|
|
Návod zpracovaný také na adrese https://help.verbis.io/everbis/introduction/
|
|
|
|
|
|
|
|
|
Pro zprovoznení IdP je třeba nastavit následující:
|
|
|
|
|
|
### Základní nastavení
|
|
|
- Zapnutí SAML2 IdP v `auth.saml2.idp.enabled`
|
|
|
- Nastavení EntityId v `auth.saml2.idp.entityId` hodnotou `https://<domena_knihovny>/auth/saml2-idp` (pozor, není to doména katalogu), např. "https://knihovnahornidolni.cz/auth/saml2-idp"
|
|
|
- Nastavení domény v `auth.saml2.idp.scopeDomain` - Rozsah platnosti IdP formou domény. Např. pro instituci "Knihovna Horní Dolní", která provozuje katalog na "https://katalog.knihovnahornidolni.cz" bude doména nejčastěji "knihovnahornidolni.cz".
|
|
|
|
|
|
### Nastavení vyžadování digitálního podpisu u AuthNRequestu
|
|
|
Nastavení `auth.saml2.idp.authNRequestSignatureRequired` - Pokud se jedná o připojení k CPK, je třeba nastavit na `false`.
|
|
|
|
|
|
### Nastavení provozující instituce
|
|
|
Je třeba provázat knihovnu (`def_pujc`) s institucí v tabulce `instituce`. Tzn., je třeba vytvořit instituci (přes Verbis nebo Portaro) s kontaktními údaji, včetně homepage - domovské stránky knihovny (nikoliv katalogu, např. "knihovnahornidolni.cz"). a její id pak nastavit do `def_pujc.institution_id`.
|
|
|
Daná instituce musí mít nastavený anglický název. Ten se nastaví standardně v lokalizaci pod klíčem `users.{userId}.name`.
|
|
|
|
|
|
### Nastavení kontaktní osoby
|
|
|
Nastavení `auth.saml2.idp.technicalContactPersonId` - ID kontaktní osoby (tabulka `OSOBY`) v knihovně.
|
|
|
|
|
|
### Nastavení loga instituce
|
|
|
Přes Portaro, menu nastavení -> editace designu je třeba přidat složku `institution` a o ní soubor `logo.png` výšky 40px (muze byt vetsi, portaro si ho samo zmensi).
|
|
|
|
|
|
### Odeslání metadat service providerovi (např. EduID)
|
|
|
Pokud je vše správně nastaveno, stránka `/auth/saml2-idp` (https://katalog.knihovnahornidolni.cz/auth/saml2-idp) vygeneruje medadata xml. To (nebo jen tu url) je třeba poslat k zaregistrování service providerovi.
|
|
|
|
|
|
### Nastavení rozlišování běžných členů knihovny od jejich zaměstnanců
|
|
|
Některé služby (SP, Service Provider) vyžadují posílání atributu (eduPersonAffiliation nebo eduPersonScopedAffiliation), kterým se rozlišuje, zda je přihlašovaný uživatel std. členem (member) nebo zaměstnancem knihovny (employee), který může mít vyšší práva.
|
|
|
K tomu je třeba mít správně nastavený klíč `OPAC_USER.EmployeeReaderCategories`, definující seznam čten. kategorií představujících zaměstnance
|
|
|
|
|
|
Viz https://www.eduid.cz/cs/tech/attributes/edupersonaffiliation, https://www.eduid.cz/cs/tech/attributes/edupersonscopedaffiliation
|
|
|
|
|
|
|
|
|
### Odeslani attributu pro kontrolu do eduid
|
|
|
|
|
|
napr...
|
|
|
https://attributes.eduid.cz/Shibboleth.sso/Login?entityID=https://katalog.vcm.cz/auth/saml2-idp |
|
|
\ No newline at end of file |
|
|
Návod zpracovaný v nápovědě k systému [eVerbis](https://help.verbis.io/everbis/1100-advanced-system-settings/1120-saml2-identity-provider-settings/). |