cs:tech:sources:cpk

Nastavení autentizace a autorizace u Centrálního portálu knihoven

Konfigurace

Federativní autentizace je otevřená pro všechny IdP v eduID, kteří uvolňují atribut eduPersonPrincipalName.

Pro plné zapojení knihovny je potřeba splňovat technické požadavky a uzavřít smlouvu.

Aby bylo možné knihovnu do portálu bezpečně zapojit, je nutné, aby podporovala odhlášení. Pro implementaci funkčního odhlášení z IdP se prozatím nabízí dvě možnosti:

  • S využitím SLO (single logout) - prozatím Shibboleth IdP nepodporuje, ale existuje zde možnost vyzkoušet maďarský plugin pro podporu SLO u Shibboleth IdP: https://wiki.niif.hu/ShibIdpSLO#Non-trivial_settings
  • S využitím možnosti respektovat session SP, což u Shibboleth IdP nabízí pouze 3. verze: v souboru conf/idp.properties povolte trackSPSessions: idp.session.trackSPSessions = true

Atributy používané pro autentizaci

Pro využití služeb knihovních systémů potřebujeme atribut userLibraryId (respektive alephID pro knihovní systém Aleph). Tento atribut je unikátním identifikátorem uživatele a musí být použitelný pro komunikaci přes NCIP či Aleph Rest API, jinak nedojde k zapojení knihovny. (u NCIP protokolu se tedy s tímto identifikátorem musí zdařit služba LookupUser).

Definice userLibraryId:

<resolver:AttributeEncoder xsi:type="enc:SAML2String"
name="https://shib.knihovny.cz/attribute-def/userLibraryId"
                               friendlyName="userLibraryId" /⁠>

Definice alephID:

<resolver:AttributeEncoder xsi:type="enc:SAML2String"
name="https://shib.knihovny.cz/attribute-def/alephID"
                               friendlyName="alephID" /⁠>

Jako hodnota atributu alephID se mapuje hodnota pole z308_id z tabulky z308.

Pokud IdP knihovny neposkytuje userLibraryId nebo alephID proprietární pro CPK, v CPK pro organizaci pak nebude funkční objednávání, rezervace a prodlužování publikací.

Další atributy, které je vhodné uvolňovat, jsou givenName (urn:oid:2.5.4.42), sn (urn:oid:2.5.4.4), mail (urn:oid:1.2.840.113549.1.9.1 či urn:oid:0.9.2342.19200300.100.1.3).

Výše uvedené atributy je třeba uvolňovat pro SP CPK s následujícími entityID: https://beta.knihovny.cz/, https://sp.knihovny.cz/ , https://cpk-front.mzk.cz/, https://cpk-front-devel.mzk.cz/

Přístup

Po aktivaci mají uživatelé Vaši instituce k dispozici federativní autentizaci u CPK, nyní v beta verzi - http://beta.knihovny.cz.

CPK využívá WAYF eduID.cz.

WAYFless odkazy

Pro vytvoření WAYFless odkazu můžete použít šablonu s Vaším entityID:

https://portal.knihovny.cz/Shibboleth.sso/DS?
entityID=[IdP ENTITY ID]
&target=https%3A%2F%2Fportal.knihovny.cz%2FMyResearch%2FHome%3Fauth_method%3DShibboleth

Například pro Moravskou zemskou knihovnu v Brně vypadá WAYFless odkaz takto:

https://portal.knihovny.cz/Shibboleth.sso/DS?
entityID=https%3A%2F%2Fshibboleth.mzk.cz%2Fsimplesaml%2Fmetadata.xml
&target=https%3A%2F%2Fportal.knihovny.cz%2FMyResearch%2FHome%3Fauth_method%3DShibboleth

Pro WAYFless odkaz na beta verzi portálu zaměňte odkazu všechny výskyty “portal” za “beta”.

Stávající omezení

  • V beta verzi probíhá řada úprav.
Poslední úprava: 2017/02/10 07:02