Anwendung im Single Sign-On registrieren
Damit sich Benutzer am ICC anmelden können, muss die Anwendung im Single Sign-On registriert werden.
SAML-Zertifikat erstellen
Es wird ein selbst-signiertes Zertifikat mittels OpenSSL erzeugt. Dazu das folgende Kommando ausführen:
$ php bin/console app:create-certificate --type saml
Anschließend werden einige Daten abgefragt. Diese können abgesehen vom commonName frei gewählt werden:
countryName,stateOrProvinceName,localityNamegeben den Standort der Schule anorganizationNameentspricht dem Namen der SchuleorganizationalUnitNameentspricht der Fachabteilung der Schule, welche für die Administration zuständig istcommonNameDomainname des ICC, bspw.icc.schulit.deemailAddressentspricht der E-Mail-Adresse des Administrators
Das Zertifikat ist standardmäßig 10 Jahre gültig.
Dienst beim Single Sign-On registrieren
Der folgende Schritt muss im Single Sign-On erledigt werden.
Dienst registrieren
Unter Verwaltung ➜ Dienste einen neuen SAML-Dienst erstellen.
Einige Metadaten lassen sich automatisiert laden, indem man zunächst die Metadaten-XML https://icc.schulit.de/saml/metadata.xml
(icc.schulit.de durch die BookStack-Domain ersetzen) einträgt und auf Herunterladen klicken.
Anschließend müssen noch der Name und eine passende Beschreibung eingetragen werden.
Attribut für Rolle erstellen
Mittels Rollen wird konfiguriert, was Benutzer im ICC dürfen und was nicht. Diese werden als Attribut im Single Sign-On gespeichert und entsprechend beim Anmelden am ICC weitergeleitet.
Unter Verwaltung ➜ Attribute ein neues Attribut erstellen.
| Option | Wert |
|---|---|
| Name | wifi-roles |
| Anzeigename | WLAN-Codes Rollen |
| Beschreibung | beliebig |
| Benutzer können dieses Attribut ändern | ❌ Häckchen nicht setzen |
| SAML Attribut-Name | urn:roles |
| Typ | Auswahlfeld |
| Dienste | Hier den WLAN Codes-Dienst auswählen |
Unter Optionen muss die Option Mehrfach-Auswahl möglich deaktiviert bleiben.
Folgende Optionen eintragen:
| Schlüssel | Wert |
|---|---|
| ROLE_USER | Benutzer |
| ROLE_ADMIN | Administrator |
| ROLE_duration | Abrufen von Codes mit duration Minuten Dauer. |
Nur wenn die entsprechende Rolle zum Abrufen von Codes bestimmter Länge bei den Benutzern gesetzt ist, können Codes abgerufen werden.
Single Sign-On beim WLAN-Codes Dienst hinterlegen
Damit der WLAN-Codes Dienst den Single Sign-On kennt, muss noch eine XML-Datei hinterlegt werden.
Unter Verwaltung ➜ IdP Details den XML-Teil in die Zwischenablage kopieren und den Inhalt in der Datei saml/idp.xml
im Projektordner hinterlegen.