Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

G Suite (Google Apps) for Education

O usluzi G Suite for Education

Važna napomena

Preduvjeti

Podešavanje parametara na strani sustava AAI@EduHr

Podešavanje parametara na strani G Suite for Education

Važno! - Zamjena metapodataka u konfiguraciji G Suite for Education 27. 7. 2017.

 

O usluzi G Suite for Education:

Ustanovama koje koriste G Suite (Google Apps) for Education Google omogućuje Single Sign-On autentikaciju uporabom SAML protokola koji je podržan i od strane AAI@EduHr sustava. Stoga je prilikom pristupanja pojedinim Google web aplikacijama moguća autentikacija korisnika uporabom njihovih AAI@EduHr elektroničkih identiteta. Više informacija o usluzi G Suite for Education te prednostima i eventualnim nedostacima uporabe Single Sign-On autentikacije za G Suite možete pronaći na sljedećim stranicama:

https://edu.google.com/products/productivity-tools/

https://support.google.com/a/answer/60224?hl=en

U nastavku su navedene upute za konfiguriranje G Suite tako da se autentikacija korisnika može vršiti putem sustava AAI@EduHr.
 

Važno!

Ove upute nastale su u namjeri da se ustanovama koje to žele omogući prijava korisnika u G Suite for Education uporabom elektroničkih identiteta u sustavu AAI@EduHr. Međutim, administratori sustava AAI@EduHr nemaju nikakve formalne veze s uslugom G Suite for Education niti pružaju bilo kakvu podršku pri uporabi aplikacija obuhvaćenih navedenom uslugom. Za odgovore na sva pitanja vezana uz uslugu G Suite for Education, kao i rješavanje eventualnih problema prilikom korištenja usluge trebate kontaktirati izravno Google.
 

Preduvjeti:

Da bi autentikacija korisnika na G Suite for Education putem sustava AAI@EduHr bila moguća, korisnici moraju imati prethodno kreirane Google korisničke račune koji moraju biti identični njihovim korisničkim oznakama u sustavu AAI@EduHr.
 

Podešavanje parametara na strani sustava AAI@EduHr:

Za početak je putem AAI@EduHr registra resursa potrebno registrirati G Suite za vašu ustanovu kao novu uslugu u sustavu AAI@EduHr.

Ako nemate dozvolu pristupa Registru resursa, pošaljite nam svoju korisničku oznaku elektroničkom poštom na adresu aai@srce.hr pa ćemo vam omogućiti pristup Registru.

Nakon što se prijavite u Registar resursa, kliknite na ikonicu Resursi koji koriste SAML protokol i zatim pri dnu prozora koji će vam se otvoriti kliknite na Zatraži registraciju novog resursa. Otvorit će vam se forma za unos podataka o novom resursu:

  • U polje Naziv resursa upišite: G Suite za [naziv_ustanove]
     
  • U polje Opis resursa upišite: G Suite za domenu [LDAP_domena_ustanove]
     
  • U izborniku Vrsta resursa odaberite produkcija;
     
  • U izborniku Matična ustanova s kojom je resurs povezan odaberite vašu matičnu ustanovu;
     
  • U izborniku Partner federacije s kojim je resurs povezan odaberite opciju resurs nije povezan niti s jednim partnerom federacije;
     
  • U izborniku Globalni servis kojem resurs pripada odaberite ne pripada niti jednom;
     
  • U polje Web adresa (URL) na kojoj se aplikacija nalazi upišite https://google.com/a/LDAP_domena_ustanove
     
  • U polje Jedinstveni identifikator resursa (entityID) upišite google.com/a/LDAP_domena_ustanove
     
  • U polje AssertionConsumerService URL upišite https://www.google.com/a/LDAP_domena_ustanove/acs
     
  • Polje SingleLogoutService URL mora ostati prazno!
     
  • U izborniku Redirect Sign odaberite false;
     
  • U izborniku Shema po kojoj se mapiraju atributi odaberite Google Apps for Education;
     
  • U izborniku Verzija SAML protokola koju servis koristi odaberite 2.0;
     
  • Na popisu atributa koje sustav AAI@EduHr treba isporučivati aplikaciji odaberite atribute hrEduPersonHomeOrg i hrEduPersonUniqueID;
     

Ostale podatke popunite po vlastitom nahođenju, na kraju kliknite na opciju Pošalji zahtjev za registracijom i pričekajte da netko od administratora sustava AAI@EduHr odobri vaš zahtjev. Obavijest o odobravanju zahtjeva dobit ćete elektroničkom poštom.
 

Podešavanje parametara na strani G Suite for Education:

Nakon što se uporabom administratorske korisničke oznake i zaporke koju vam je dodijelio Google prijavite u Google administrativno sučelje kliknite na ikonicu Security (ako ne vidite navedenu ikonicu, nalazi se u izborniku More controls pri dnu ekrana):
 

g_suite_img_1


i potom odaberite opciju Set up single sign-on (SSO):

 

g_suite_img_2


Otvorit će vam se izbornik Set up single sign-on (SSO) kao što je prikazano na sljedećoj slici:

 

g_suite_img_3


Polja Enable Single Sign-On i Use a domain specific issuer potrebno je označiti (staviti kvačicu).

U polje Sign-in page URL potrebno je upisati adresu AAI@EduHr Single Sign-On autentikacijskog servisa:

https://login.aaiedu.hr/sso/saml2/idp/SSOService.php

a u polje Sign-out page URL treba upisati sljedeći URL:

https://login.aaiedu.hr/sso/logout.php

U polje Change password URL upišite adresu web sučelja za administraciju korisničkih podataka u LDAP imeniku vaše ustanove.

Pod opcijom Verification certificate učitajte odgovarajući certifikat za središnji autentikacijski servis (kliknite na Browse..., odaberite putanju do certifikata i na kraju kliknite na Upload). Certifikat možete dohvatiti s ove adrese na način da na prethodni link kliknete desnim gumbom miša i odaberete opciju Save Link As....

Polje Network masks možete ostaviti prazno, osim ako sigurnosna politika vaše ustanove ne nalaže drugačije.

Nakon što popunite sve podatke, obrazac bi tebao izgledati otprilike kao što je prikazano na sljedećoj slici:

 

g_suite_img_4

 

Kliknite na Save changes.

Nakon toga korisnici iz vaše ustanove prilikom prijave u G Suite uslugu:

https://gsuite.google.com

bit će preusmjeravani na središnji AAI@EduHr autentikacijski servis gdje trebaju unijeti svoju AAI@EduHr korisničku oznaku i zaporku. U slučaju uspješne autentikacije korisniku će biti dozvoljen pristup te će biti automatski preusmjeren na odgovarajuću Google aplikaciju.
 

Važno! - Zamjena metapodataka SSO servisa u konfiguraciji G Suite for Education 27. 7. 2017.

Certifikat koji G Suite koristi za validaciju autentikacijskih odgovora AAI@EduHr SSO servisa istječe 27. srpnja 2017. Sukladno tome, 27. srpnja u 7:00 sati izvršit ćemo instalaciju novog certifikata na strani SSO servisa, a sve ustanove koje za autentikaciju korisnika na Google Apps koriste sustav AAI@EduHr, 27. srpnja morat će kroz G Suite administrativno sučelje učitati novi certifikat.

Novi certifikat možete unijeti na način da se s administratorskim korisničkim računom prijavite u G Suite administrativno sučelje i odaberete opciju Security pa Set up single sign-on (SSO) i u formi koja će vam se otvoriti ažurirate vrijednost parametra Verification certificate:
 

g_suite_img_5

Novi certifikat u CRT/PEM formatu dostupan je na adresi:

https://login.aaiedu.hr/sso/module.php/saml/idp/certs.php/idp.crt