====== Nastavení federativní autentizace u CPK - Knihovny.cz ======

===== Konfigurace =====

Pro zapojení knihovny do portálu Knihovny.cz (Centrálního portálu knihoven, CPK) je potřeba splňovat [[https://www.knihovny.cz/Portal/Page/jak-se-zapojit|technické požadavky a uzavřít smlouvu]].

Aby bylo možné knihovnu do CPK bezpečně zapojit, je nutné, aby podporovala odhlášení. Pro implementaci funkčního odhlášení z IdP se prozatím nabízí dvě možnosti:

  * S využitím SLO (single logout) - prozatím Shibboleth IdP nepodporuje, ale existuje zde možnost vyzkoušet maďarský plugin pro podporu SLO u Shibboleth IdP: https://wiki.niif.hu/ShibIdpSLO#Non-trivial_settings
  * S využitím možnosti respektovat session SP, což u Shibboleth IdP nabízí pouze 3. verze: v souboru conf/idp.properties povolte //trackSPSessions: idp.session.trackSPSessions = true//

===== Používané atributy ===== 

Používají se atributy //eduPersonUniqueId//, //eduPersonPrincipalName//, //userLibraryId//, //eduPersonScopedAffiliation//, //eduPersonAffiliation//, //o//, //ou//, //givenName//, //sn//, //cn//, //mail//.

Povinným atributem je //eduPersonPrincipalName//. 

Pro využití služeb knihovních systémů se používá atribut //userLibraryId// (respektive //alephID// pro knihovní systém Aleph). Tento atribut je unikátním identifikátorem uživatele a musí být použitelný pro komunikaci přes NCIP či Aleph Rest API, jinak nedojde k zapojení knihovny. (u NCIP protokolu se tedy s tímto identifikátorem musí zdařit služba LookupUser).


Definice userLibraryId:
<code>
<resolver:AttributeEncoder xsi:type="enc:SAML2String"
name="https://shib.knihovny.cz/attribute-def/userLibraryId"
                               friendlyName="userLibraryId" /⁠>
</code>

Definice alephID:
<code>
<resolver:AttributeEncoder xsi:type="enc:SAML2String"
name="https://shib.knihovny.cz/attribute-def/alephID"
                               friendlyName="alephID" /⁠>
</code>

Jako hodnota atributu alephID se mapuje hodnota pole z308_id z tabulky z308.

Pokud IdP neposkytuje userLibraryId nebo alephID proprietární pro CPK, v CPK pro organizaci pak nebude funkční objednávání, rezervace a prodlužování publikací.

Další atributy, které je vhodné uvolňovat, jsou //givenName// (urn:oid:2.5.4.42), //sn// (urn:oid:2.5.4.4), //mail// (urn:oid:1.2.840.113549.1.9.1 či urn:oid:0.9.2342.19200300.100.1.3).

Požadované a volitelné atributy jsou uvedené v [[https://metaman.eduid.cz/entities/433|metadatech SP CPK]]. 

Výše uvedené atributy je třeba uvolňovat pro SP CPK s následujícími entity ID: 
  * https://sp.knihovny.cz/
  * https://beta.knihovny.cz/ 
  * https://cpk-front.mzk.cz/
  * https://cpk-front-devel.mzk.cz/


===== Přístup =====

Po aktivaci mají uživatelé Vaši instituce k dispozici federativní autentizaci u CPK - http://www.knihovny.cz.




===== WAYFless odkazy =====

Pro vytvoření WAYFless odkazu můžete použít šablonu s Vaším entityID:
<code>
https://portal.knihovny.cz/Shibboleth.sso/DS?
entityID=[IdP ENTITY ID]
&target=https%3A%2F%2Fportal.knihovny.cz%2FMyResearch%2FHome%3Fauth_method%3DShibboleth
</code>

Například pro Moravskou zemskou knihovnu v Brně vypadá WAYFless odkaz takto:
\\
https://portal.knihovny.cz/Shibboleth.sso/DS?entityID=https%3A%2F%2Fshibboleth.mzk.cz%2Fsimplesaml%2Fmetadata.xml&target=https%3A%2F%2Fportal.knihovny.cz%2FMyResearch%2FHome%3Fauth_method%3DShibboleth



Pro WAYFless odkaz na beta verzi portálu zaměňte odkazu všechny výskyty “portal” za “beta”.