Ustanovama koje koriste Google Workspace (nekadašnji G Suite) for Education Google omogućuje Single Sign-On autentikaciju uporabom SAML protokola koji podržava i sustav AAI@EduHr. Stoga je prilikom pristupanja pojedinim Google web aplikacijama moguća autentikacija korisnika uporabom njihovih AAI@EduHr elektroničkih identiteta. Više informacija o usluzi Google Workspace for Education te prednostima i eventualnim nedostacima uporabe Single Sign-On autentikacije za Google Workspace možete pronaći na sljedećim stranicama:

https://edu.google.com/products/productivity-tools/

https://support.google.com/a/answer/60224?hl=en

U nastavku su navedene upute za namještanje postavki usluge Google Workspace for Education tako da se autentikacija korisnika može obavljati putem sustava AAI@EduHr.

Važno

Ove upute nastale su u namjeri da se ustanovama koje to žele omogući prijava korisnika u Google Workspace for Education uporabom elektroničkih identiteta u sustavu AAI@EduHr. Međutim, administratori sustava AAI@EduHr nemaju nikakve formalne veze s uslugom Google Workspace for Education niti pružaju bilo kakvu podršku pri uporabi aplikacija obuhvaćenih navedenom uslugom. Za odgovore na sva pitanja vezana uz uslugu Google Workspace for Education, kao i rješavanje eventualnih problema prilikom korištenja usluge trebate kontaktirati izravno Google.

Preduvjeti

Da bi autentikacija korisnika na Google Workspace for Education putem sustava AAI@EduHr bila moguća, korisnici moraju imati prethodno kreirane Google korisničke račune koji moraju biti identični njihovim korisničkim oznakama u sustavu AAI@EduHr. Uz pojedinačno dodavanje korisnika, Google Workspace ima mogućnost uvoza korisnika iz CSV datoteke, pa se ta funkcionalnost može iskoristiti za inicijalno kreiranje korisničkih računa.

Podešavanje parametara na strani sustava AAI@EduHr

Za početak je putem AAI@EduHr registra resursa  potrebno registrirati Google Workspace za vašu ustanovu kao novu uslugu u sustavu AAI@EduHr.

Nakon što se prijavite u Registar resursa, kliknite u glavnoj traci izbornika na poveznicu Registracija resursa. Otvorit će vam se forma za unos općih podataka o novom resursu:

  • U polje Naziv resursa upišite: Google Workspace za [naziv_ustanove]
  • U polje Opis resursa upišite: Google Workspace for Education za domenu [LDAP_domena_ustanove]
  • U izborniku Vrsta resursa odaberite produkcija
  • U izborniku Matična ustanova s kojom je resurs povezan odaberite vašu matičnu ustanovu
  • U izborniku Partner federacije s kojim je resurs povezan odaberite opciju resurs nije povezan niti s jednim partnerom federacije
  • U izborniku Globalna usluga s kojom je resurs povezan odaberite Google Workspace for Education
  • U polje Web adresa (URL) na kojoj se aplikacija nalazi upišite https://google.com/a/LDAP_domena_ustanove
  • U polja odjeljka Kontakt osobe i službe upišite najmanje po jednu osobu za svaku od tri kategorije: voditelj proizvoda, tehnička podrška, podrška korisnicima. Objašnjenje kako se pojedina kategorija koristi u sustavu AAI@EduHr možete naći na stranici Registar resursa.
  • Odjeljak Administratori resursa koristite ako želite dodati još nekoga tko će osim vas moći ažurirati podatke o resursu.

Ostale podatke popunite po vlastitom nahođenju. Nakon što pošaljete zahtjev za registracijom resursa, prikazat će vam se stranica s općim podacima koje ste zatražili. Kliknite na karticu Odabir autentikacijskog segmenta i potom na gumb SAML. Otvorit će vam se forma za unos parametara SAML konfiguracije:

  • U izborniku AuthModule odaberite Univerzalni
  • U izborniku AttributeMapping mora stajati opcija "nijedna".
  • U izborniku NameIDAttribute odaberite hrEduPersonUniqueID (Korisnička oznaka)
  • U izborniku NameIDFormat treba stajati urn:oasis:names:tc:SAML:2.0:nameid-format:transient
  • U polje entityID upišite google.com/a/LDAP_domena_ustanove
  • U polje assertionConsumerService upišite https://www.google.com/a/LDAP_domena_ustanove/acs
  • Polje singleLogoutService mora ostati prazno!
  • Na popisu atributa koje sustav AAI@EduHr treba isporučivati aplikaciji moraju biti odabrani atributi hrEduPersonHomeOrg i hrEduPersonUniqueID
  • U obaveznom polju za namjenu odabranog atributa hrEduPersonUniqueID upišite: "Identifikacija korisnika u sustavu Google Workspace for Education"
  • U obaveznom polju za namjenu odabranog atributa hrEduPersonHomeOrg upišite: "Identifikacija matične ustanove korisnika u sustavu Google Workspace for Education"

Ostala polja i opcije ostavite prazne (neoznačene). Na kraju kliknite na gumb Zatraži dodavanje konfiguracije i pričekajte da netko od administratora sustava AAI@EduHr odobri vaš zahtjev. Obavijest o odobravanju zahtjeva dobit ćete elektroničkom poštom.

Podešavanje parametara na strani sustava Google Workspace for Education

Nakon što se uporabom administratorske korisničke oznake i zaporke koju vam je dodijelio Google prijavite u Google administrativno sučelje kliknite na ikonicu Security (ako ne vidite navedenu ikonicu, nalazi se u izborniku More controls pri dnu ekrana):

i potom odaberite opciju Set up single sign-on (SSO):

Otvorit će vam se izbornik Set up single sign-on (SSO) kao što je prikazano na sljedećoj slici:

Polja Enable Single Sign-On i Use a domain specific issuer potrebno je označiti (staviti kvačicu).

U polje Sign-in page URL potrebno je upisati adresu AAI@EduHr Single Sign-On autentikacijskog servisa:

https://login.aaiedu.hr/sso/saml2/idp/SSOService.php

a u polje Sign-out page URL treba upisati sljedeći URL:

https://login.aaiedu.hr/sso/logout.php

U polje Change password URL upišite adresu web sučelja za administraciju korisničkih podataka u LDAP imeniku vaše ustanove.

Pod opcijom Verification certificate učitajte odgovarajući certifikat za središnji autentikacijski servis (kliknite na Browse..., odaberite putanju do certifikata i na kraju kliknite na Upload). Certifikat možete dohvatiti s ove adrese na način da na prethodni link kliknete desnim gumbom miša i odaberete opciju Save Link As....

Polje Network masks možete ostaviti prazno, osim ako sigurnosna politika vaše ustanove ne nalaže drugačije.

Nakon što popunite sve podatke, obrazac bi tebao izgledati otprilike kao što je prikazano na sljedećoj slici:

Kliknite na Save changes.

Nakon toga korisnici iz vaše ustanove prilikom prijave na poveznicu:

https://accounts.google.com

ili direktno na određeni servis:

   https://naziv_servisa.google.com/a/LDAP_domena_ustanove.hr (npr. za GMail: https://mail.google.com/a/neka-domena.hr)

bit će preusmjeravani na središnji AAI@EduHr autentikacijski servis gdje trebaju unijeti svoju AAI@EduHr korisničku oznaku i zaporku. U slučaju uspješne autentikacije korisniku će biti dozvoljen pristup te će biti automatski preusmjeren na odgovarajuću Google aplikaciju.

Administratori Google Workspacea će se i dalje moći prijavljivati na administratorsko sučelje https://admin.google.com putem Google korisničke oznake i zaporke (bez preusmjeravanja na središnji AAI@EduHr autentikacijski servis). Detalje oko toga u kojem slučaju će se koristiti središnji AAI@EduHr autentikacijski servis, a u kojem će biti potrebno unijeti Google korisničke podatke možete provjeriti na poveznici Signing in with SSO i Network Mapping results.

  • No labels