Здравствуйте!
По многочисленным просьбам пользователей мы расширили возможности SSO-аутентификации на порталах ONLYOFFICE. В этом посте мы расскажем об использовании этой функции с помощью сервиса Shibboleth.
SSO (или Single Sign-on, или Единый вход) позволяет включить возможность аутентификации с помощью доверенной третьей стороны. При этом используется одна и та же учетная запись для доступа к нескольким приложениям.
- SSO позволяет уменьшить парольный хаос между различными комбинациями имени пользователя и пароля;
- С помощью SSO удобно управлять множеством аккаунтов;
- SSO – это еще один способ снизить риск несанкционированного доступа, поскольку пароли не хранятся в системе.
История проекта Shibboleth началась 17 лет назад, и сейчас он является одним из самых популярных и широко используемых решений для SSO-аутентификации в веб-сервисах. Это программный продукт с открытым исходным кодом, основанный на открытом стандарте обмена данными аутентификации и авторизации SAML (Security Assertion Markup Language).
Что касается функции eдиного входа в ONLYOFFICE, Shibboleth выступает в качестве поставщика учетных записей (IDP) для корпоративных учетных записей (IdP). То есть, когда пользователь осуществляет вход с использованием корпоративной учетной записи, ONLYOFFICE получает от Shibboleth атрибуты с именами и с помощью этих данных заполняет необходимые для входа на портал поля.
Упомянутый выше стандарт SAML позволяет ONLYOFFICE и Shibboleth безопасно обмениваться данными между собой с помощью токенов, в которых в зашифрованной форме хранятся пароли. Шифрование в данном случае гарантирует сохранность пароля в том случае, если токен будет скомпрометирован.
Читайте больше об SSO в нашем Справочном центре. Подробная инструкция, как настроить Shibboleth доступна здесь.
