基于SAML的单点登录/登出
- 通用系统管理员
Alma支持SAML 2.0 Web浏览器SSO配置文件。 这使得Alma能够交换认证和授权信息,允许用户登录或退出外部系统,并自动登录或退出Alma,反之亦然。
按照Alma配置文件激活和第三方配置,您的机构的支持员工更改Alma登录短链到以下URL(见您的Alma域名):https://<Alma domain>/SAML。
有关基于SAML的SSO的详情,见https://developers.exlibrisgroup.com/alma/integrations/user-management/authentication/inst_idp/saml。
- 在集成配置文件列表页面(管理> 通用配置>配置菜单 >通用> 外部系统 > 集成配置文件),点击添加集成配置文件。 显示集成配置文件向导的第一页。
- 输入集成配置文件的代码和名称。
- 从“集成类型”下拉列表中选择SAML选项。
- 从“系统下拉列表”选择用于认证的系统,例如'Shibboleth'。
-
选择下一步。 转至下一页。
SAML定义在该页输入以下信息。
SAML集成配置文件页面 - 操作选项卡 字段 描述信息 元数据上传方法
您可以从元数据填充配置文件信息。 要这样做,选择元数据链接选项并在元数据文件链接字段提供链接位置。 要使用元数据上传,选择元数据上传选项并在上传IDP元数据文件字段选择文件。 当前不支持动态刷新/URL监控。 填充配置文件选项仅用于便利实施人员。 如果您的IdP登录证书需要更改,请参考这里的步骤防止丢失SAML登录功能。
元数据文件链接
默认SAML配置文件
选择配置该配置文件为默认。
要使用不是默认的配置文件,在Alma URL中使用/SAML/idpCode/[profile code]后缀。
ForceAuthN 选择以在Alma通过SAML认证用户时强制认证。 有关SAML ForceAuthN的更大信息,见此处。
未选定该复选框时,当Alma通过SAML认证用户时,会通过机构IDP直接完成,因此会对终端用户提供SSO体验。
IdP发行者 如果文件没有自动填充元数据(上述字段),输入IDP发行者、IDP登录URL、用户ID位置、用户ID属性名称、IDP登出URL以及IDP单点登出服务和签署单点退出请求的设置。
欲知这些字段的更多信息,见https://developers.exlibrisgroup.com/alma/integrations/user-management/authentication/inst_idp/saml。
IdP登录URL IdP ID位置 用户ID属性名称 IdP登出URL IdP单次登出服务 登录单点退出请求 应用SHA1签名(默认SHA2) 选择应用SHA1签名(默认SHA2)更改配置文件的签名为SHA1(也称为SHA128)签名,用于使用该签名的登出请求。
对于在2020年7月后创建的配置文件,默认为SHA2(也称为SHA256),但是您可以按需更改为SHA1。
对于在2020年7月之前的配置文件,默认为SHA1,但是您可以按需更改为SHA2。Alma元数据文件版本 选择Alma元数据文件版本。 创建新配置文件时,有两个选项可用,自己签署的版本20XX和签署的证书。 编辑现有配置文件时,有三个选项可用,自己签署的版本20XX、签署的证书和此前使用的证明。 需要注意选择证书时的过期日期 并确保在该日期前替换。如果选择使用此前的证书,Alma继续接受它,即使已过过期日期。 如果编辑现有配置文件并选择新的证书,一旦保存配置文件,此前的证明将不可用。 在更改证书前,您必须与您的IT部门核准。 IdP认证1/2 Alma支持同时有两个证书并尝试使用两个证书认证。 这在SAML IdP更改证书时(出于安全原因)有用。 证书需要在集成配置文件中更新。 同时保留两个证书使得机构可以提前添加新证书,并在IDP已切换后再移除旧证书。 仅保留一个证书会在证书未在两个系统中同时更新时出现问题,因为Alma会由于“错误的”证书不信任来自IDP的响应。
证书循环: 添加第三个证书会移除第一个证书,新证书变为第二个。 上传第二个证书不是必需。
有关每个证书,在证书上传方法选择上传证书的类型(见https://developers.exlibrisgroup.com/alma/integrations/user-management/authentication/inst_idp/saml)。 Alma接收文件上传,自由文本证书输入,或JKS文件。 如果选择JKS文件或自由文本证书文件,会显示一个字段选择用户文件系统里的文件。 如果选择自由文本证书,会显示一个接收证书文本的字段。 字段之外的备注指示证书是否已上传。
自2017年1月1日起,Alma将不再支持使用MD5withRSA加密算法的证书。 有关更多信息,见https://blogs.oracle.com/java-platform-group/entry/strengthening_signatures。
有效 当认证的SAML用户登录且不为现有的Alma用户时,如果想要自动创建新Alma用户,在自助注册部分选择活动。 - 输入想要自动分配给创建的用户的用户组,资源共享图书馆和统计类别。
- 您也可以通过选择映射声明字段到Alma字段链接定义SAML属性到相应Alma用户字段的映射。
- 在代码字段输入Alma字段名称。 在描述中输入SAML声明代码。
- 选择自定义。
用户组 资源共享图书馆 统计分类 登录时更新用户 登录时重建用户角色 映射声明字段到Alma字段 XSL配置文件 - 选择保存。
测试SAML集成配置文件的认证
您可以直接从SAML配置页面测试你的SAML集成。 这会移除从Alma登出的需求并再次登录,如果认证失败,提供错误原因。
- 一旦在SAML集成配置文件中填充了所有相关信息,点击“测试”按钮。 打开弹窗。
- 在弹窗中,从您的机构可用产品列表中选择产品。 这会生成到集成配置文件中配置的IdP的测试链接。
如果您在使用bc.alma且想要配置相同域名 - 登录na03.alma。
- 复制该链接并粘贴到不同的浏览器(或者,如果您在使用Chrome,粘贴到无痕浏览选项卡)。 您的SAML登录页面打开。
- 提交密码。 您将转至显示认证结果和说明哪里成功哪里失败的新页面。
密码仅用于测试且无法实际登录到此处输入的用户。
- 关闭测试窗口并返回Alma。 按需更新集成配置文件/IdP并再次测试。 如果无需更改,保存配置文件。
替换签署证书
如果需要替换签署证书,您必须与您的IDP一起在Alma和Primo VE中都要操作。
通过选择以下链接(将您的大学的Alma基址或Primo VE URL输入到<ALMA_VE_BASE_URL>)将含有产生的新的元数据的证书文件发送给您的IT部门:
https://<ALMA_VE_BASE_URL>/view/saml/metadata?VERSION=VERSION_2025_NEW (2025 self signed)
https://<ALMA_VE_BASE_URL>/view/saml/metadata?VERSION=SIGNED_2021 (Jan 2021 DigiCert)
记下IDP切换证书的日期和时间。 时间点接近时,根据上述Alma元数据文件版本中的详细步骤在集成配置文件中选择新证书。
机构或IDP升级认证时,在切换完成之前无法使用登录。 为了尽可能减少掉线时间,记下IDP切换时间非常重要。
替换IdP登录证书
六月新增! 该部分仅在您的机构在集成配置文件的“IdP证书1/2”部分中只有一个证书时相关。 如果两个证书都上传了,同时保留两个证书使得机构可以提前添加新证书,而无需等到IDP切换后再移除旧证书,您可以忽略以下信息。
如果您的Alma SAML配置文件中的IdP登录证书需要更改,使用以下三个支持的方法之一上传新证书:
- 自由文本证书,
- 证书文件,
- JKS文件。 JSK为信任链证书必需。
请确保执行该更改并在IdP切换到新证书的同时点击保存。 否则,SAML认证会在间隔期间失败。
自动切换到新登录认证而不更新Alma中的SAML配置文件可能会导致系统故障。