Skip to main content
ExLibris
  • Subscribe by RSS
  • Ex Libris Knowledge Center

    SAML-basiertes Single Sign-On/Sign-Off

    Translatable
    Zur Konfiguration eines SAML- Integrationsart-Profils müssen Sie über die folgende Rolle verfügen:
    • Allgemeiner Systemadministrator

    Alma unterstützt das Profil SAML 2.0 Web Browser SSO. Dies ermöglicht Alma, Authentifizierungs- und Autorisierungs-Informationen auszutauschen, erlaubt einem Benutzer, sich von einem externen System an- und abzumelden und in Alma automatisch an- und abgemeldet zu werden oder umgekehrt.

    Nach der Alma Profil-Aktivierung und Drittanbieter-Konfiguration ändert der Support-Mitarbeiter Ihrer Institution die Alma Login-Verknüpfung auf die folgende URL (siehe Ihre Alma Domain-Namen): https://<Alma Domain>/SAML.

    Für einen detaillierten Überblick über den SAML-basierten SSO siehe https://developers.exlibrisgroup.com/alma/integrations/user-management/authentication/inst_idp/samll

    Wenn Ihr Produktionsserver und die Sandbox denselben SAML-Identitätsanbieter verwenden, empfiehlt Ex Libris, dass Sie in beiden Umgebungen dasselbe Authentifizierungsprofil verwenden. In diesem Fall ist keine zusätzliche Konfiguration von SAML in der Sandbox nach einer Sandbox-Aktualisierung erforderlich. Wenn Ihr Produktionsserver und die Sandbox unterschiedliche SAML-Identitätsanbieter verwenden, siehe Empfohlene Account-Konfiguration für die Sandbox-Aktualisierung für weitere Informationen.
    Um ein SAML Integrationsprofil zu konfigurieren:
    1. Auf der Seite Liste der Integrationsprofile (Konfigurationsmenü > Allgemein > Externe Systeme > Integrationsprofile) klicken Sie auf Neues Integrationsprofil. Die erste Seite des Integrationsprofil-Assistenten öffnet sich.
    2. Geben Sie einen Code und einen Namen für das Integrationsprofil ein.
    3. Wählen Sie die Option SAML aus der Dropdown-Liste „Integrationstyp“.
    4. Wählen Sie in der „Dropdown-Liste System“ das System aus, das für die Authentifizierung verwendet werden soll, z. B. „Shibboleth“.
    5. Klicken Sie auf Weiter. Sie werden auf die nächste Seite weitergeleitet.

      SAML-Integrationsprofil

      SAML-Definitionen

      Geben Sie auf der Seite die folgenden Informationen ein. 

      Seite SAML Integrationsprofil – Registerkarte Aktion
      Feld Beschreibung

      Metadaten-Upload-Methode

      Sie können die Profil-Informationen aus Metadaten einpflegen. Wählen Sie dazu die Option Metadaten-Link und geben Sie die Adresse des Links in das Feld Metadaten-Dateilink ein. Um einen Metadaten-Upload zu verwenden, wählen Sie die Option Metadaten-Upload und dann das Feld Upload der IDP-Metadaten-Datei aus.

      Metadaten-Datei-Link

      Automatische Änderung Wählen Sie aus, dass Alma einen Jahresübertrag-Prozess ermöglicht, indem zwei IdP-Zertifikate gleichzeitig verwaltet werden.  Dadurch kann das Integrationsprofil so konfiguriert werden, dass die Metadaten abgerufen werden, wenn sie vom IdP geändert werden. 

      Durch die Aktivierung von Automatische Änderung werden die Informationen im Integrationsprofil alle 2 Stunden überschrieben, ähnlich wie beim Klicken auf den Button „Profil eingeben“. Es wird empfohlen, vor der Anwendung zu testen, ob SSO gut funktioniert.

      Das automatische Ausfüllen des Profils wird derzeit nur für selbstsignierende IdP-Zertifikate unterstützt. Wenn Ihr IdP zum Signieren ein Chain-of-Trust-Zertifikat verwendet, ist es erforderlich, eine JKS-Datei manuell hochzuladen.

      Standard-SAML-Profil

      Auswählen, um dieses Profil als Standard auszuwählen.

      Um ein anderes als das Standardprofil zu verwenden, verwenden Sie das Suffix /SAML/idpCode/[profile code] in der Alma-URL.

      ForceAuthN

      Wählen Sie diese Option aus, um die Authentifizierung zu erzwingen, wenn Alma Benutzer über SAML authentifiziert. Weitere Informationen zu SAML ForceAuthN finden Sie hier.

      Wenn dieses Kontrollkästchen nicht aktiviert ist, erfolgt die Authentifizierung von Benutzern über SAML direkt über den institutionellen IdP, wodurch Endbenutzern eine SSO-Erfahrung geboten wird. 

      IdP-Aussteller

      Wenn das Profil nicht automatisch mit Metadaten ausgefüllt wurde (in den obigen Feldern), geben Sie die Einstellungen für IdP-Aussteller, IdP Login-URL, Standort der Benutzer-ID, Attributnamen der Benutzer-ID, IdP, Logout-URL, IdP Single Logout Service und Single Logout Anfragen signieren ein.

      Für weitere Informationen zu diesen Feldern siehe https://developers.exlibrisgroup.com/alma/integrations/user-management/authentication/inst_idp/saml.

      IdP-Login-URL
      IdP-ID-Standort
      Benutzer-ID Kennzeichenname
      IdP-Logout-URL
      IdP-Single-Logout-Service
      Sign Single Logout-Anfragen
      SHA1-Signatur anwenden (Standard SHA2) Klicken Sie auf SHA1-Signatur anwenden (Standard SHA2), um die Signatur des Profils in SHA1-Signatur (auch SHA128 genannt) zu ändern, um die Abmeldeanfragen mit dieser Signatur zu signieren. 
      Für Profile, die nach Juli 2020 erstellt wurden, ist die Standardeinstellung SHA2 (auch SHA256 genannt). Sie können diese jedoch bei Bedarf in SHA1 ändern. 
      Für Profile, die vor der Einführung von SHA2 im Juli 2020 vorhanden waren, ist die Standardeinstellung SHA1. Sie können diese jedoch bei Bedarf in SHA2 ändern.
      Alma-Metadaten - Dateiversion Wählen Sie eine Alma Metadaten-Dateiversion. Beim Erstellen eines neuen Profils stehen zwei Optionen zur Verfügung: Die selbstsignierte Version 20XX und das signierte Zertifikat. Beim Bearbeiten eines vorhandenen Profils stehen drei Optionen zur Verfügung: die selbstsignierte Version 20XX, das signierte Zertifikat und das zuvor verwendete Zertifikat. Es ist wichtig, das Ablaufdatum bei der Auswahl eines Zertifikats zu notieren und es vor diesem Datum zu ersetzen  Wenn Sie ein früheres Zertifikat verwenden, akzeptiert Alma es auch nach dem Ablaufdatum. Wenn Sie ein vorhandenes Profil bearbeiten und ein neues Zertifikat auswählen, ist nach dem Speichern des Profils das vorherige Zertifikat nicht mehr verfügbar. Bevor Sie Ihr Zertifikat ändern, müssen Sie sich an Ihre IT-Abteilung wenden.
      IDP-Zertifikat 1/2

      Alma ermöglicht das gleichzeitige Innehaben von zwei Zertifikaten und versucht, eine Authentifizierung mit beiden Zertifikaten durchzuführen.  Dies ist hilfreich, wenn ein SAML IdP sein Zertifikat ändert (aus Sicherheitsgründen). Das Zertifikat muss im Integrationsprofil aktualisiert werden. Das gleichzeitige Halten von zwei Zertifikaten ermöglicht es der Institution, das neue Zertifikat vorzeitig hinzuzufügen, ohne das alte Zertifikat zu entfernen, bis der IdP den Wechsel vorgenommen hat. Das Halten nur eines Zertifikats kann zu Ausfallzeiten führen, wenn das Zertifikat nicht gleichzeitig in beiden Systemen aktualisiert wird, da Alma dann der Antwort des IdP, die mit dem „falschen“ Zertifikat signiert wurde, nicht vertraut.

      Die Zertifikate sind zyklisch: Das Hinzufügen eines 3. Zertifikats entfernt das 1. Zertifikat und das neue Zertifikat wird das 2.). Das Hochladen eines zweiten Zertifikats ist nicht verpflichtend. 

      Wählen Sie für jedes Zertifikat in Upload-Methode für Zertifikate die Zertifikat-Art aus, die Sie hochladen wollen (siehe https://developers.exlibrisgroup.com/alma/integrations/user-management/authentication/inst_idp/saml). Alma akzeptiert Datei-Uploads, Freitext-Zertifikateinträge und JKS-Dateien. Wenn JKS-Datei oder Freiztext-Zertifikat-Datei ausgewählt werden, wird ein Feld für die Auswahl der Datei aus dem Dateisystem des Benutzers angezeigt. Wenn Freitext-Zertifikat ausgewählt wird, wird ein Feld angezeigt, um den Text des Zertifikats zu bestätigen. Eine Anmerkung neben dem Feld zeigt an, ob ein Zertifikat bereits hochgeladen wurde.

      Ab dem 1. Januar 2017 unterstützt Alma nicht länger Zertifikate, die den Verschlüsselungsalgorithmus MD5withRSA verwenden. Für weitere Informationen siehe https://blogs.oracle.com/java-platform-group/entry/strengthening_signatures.

      Aktiv Wenn sich ein authentifizierter SAML-Benutzer anmeldet, bei dem kein Alma-Benutzer vorhanden ist, wählen Sie Aktiv im Abschnitt Selbst-Registrierung aus, wenn ein neuer Alma-Benutzer automatisch erstellt werden soll.
      1. Geben Sie die Benutzergruppe, Fernleihbibliothekund Statistische Kategorie ein, die dem automatisch erstellten Benutzer zugewiesen werden sollen.
      2. Sie können auch die Zuordnung von SAML-Attributen zu den entsprechenden Benutzerfeldern in Alma definieren, indem Sie auf den Link Zuordnung von Geltendmachungsfeldern zu Alma-Feldern klicken.
        1. Geben Sie den Alma-Feldnamen im Feld Code ein. Geben Sie den SAML-Geltendmachungscode in der Beschreibung ein.
        2. Klicken Sie auf Anpassen.
      Benutzergruppe
      Fernleihbibliothek
      Statistische Kategorie
      Benutzer beim Login ändern
      Benutzerrollen beim Login neu erstellen
      Zuordnung von Geltendmachungsfeldern zu Alma-Feldern
      XSL-Konfigurationsdatei
    6. Wählen Sie Speichern.

    Testen der Authentifizierung im SAML-Integrationsprofil

    Sie können Ihre SAML-Integration direkt auf der SAML-Konfigurationsseite testen Dadurch entfällt die Notwendigkeit, sich von Alma abzumelden und erneut anzumelden, und wenn die Authentifizierung fehlschlägt, gibt es einen klaren Hinweis darauf, was falsch gelaufen ist.  

    Vor dem Testen des SAML-Integrationsprofils sollten Sie das Profil speichern! Dadurch können Sie (bei Bedarf) zum bestehenden Profil zurückkehren. Wenn Sie das Profil nicht speichern, tauscht Alma das bestehende Profil gegen die neue Profilversion aus.

    Um die Authentifizierung im SAML-Integrationsprofil zu testen:
    1. Wenn Sie alle relevanten Informationen im SAML-Integrationsprofil ausgefüllt haben, klicken Sie auf die Schaltfläche Testen. Ein Popup-Fenster wird geöffnet. 
    2. Wählen Sie im Popup-Fenster das Produkt aus der Liste der verfügbaren Produkte Ihrer Institution. Dadurch wird ein Test-Link zum IdP-Set im Integrationsprofil erstellt. 
      Wenn Sie mit bc.alma arbeiten und dieselbe Domain konfigurieren möchten – melden Sie sich stattdessen bei na03.alma an.
      Tool für den Authentifizierungstest.png
    3. Kopieren Sie diesen Link und fügen Sie ihn in einen anderen Browser ein (oder, wenn Sie mit Chrome arbeiten, in einen Incognito-Tab). Ihre SAML-Login-Seite wird geöffnet. 
    4. Geben Sie Ihre Zugangsdaten ein. Sie werden auf eine neue Seite weitergeleitet, auf der das Authentifizierungsergebnis und zusätzliche Meldungen angezeigt werden, die erklären, was geschehen ist und was möglicherweise falsch gelaufen ist.  
      Die Zugangsdaten werden nur für den Test verwendet und dienen nicht zur Anmeldung des Benutzers, dessen Zugangsdaten hier eingegeben wurden.
      Tool für den Authentifizierungstest – Ergebnisse.png
    5. Schließen Sie das Testfenster und kehren Sie zu Alma zurück. Ändern Sie bei Bedarf das Integrationsprofil/IdP und testen Sie erneut. Wenn keine Änderungen notwendig sind, speichern Sie das Profil. 

    Ersatz eines signierten Zertifikats

    Wenn Sie Ihr signiertes Zertifikat ersetzen müssen, müssen Sie dies in Alma und Primo VE tun, in Übereinstimmung mit Ihrem IdP.

    SAML SSO funktioniert normalerweise auch mit abgelaufenen Zertifikaten. Einige IdPs erzwingen nicht-abgelaufene Zertifikate (oder können dahingehend konfiguriert werden), und Ex Libris stellt sicher, dass aktuelle Zertifikate hinzugefügt werden, damit Benutzer mit diesen IdPs das Zertifikat aktualisieren können.

    Alma-Metadaten – Dateiversion:
    1. Gehen Sie zum Bildschirm Liste der Integrationsprofile (Alma-Konfiguration > Allgemein > Externes System > Integrationsprofile).
    2. Klicken Sie im Dropdown-Menü Integrationstyp auf SAML.
      Integrationstyp, SAML auswählen.png
    3. Wählen Sie ein bestehendes Integrationsprofil aus und klicken Sie in der Zeilen-Aktionen-Schaltfläche auf Bearbeiten.
    4. Klicken Sie im Bildschirm Integrationsprofil auf die Registerkarte Aktionen.
    5. Wählen Sie im Dropdown-Menü Alma Metadaten – Dateiversion ein neues Zertifikat aus.
    6. Klicken Sie auf die Schaltfläche Metadaten-Datei generieren, um die Datei herunterzuladen (oder einen Link zur Datei zu erhalten). Die Metadaten werden zum IdP hochgeladen.
      Dropdown-Menü des Feldes Alma-Metadaten – Dateiversion im Bildschirm "Integrationsprofil
      Dropdown-Menü Alma-Metadaten – Dateiversion im Bildschirm "Integrationsprofil

    Um Ausfallzeiten zu vermeiden, sollten die Änderungen in Alma und im IdP zur gleichen Zeit vorgenommen werden! Stimmen Sie mit Ihrer IT-Abteilung ab, zu welchem exakten Zeitpunkt die Änderung in Alma und im IdP vorgenommen wird.

    Zusätzliches Zertifikat hinzufügen:

    Wenn Sie das Zertifikat ändern möchten, ohne das oben beschriebene Verfahren zu koordinieren (Alma-Metadaten – Dateiversion), führen Sie die folgenden Schritte aus:

    Jeder Schritt kann zu einem für Sie günstigen Zeitpunkt durchgeführt werden (ABER: bevor das alte Zertifikat abläuft).


    Benutzer können zu dem zuvor signierten Zertifikat zurückkehren, indem sie das neue Zertifikat entfernen. Beispielsweise werden das neu hinzugefügte Zertifikat (z. B. IdP-Zertifikat 1) und das zuvor signierte Zertifikat (z. B. IdP-Zertifikat 2) in Alma geladen. Entfernen Sie das IdP-Zertifikat 1 einfach mit dem Button Zertifikat entfernen (Schaltfläche Zertifikat entfernen).

    1. Klicken Sie unter Bildschirm Integrationsprofil > Registerkarte Aktionen auf die Schaltfläche Zusätzliches Zertifikat hinzufügen. Es wird ein weiteres Dropdown-Menü angezeigt, in dem Sie das neue Zertifikat auswählen können. Klicken Sie auf Speichern.
      Die Schaltfläche Zusätzliches Zertifikat im Bildschirm Integrationsprofil hinzufügen
    2. Erstellen Sie eine Metadaten-Datei (die beide Zertifikate enthält) und laden Sie diese zum IdP hoch.
    3. Entfernen Sie das ale Zertifikat von Alma und klicken Sie auf Speichern.
    4. Erzeugen Sie erneut die Metadaten-Datei (die jetzt nur das neue Zertifikat enthält) in Alma und laden Sie die Datei zum IdP hoch.

    Ersatz eines IdP-Signaturzertifikats

    Dieser Abschnitt ist nur relevant, wenn Ihre Institution nur ein Zertifikat im Abschnitt „IdP-Zertifikat 1/2“ des Integrationsprofils besitzt. Wenn beide Zertifikate hochgeladen wurden, ermöglicht das gleichzeitige Halten von zwei Zertifikaten der Institution, das neue Zertifikat vorzeitig hinzuzufügen, ohne das alte Zertifikat zu entfernen, bis der IdP die Umstellung vorgenommen hat, siehe Automatischer Jahresübertrag eines IdP-Signaturzertifikats unten. 

    Wenn das IdP-Signaturzertifikat in Ihrem Alma SAML-Profil geändert werden soll, laden Sie das neue Zertifikat mithilfe einer der drei unterstützten Methoden hoch:

    • Freitext-Zertifikat,
    • Zertifikatsdatei,
    • JKS-Datei. JKS ist für Vertrauensketten-Zertifikate erforderlich.

    Stellen Sie sicher, dass Sie diese Änderung zum selben Zeitpunkt durchführen und auf Speichern klicken, wenn der IdP auf das neue Zertifikat umschaltet. Andernfalls wird die SAML-Authentifizierung während des Intervalls fehlschlagen.

    Der automatische Wechsel zu einem neueren Signaturzertifikat kann einen Systemausfall verursachen, wenn Sie das SAML-Profil in Alma nicht aktualisieren.

    Automatischer Jahresübertrag eines IdP-Signaturzertifikats

    1. Stellen Sie sicher, dass das Integrationsprofil für die automatische Änderungen konfiguriert ist und dass der Link gültig ist.
    2. Konfigurieren Sie ein zusätzliches Zertifikat im IdP.
    3. Warten Sie, bis Alma (und andere SPs, falls vorhanden) die neuen Metadaten lesen.
    4. Entfernen Sie das alte Zertifikat vom IdP.