Nastavení SAML2 Identity Provider (např. EduID)

Pro zprovoznení IdP je třeba nastavit následující:

Základní nastavení

  • Zapnutí SAML2 IdP v auth.saml2.idp.enabled

  • Nastavení EntityId v auth.saml2.idp.entityId hodnotou https://<domena_knihovny>/auth/saml2-idp (pozor, není to doména katalogu), např. “https://knihovnahornidolni.cz/auth/saml2-idp”

  • Nastavení domény v auth.saml2.idp.scopeDomain - rozsah platnosti IdP formou domény. Např. pro instituci “Knihovna Horní Dolní”, která provozuje katalog na “https://katalog.knihovnahornidolni.cz” bude doména nejčastěji “knihovnahornidolni.cz”.

Nastavení vyžadování digitálního podpisu u AuthNRequestu

Nastavení auth.saml2.idp.authNRequestSignatureRequired - pokud se jedná o připojení k CPK, je třeba nastavit na false.

Nastavení provozující instituce

Je třeba provázat knihovnu (def_pujc) s institucí v tabulce instituce. Tzn., že je třeba vytvořit instituci (přes Verbis nebo Portaro) s kontaktními údaji, včetně homepage - domovské stránky knihovny (nikoliv katalogu, např. “knihovnahornidolni.cz”). a její id pak nastavit do def_pujc.institution_id.

Daná instituce musí mít nastavený anglický název. Ten se nastaví standardně v lokalizaci pod klíčem users.{userId}.name.

Nastavení kontaktní osoby

Nastavení auth.saml2.idp.technicalContactPersonId - ID kontaktní osoby (tabulka OSOBY) v knihovně.

Nastavení loga instituce

Logo instituce lze nastavit přes Portaro, v menu nastavení -> editace designu je třeba přidat složku institution a do ní soubor logo.png výšky 40px (může být větší, portaro si ho samo zmenší).

Odeslání metadat service providerovi (např. EduID)

Pokud je vše správně nastaveno, stránka /auth/saml2-idp (https://katalog.knihovnahornidolni.cz/auth/saml2-idp) vygeneruje medadata xml. To (nebo jen url adresu) je třeba poslat k zaregistrování service providerovi.

Nastavení rozlišování běžných členů knihovny od jejich zaměstnanců

Některé služby (SP, Service Provider) vyžadují posílání atributu (eduPersonAffiliation nebo eduPersonScopedAffiliation), kterým se rozlišuje, zda je přihlašovaný uživatel std. členem (member) nebo zaměstnancem knihovny (employee), který může mít vyšší práva.

K tomu je třeba mít správně nastavený klíč OPAC_USER.EmployeeReaderCategories, definující seznam čtenářských kategorií představujících zaměstnance.

Viz https://www.eduid.cz/cs/tech/attributes/edupersonaffiliation, https://www.eduid.cz/cs/tech/attributes/edupersonscopedaffiliation

Odeslání attributu pro kontrolu do EduID

Např… https://attributes.eduid.cz/Shibboleth.sso/Login?entityID=https://katalog.vcm.cz/auth/saml2-idp

← Nastavení CPK
Nastavení proxy →