Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

G Suite (Google Apps) for Education

O usluzi G Suite for Education

Važna napomena

Preduvjeti

Podešavanje parametara na strani sustava AAI@EduHr

Podešavanje parametara na strani G Suite for Education

 

O usluzi G Suite for Education:

Ustanovama koje koriste G Suite (Google Apps) for Education Google omogućuje Single Sign-On autentikaciju uporabom SAML protokola koji je podržan i od strane AAI@EduHr sustava. Stoga je prilikom pristupanja pojedinim Google web aplikacijama moguća autentikacija korisnika uporabom njihovih AAI@EduHr elektroničkih identiteta. Više informacija o usluzi G Suite for Education te prednostima i eventualnim nedostacima uporabe Single Sign-On autentikacije za G Suite možete pronaći na sljedećim stranicama:

https://edu.google.com/products/productivity-tools/

https://support.google.com/a/answer/60224?hl=en

U nastavku su navedene upute za konfiguriranje G Suite tako da se autentikacija korisnika može vršiti putem sustava AAI@EduHr.
 

Važno!

Ove upute nastale su u namjeri da se ustanovama koje to žele omogući prijava korisnika u G Suite for Education uporabom elektroničkih identiteta u sustavu AAI@EduHr. Međutim, administratori sustava AAI@EduHr nemaju nikakve formalne veze s uslugom G Suite for Education niti pružaju bilo kakvu podršku pri uporabi aplikacija obuhvaćenih navedenom uslugom. Za odgovore na sva pitanja vezana uz uslugu G Suite for Education, kao i rješavanje eventualnih problema prilikom korištenja usluge trebate kontaktirati izravno Google.
 

Preduvjeti:

Da bi autentikacija korisnika na G Suite for Education putem sustava AAI@EduHr bila moguća, korisnici moraju imati prethodno kreirane Google korisničke račune koji moraju biti identični njihovim korisničkim oznakama u sustavu AAI@EduHr.
 

Podešavanje parametara na strani sustava AAI@EduHr:

Za početak je putem AAI@EduHr registra resursa potrebno registrirati G Suite za vašu ustanovu kao novu uslugu u sustavu AAI@EduHr.

Ako nemate dozvolu pristupa Registru resursa, pošaljite nam svoju korisničku oznaku elektroničkom poštom na adresu aai@srce.hr pa ćemo vam omogućiti pristup Registru.

Nakon što se prijavite u Registar resursa, kliknite u glavnoj traci izbornika na poveznicu Registracija resursa. Otvorit će vam se forma za unos općih podataka o novom resursu:

  • U polje Naziv resursa upišite: G Suite za [naziv_ustanove]
     
  • U polje Opis resursa upišite: G Suite za domenu [LDAP_domena_ustanove]
     
  • U izborniku Vrsta resursa odaberite produkcija
     
  • U izborniku Matična ustanova s kojom je resurs povezan odaberite vašu matičnu ustanovu
     
  • U izborniku Partner federacije s kojim je resurs povezan odaberite opciju resurs nije povezan niti s jednim partnerom federacije
     
  • U izborniku Globalna usluga s kojom je resurs povezan odaberite G Suite
     
  • U polje Web adresa (URL) na kojoj se aplikacija nalazi upišite https://google.com/a/LDAP_domena_ustanove
     
  • U polja odjeljka Kontakt osobe i službe upišite najmanje po jednu osobu za svaku od tri kategorije: voditelj proizvoda, tehnička podrška, podrška korisnicima. Objašnjenje kako se pojedina kategorija koristi u sustavu AAI@EduHr možete naći na stranici Sustav jedinstvene autentikacije korisnika.
     
  • Odjeljak Administratori resursa koristite ako želite dodati još nekoga tko će osim vas moći ažurirati podatke o resursu.

Ostale podatke popunite po vlastitom nahođenju. Nakon što pošaljete zahtjev za registracijom resursa, prikazat će vam se stranica s općim podacima koje ste zatražili. Kliknite na karticu Odabir autentikacijskog segmenta i potom na gumb SAML. Otvorit će vam se forma za unos parametara SAML konfiguracije:

  • U izborniku AuthModule odaberite Univerzalni
     
  • U izborniku AttributeMapping mora stajati opcija "nijedna".
     
  • U izborniku NameIDAttribute odaberite hrEduPersonUniqueID (Korisnička oznaka)
     
  • U izborniku NameIDFormat treba stajati urn:oasis:names:tc:SAML:2.0:nameid-format:transient
     
  • U polje entityID upišite google.com/a/LDAP_domena_ustanove
     
  • U polje assertionConsumerService upišite https://www.google.com/a/LDAP_domena_ustanove/acs
     
  • Polje singleLogoutService mora ostati prazno!
     
  • Na popisu atributa koje sustav AAI@EduHr treba isporučivati aplikaciji moraju biti odabrani atributi hrEduPersonHomeOrg i hrEduPersonUniqueID
     

Ostala polja i opcije ostavite prazne (neoznačene). Na kraju kliknite na gumb Zatraži dodavanje konfiguracije i pričekajte da netko od administratora sustava AAI@EduHr odobri vaš zahtjev. Obavijest o odobravanju zahtjeva dobit ćete elektroničkom poštom.
 

Podešavanje parametara na strani G Suite for Education:

Nakon što se uporabom administratorske korisničke oznake i zaporke koju vam je dodijelio Google prijavite u Google administrativno sučelje kliknite na ikonicu Security (ako ne vidite navedenu ikonicu, nalazi se u izborniku More controls pri dnu ekrana):
 

g_suite_img_1


i potom odaberite opciju Set up single sign-on (SSO):

 

g_suite_img_2


Otvorit će vam se izbornik Set up single sign-on (SSO) kao što je prikazano na sljedećoj slici:

 

g_suite_img_3


Polja Enable Single Sign-On i Use a domain specific issuer potrebno je označiti (staviti kvačicu).

U polje Sign-in page URL potrebno je upisati adresu AAI@EduHr Single Sign-On autentikacijskog servisa:

https://login.aaiedu.hr/sso/saml2/idp/SSOService.php

a u polje Sign-out page URL treba upisati sljedeći URL:

https://login.aaiedu.hr/sso/logout.php

U polje Change password URL upišite adresu web sučelja za administraciju korisničkih podataka u LDAP imeniku vaše ustanove.

Pod opcijom Verification certificate učitajte odgovarajući certifikat za središnji autentikacijski servis (kliknite na Browse..., odaberite putanju do certifikata i na kraju kliknite na Upload). Certifikat možete dohvatiti s ove adrese na način da na prethodni link kliknete desnim gumbom miša i odaberete opciju Save Link As....

Polje Network masks možete ostaviti prazno, osim ako sigurnosna politika vaše ustanove ne nalaže drugačije.

Nakon što popunite sve podatke, obrazac bi tebao izgledati otprilike kao što je prikazano na sljedećoj slici:

 

g_suite_img_4

 

Kliknite na Save changes.

Nakon toga korisnici iz vaše ustanove prilikom prijave u G Suite uslugu:

https://gsuite.google.com

bit će preusmjeravani na središnji AAI@EduHr autentikacijski servis gdje trebaju unijeti svoju AAI@EduHr korisničku oznaku i zaporku. U slučaju uspješne autentikacije korisniku će biti dozvoljen pristup te će biti automatski preusmjeren na odgovarajuću Google aplikaciju.