Nastavení SAML2 Identity Provider (např. EduID)
Pro zprovoznení IdP je třeba nastavit následující:
Základní nastavení
Zapnutí SAML2 IdP v
auth.saml2.idp.enabled
Nastavení EntityId v
auth.saml2.idp.entityId
hodnotouhttps://<domena_knihovny>/auth/saml2-idp
(pozor, není to doména katalogu), např. “https://knihovnahornidolni.cz/auth/saml2-idp”Nastavení domény v
auth.saml2.idp.scopeDomain
- rozsah platnosti IdP formou domény. Např. pro instituci “Knihovna Horní Dolní”, která provozuje katalog na “https://katalog.knihovnahornidolni.cz” bude doména nejčastěji “knihovnahornidolni.cz”.
Nastavení vyžadování digitálního podpisu u AuthNRequestu
Nastavení auth.saml2.idp.authNRequestSignatureRequired
- pokud se jedná o připojení k CPK, je třeba nastavit na false
.
Nastavení provozující instituce
Je třeba provázat knihovnu (def_pujc
) s institucí v tabulce instituce
. Tzn., že je třeba vytvořit instituci (přes Verbis nebo Portaro) s kontaktními údaji, včetně homepage - domovské stránky knihovny (nikoliv katalogu, např. “knihovnahornidolni.cz”). a její id pak nastavit do def_pujc.institution_id
.
Daná instituce musí mít nastavený anglický název. Ten se nastaví standardně v lokalizaci pod klíčem users.{userId}.name
.
Nastavení kontaktní osoby
Nastavení auth.saml2.idp.technicalContactPersonId
- ID kontaktní osoby (tabulka OSOBY
) v knihovně.
Nastavení loga instituce
Logo instituce lze nastavit přes Portaro, v menu nastavení -> editace designu je třeba přidat složku institution
a do ní soubor logo.png
výšky 40px (může být větší, portaro si ho samo zmenší).
Odeslání metadat service providerovi (např. EduID)
Pokud je vše správně nastaveno, stránka /auth/saml2-idp
(https://katalog.knihovnahornidolni.cz/auth/saml2-idp) vygeneruje medadata xml. To (nebo jen url adresu) je třeba poslat k zaregistrování service providerovi.
Nastavení rozlišování běžných členů knihovny od jejich zaměstnanců
Některé služby (SP, Service Provider) vyžadují posílání atributu (eduPersonAffiliation nebo eduPersonScopedAffiliation), kterým se rozlišuje, zda je přihlašovaný uživatel std. členem (member) nebo zaměstnancem knihovny (employee), který může mít vyšší práva.
K tomu je třeba mít správně nastavený klíč OPAC_USER.EmployeeReaderCategories
, definující seznam čtenářských kategorií představujících zaměstnance.
Viz https://www.eduid.cz/cs/tech/attributes/edupersonaffiliation, https://www.eduid.cz/cs/tech/attributes/edupersonscopedaffiliation
Odeslání attributu pro kontrolu do EduID
Např… https://attributes.eduid.cz/Shibboleth.sso/Login?entityID=https://katalog.vcm.cz/auth/saml2-idp