrario, los certificados se pueden encontrar en la cuenta de su IdP. Para añadir un certificado manualmente pulse el botón <b>Añadir certificado</b>. Se abrirá la ventana <b>Nuevo certificado</b>. Introduzca el certificado en el campo <b>Certificado público</b> y pulse el botón <b>OK</b>.</p>
        <p>Establezca unos parámetros adicionales para certificados marcando las casillas correspondientes.</p>
        <p>Especifique qué firmas de solicitudes/respuestas enviadas del IdP al SP deben verificarse:</p>
        <ul>
            <li><b>Verificar Firma de Respuestas de Autenticación</b> - para verificar firmas de respuestas de autenticación de SAML enviadas al SP.</li>
            <li><b>Verificar Firma de Solicitudes de Logout</b> - para verificar firmas de solicitudes de logout (cierre de sesión) de SAML enviadas al SP.</li>
            <li><b>Verificar Firma de Respuestas de Logout</b> - para verificar firmas de respuestas de logout (cierre de sesión) de SAML enviadas al SP.</li>
        </ul>
        <p>Seleccione el algoritmo necesario de la lista <b>Algoritmo Predeterminado de Verificación de Firmas</b>: <code>rsa-sha1</code>, <code>rsa-sha256</code> o <code>rsa-sha512</code>.</p>
        <div class="notehelp">Ajustes predeterminados se usan solo en los casos, si en los metadatos de IdP no se especifica qué algoritmo debe ser usado.</div>
        <p>Usted puede editar o eliminar los certificados añadidos usando el enlace correspondiente.</p>
        <h5>Certificados del SP</h5>
        <p><b>Certificados del SP</b> - esta sección le permite añadir los certificados del Proveedor de Servicios usados para firmar y cifrar las solicitudes y respuestas del SP.</p>
        <p>Si su IdP requiere que los datos de entrada estén firmados y/o cifrados, cree o añada certificados correspondientes en esta sección.</p>
        <p>Haga clic en el botón <b>Añadir certificado</b>. Se abrirá la ventana <b>Nuevo Certificado</b>. Usted puede generar un certificado autofirmado o añadir un certificado existente en el campo <b>Certificado Público</b> y la clave privada correspondiente en el campo <b>Clave privada</b>. En la lista <b>Usar para</b> seleccione una de las opciones disponibles: <code>signing</code>, <code>encrypt</code>, <code>signing and encrypt</code>. Cuando esté listo, pulse el botón <b>OK</b>.</p>
        <p>Dependiendo del propósito del certificado seleccionado en la lista <b>Usar para</b> al cargar/generar el certificado, se especifican los parámetros adicionales del certificado. Los siguientes parámetros definen qué solicitudes/respuestas enviadas del SP al IdP deben ser firmadas:</p>
        <ul>
            <li><b>Firmar Solicitudes de Autenticación</b> - para que SP firme solicitudes de autenticación de SAML enviadas al IdP.</li>
            <li><b>Firmar Solicitudes de Logout</b> - para que SP firme solicitudes de logout (cierre de sesión) de SAML enviadas al IdP.</li>
            <li><b>Firmar Respuestas de Logout</b> - para que SP firme respuestas de logout (cierre de sesión) de SAML enviadas al IdP.</li>
        </ul>
        <p>Si Usted ha seleccionado la opción <code>encrypt</code> o <code>signing and encrypt</code> en la lista <b>Usar para</b>, se marcará el parámetro <b>Descifrar confirmaciones</b> también. El descifrado se realiza con la ayuda de la <b>Clave privada</b> correspondiente.</p>
        <p>Seleccione los algoritmos necesarios de las listas:</p>
        <ul>
            <li><b>Algoritmo de Firma</b>: <code>rsa-sha1</code>, <code>rsa-sha256</code> o <code>rsa-sha512</code>.</li>
            <li><b>Algoritmo Predeterminado de Descifrado</b>: <code>aes128-cbc</code>, <code>aes256-cbc</code> o <code>tripledes-cbc</code>.</li>
        </ul>
        <p>Usted puede editar o eliminar los certificados añadidos usando el enlace correspondiente.</p>
        <h5>Mapeo de atributos</h5>
        <p><b>Mapeo de atributos</b> - esta sección le permite establecer la correspondencia de los campos en el módulo <b>Personas</b> de ONLYOFFICE a los atributos de usuario que serán devueltos del IdP. Cuando un usuario ingresa en el ONLYOFFICE SP usando las credenciales SSO, ONLYOFFICE SP recibe los atributos requeridos y completa el nombre completo y la dirección de correo electrónico en la cuenta de usuario con los valores recibidos del IdP. Si el usuario no existe en el módulo Personas, se creará automáticamente. Si la información sobre usuario se ha modificado en el lado del IdP, los datos se actualizarán en SP también.</p>
        <p>Los atributos disponibles son:</p>
        <ul>
            <li><b>Nombre</b> (campo obligatorio) - un atributo en registro de usuario que corresponde al nombre de usuario.</li>
            <li><b>Apellido</b> (campo obligatorio) - un atributo en registro de usuario que corresponde al apellido de usuario.</li>
            <li><b>Dirección de correo electrónico</b> (campo obligatorio) - un atributo en registro de usuario que corresponde a la dirección de correo electrónico.</li>
            <li><b>Ubicación</b> - un atributo en registro de usuario que corresponde a la ubicación de usuario.</li>
            <li><b>Posición</b> - un atributo en registro de usuario que corresponde a la posición de usuario.</li>
            <li><b>Teléfono</b> - un atributo en registro de usuario que corresponde al número de teléfono de usuario.</li>
        </ul>
        <p>Cuando todos los parámetros se especifican en el <b>Panel de Control</b>, pulse el botón <b>Guardar</b>. Se abrirá la sección <b>Metadatos de ONLYOFFICE SP</b>.</p>
        <h2 id="RegisterSP">Registro de ONLYOFFICE como un Proveedor de Servicios de confianza en su Proveedor de Identidad</h2>
        <p>Ahora Usted necesita añadir ONLYOFFICE como un Proveedor de Servicios de confianza en su cuenta IdP especificando los metadatos de ONLYOFFICE SP en el IdP.</p>
        <p>Para recibir los datos necesarios consulte esta sección <b>Metadatos de ONLYOFFICE SP</b> en la página <b>SSO</b>. Verifique que los datos de SP sean accesibles al público. Para hacerlo haga clic en el botón <b>Descargar XML de Metadatos de SP</b>. El contenido del archivo XML se mostrará en una pestaña nueva del navegador. Guarde los datos como un archivo XML para poder cargarlo al IdP.</p>
        <p>Como alternativa, Usted puede copiar parámetros independientes manualmente haciendo clic en el botón <b>Copiar al portapapeles</b> en los campos correspondientes.</p>
        <p>Los atributos disponibles son:</p>
        <ul>
            <li><b>ID de la entidad del SP</b> (enlace al XML de metadatos) - la dirección URL del archivo XML del Proveedor de Servicios que puede ser descargado y usado por el Proveedor de Identidad para identificar inequívocamente el SP. De forma predeterminada, el archivo está situado en la siguiente dirección: <span class="param-type">http://example.com/sso/metadata</span> donde example.com es el nombre de dominio o la dirección IP pública del portal ONLYOFFICE.</li>
            <li><b>URL del consumidor de confirmaciones del SP</b> (se soportan los vinculantes POST y Redirect) - la dirección URL del Proveedor de Servicios donde recibe y procesa confirmaciones del Proveedor de Identidad. De forma predeterminada, se usa la dirección siguiente: <span class="param-type">http://example.com/sso/acs</span> donde example.com es el nombre de dominio o la dirección IP pública del portal ONLYOFFICE.</li>
            <li><b>URL de Single Logout del SP</b> (se soportan los vinculantes POST y Redirect) - la dirección URL usada para single logout en el lado del Proveedor de Identidad. Es la dirección del punto final en su SP donde recibe y procesa solicitudes/respuestas de logout (cierre de sesión) del Proveedor de Identidad. De forma predeterminada, se usa la dirección siguiente: <span class="param-type">http://example.com/sso/slo/callback</span> donde example.com es el nombre de dominio o la dirección IP pública del portal ONLYOFFICE.</li>
        </ul>
        <div class="notehelp">Estos parámetros y el contenido del archivo XML difieren dependiendo de la configuración de su portal, por ejemplo, si Usted cambie su portal al HTTPS o especifique un nombre de dominio, los parámetros se cambiarán también y Usted necesitará reconfigurar su IdP.</div>
        <h2 id="LogIn">Acceso al ONLYOFFICE SP</h2>
        <p>Después de activar y configurar SSO, el proceso de acceso se realiza del modo siguiente:</p>
        <ol>
            <li>Un usuario solicita acceso al ONLYOFFICE haciendo clic en el botón <b>Single Sign-on</b> (el nombre del botón puede variar si Usted ha especificado su propio texto al configurar ONLYOFFICE SP) en la página de autenticación del portal ONLYOFFICE (SSO iniciado por SP).</li>
            <li>Si todos los ajustes de IdP y SP se fijan de forma correcta, ONLYOFFICE envía la solicitud de autenticación al IdP y redirige al usuario hacia la página IdP donde él/ella se le pedirá credenciales.</li>
            <li>Si el usuario aún no ha iniciado sesión en el IdP, él/ella introduce credenciales en el IdP.</li>
            <li>IdP crea la respuesta de autenticación que contiene datos del usuario y envíala al ONLYOFFICE.</li>
            <li>ONLYOFFICE recibe la respuesta de autenticación del Proveedor de Identidad y la valida.</li>
            <li>Si la respuesta está validada, ONLYOFFICE permite al usuario acceder (si el usuario no existe, se creará automáticamente, o si los datos han sido modificados en el IdP, se actualizarán).</li>
        </ol>
        <p>También es posible usar la página sign-in en el lado del Proveedor de Identidad (SSO iniciado por IdP), introducir credenciales y luego acceder al portal ONLYOFFICE sin re-autenticación.</p>
        <h2 id="LogOut">Cierre de sesión del ONLYOFFICE SP</h2>
        <p>Cierre de sesión se puede hacer usando 2 modos disponibles:</p>
        <ol>
            <li>Del portal ONLYOFFICE usando el menú <b>Salir</b> (en este caso la solicitud será enviada del IdP para cerrar sesión). También el usuario debe desconectarse automáticamente del IdP, si él/ella ha salido de todas las otras aplicaciones a las que él/ella se ha concedido acceso antes a través de la autenticación SSO.</li>
            <li>De la página de cierre de sesión del IdP.</li>
        </ol>
        <h2 id="EditUserProfile">Edición de los perfiles de usuarios creados usando SSO</h2>
        <p>Los usuarios creados usando la autenticación SSO se marcan con el icono SSO en la lista de usuarios para los administradores de portal.</p>
        <p>La posibilidad de editar los perfiles de tales usuarios en el módulo Personas está restringida. Los campos del perfil de usuario que han sido creados usando la autenticación SSO están desactivados para edición en el módulo Personas. Los datos de usuario pueden ser cambiados solo en el lado del IdP.</p>
    </div>
</div>