- Tehnična dokumentacija
- Prijava v Google Apps preko IdP domače organizacije
Prijava v Google Apps preko IdP domače organizacije
Google ni pridružen član federacije ArnesAAI, zato mora organizacija pred razširitvijo enotne prijave poskrbeti za dvostranske formalnosti z Googlom, predvsem za priznanje statusa izobraževalne organizacija s strani Googla, na podlagi katerega je organizacija upravičena do brezplačne uporabe Google Apps for Education. Vse organizacije, ki imajo lasten IdP, lahko postopek speljejo brez posredovanja Arnesa. Tudi organizacije, ki uporabljajo gostovanje LDAP+IdP na Arnesu, lahko uporabijo ta način prijave*, vendar morajo za spremembo nastavitev IdP konktaktirati Arnes.
POZOR:
organizacije, ki gostijo IdP na Arnesu lahko za Google Apps uporabijo zgolj domeno, ki je enaka kraljestvu (angl. "realm"), ali je poddomena kraljestva! Storitev je v pilotni fazi, zato lahko prihajalo do občasnih težav pri uporabi storitev. Arnes nima vpliva na težave povezane s storitvami Googla. V primeru nezadovoljivega delovanja se lahko Arnes odloči, da Google Apps ne bo podprl v okviru svojih rednih storitev.
Nastavitve Google Apps
Predpostavljamo, da imate pred pričetkom urejanja nastavitev Google Apps že vzpostavljen, povezan z vašo domeno in delujoč.
- Preklop na enotno prijavo
(OPOZORILO: po preklopu na enotno prijavo se bo tudi za administriranje vašega Google Apps
potrebno prijaviti preko SSO, zato predhodno ustvarite ustrezen AAI-račun v imeniku LDAP).
- V Google Apps nadzorni plošči kliknite na "Advanced tools" in nato v razdelku "Authentication" kliknite na "Set up single sign-on (SSO)".
- Naložite digitalno potrdilo (certifikat), ki ga vaš IdP uporablja za varno izmenjavo podatkov preko protokola SAML (POZOR! To ni overjeno spletno digitalno potrdilo, ki ga uporabljate za spletni strežnik, na katerem imate nameščen IdP.). V kolikor uporabljate LDAP+IdP gostovanje, SAML digitalno potrdilo zahtevajte od Arnesa.
- Kliknite na gumb "Save changes"
- Odkljukajte "Enable Single Sing-on"
- Odkljukajte "Use a domain specific issuer"
- V polja vpišite naslednje vrednosti:
- Sign-in page URL: https://idp.aai.arnes.si/simplesaml/saml2/idp/SSOService.php
- Sign-out page URL: https://idp.aai.arnes.si/simplesaml/saml2/idp/initSLO.php?RelayState=/simplesaml/logout.php
- Change password splošni URL: https://idp.aai.arnes.si/prijavnica/sprememba-gesla/
- Change password URL za IdP hosting uporabnike: https://idp.aai.arnes.si/prijavnica/geslo-hosted/
- Kreiranje uporabnikov:
Za vsakega uporabnika, ki se lahko prijavi v Google Apps preko IdP, morate predhodno ustvariti uporabniško ime znotraj Google Apps. Uporabniško ime v Google Apps mora biti enako uporabniškemu imenu AAI-računa pred znakom @. Primer: za AAI-račun janez.kranjski@os-primer.si ustvarimo Google Apps uporabniško ime janez.kranjski. Uporabniška imena lahko ustvarimo tudi masovno (angl. "bulk upload"), z uvozom preko pravilno strukturirane .csv datoteke, pri čemer v stolpec "password" vpišemo naključno generirane nize dolžine 30 ali več znakov. Ta gesla niso v uporabi, razen v primeru, ko uporabnik želi npr. do Gmaila dostopati preko POP3/IMAP protokola (v takem primeru naključni niz spremenimo v uporabniku bolj prijazno geslo - glej opombe spodaj). Googlova priporočila so naslednja:
Nastavitev IdP
Metapodatki Google Apps niso del metapodatkov federacije ArnesAAI, zato jih morate dodati ročno v datoteko saml20-sp-remote.php.
- primer Google Apps metapodatkov za namišljeno OŠ Primer z domeno os-primer.si:
'google.com/a/os-primer.si' => array(
'AssertionConsumerService' => 'https://www.google.com/a/os-primer.si/acs',
'ForceAuthn' => false,
'NameIDFormat' => 'urn:oasis:names:tc:SAML:2.0:nameid-format:email',
'simplesaml.nameidattribute' => 'eduPersonPrincipalName',
'simplesaml.attributes' => false,
'attributes' =>
array (
0 => 'uid',
),
'authproc' => array(
10 => array(
'class' => 'core:AttributeMap',
'eduPersonPrincipalName' => 'uid',
),
),
),
- V primeru uporabe različnih poddomen znotraj organizacije (npr. ucenci.os-primer.si, ucitelji.os-primer.si), je potrebno po enaki metodi strukturirati tudi uporabnike znotraj Google Apps, v nasprotnem lahko pride do prekrivanja med uporabniki, npr. med janez.kranjski@ucenci.os-primer.si in janez.kranjski@ucitelji.os-primer.si!
- V kolikor domena uporabljena na Google Apps in domena kraljestva nista enaki, lahko preslikavo uredite z ustreznim IdP authproc filtrom (ne velja za organizacije, ki gostijo IdP na Arnesu).
Opombe
- neposreden dostop do e-poštnega predala (POP3/IMAP)
Za dostop do e-poštnega predala preko POP3 oz. IMAP protokola z uporabo e-poštnega odjemalca, je uporabniku potrebno določi ločeno geslo, saj s poštnim odjemalcem ni možno izvesti enotne spletne prijave. Dodatno geslo uporabniku določimo tako, da kliknemo na "Organization & users", izberemo želenega uporabnika in kliknemo na "Change password".
Uporaba Google Apps API vmesnika
- Provisioning API: upravljanje Google Apps lahko izvedete tudi z uporabo programskega vmesnika (API) in na ta način avtomatizirate rutinska opravila ali upravljanje integrirate v vaš informacijski sistem.
Primer enostavne Python skripte, ki omogoča pregled stanja posameznega uporabnika (predhodno morate namestiti gdata knjižnico - http://code.google.com/p/gdata-python-client/)
Primer izpisa skripte:
Povezave do dokumentacije programskih vmesnikov:
- Provisioning API - http://code.google.com/googleapps/domain/provisioning_API_v2_developers_guide.html
- Reporting API - http://code.google.com/googleapps/domain/reporting/google_apps_reporting_api.html
- Email migration API - http://code.google.com/googleapps/domain/email_migration/developers_guide_protocol.html
- ostali APiji - http://code.google.com/p/gdata-python-client/
