U systému SFX vyvíjeného firmou Ex Libris není implementována podpora autentizace v prosředí Shibboleth. Filozofie zde vychází z myšlenky, že SFX je provozováno v prostředí jednotného přihlášení Shibboleth/SAML pro jednu organizaci nebo konzorcium, kde elektronické zdroje jsou předpláceny a zpřístupňovány na úrovni organizace či konzorcia. Nicméně v solidní míře je možné SFX nakonfigorovat i pro organizace či konzorcia, kde el. zdroje nejsou předpláceny jednotně na úrovni organizace, konzorcia.
Úprava nastavení se týká:
Konfiguraci pro Shibboleth u SFX představuje Jiří Pavlík na semináři Shibboleth v praxi v Národní technické knihovně - prezentace, videozáznam.
Nastavení pro nativní linkování v prostředí Shibboleth je popsáno v manuálu SFX Target Configuration Guide. V příloze Shibboleth Authentication je uveden seznam všech databází/služeb, u kterých SFX podporuje nativní linkování v prostředí Shibboleth. V popiscích u jednotlivých databází/služeb jsou pak uvedeny podrobnosti k nastavení pro linkování v rámci Shibboleth.
U databází/služeb, které nepodporují nativně shibbolethovou autentizaci, je vhodné použí linkování přes shibbolethizovanou EZproxy. Nastavení linkování přes proxy je popsána v kapitole Configuring SFX to Work with a Proxy Server manuálu SFX General User Guide.
Manuály k SFX jsou zákazníkům Ex Libris k dispozici v Ex Libris Documentation Center. Konfigurace autentizace uživatelů pomocí Shibboleth u EZproxy je popsána na stránkách eduID.cz.
Úpravu konfigurace SFX pro Shibboleth je možné provést dvěmi způsoby:
Tato metoda je vhodné pro organizace nevyužívající v rámci SFX institucí pro definování služeb pro různé skupiny uživatelů organizace. Tj. pro organizace, kde v rámci SFX není potřeba rozlišovat různé skupiny uživatelů. Případně je vhodná pro konzorciální instalace, kdy jednu instanci SFX využívají uživatelé několik organizací.
V případě, kdy instanci SFX využívá jedna skupina uživatelů, nutné úpravy jsou minimální. V aktivaci cílů se u databází nastaví nativní linkování přes Shibboleth nebo linkování přes proxy, typicky EZproxy. Nativní linkování se nastaví u databází, kde má organizace aktivovaný přístup prostřednictvím Shibboleth. Linkování přes proxy se nastaví u databází, kde přístup prostřednictvím Shibboleth k dispozici není. Žádné další úpravy konfigurace ani jiné změny v používání SFX nejsou.
V případě, kdy instanci SFX využívá více skupin uživatelů, je v konfiguraci SFX potřeba provést následující úpravy.
Aktivace cílů se změní z aktivací pro vybrané instituce na aktivaci pro instituci DEFAULT.
Při linkování SFX nyní dostupnost cíle v menu zobrazuje všem uživatelům. Dochází ke změně koncepce zobrazení: při zobrazení cíle v nabídce SFX nyní platí, že některá z organizací databázi/služby předplácí. Autorizaci uživatele na úrovni organizace a zajišťuje cílová databáze/služba nebo proxy.
V aktivaci cílů se u databází nastaví nativní linkování přes Shibboleth nebo linkování přes proxy, typicky EZproxy. Nativní linkování se nastaví u databází, kde má organizace aktivovaný přístup prostřednictvím Shibboleth. Linkování přes proxy se nastaví u databází, kde přístup prostřednictvím Shibboleth k dispozici není.
U některých cílů SFX podporuje pouze WAYFless linkování. U takových cílů je linkování tedy dostupné pouze pro uživatele jedné z organizací.
V SFX Admin v definici seznamu se provede ruční výběr cílových databází, jejichž portfolio se má zobrazovat v seznamu příslušné organizace.
U RSI dochází ke změně koncepce - indikace plného textu na základě RSI je nyní úrovni všech organizací konzorcia.
V SFX Admin se v definici exportu provede ruční výběr cílových databází, jejichž portfolio se má objevovat v exportu pro příslušnou organizaci.
Export pro Google Scholar je vhodný udělat pro instituci DEFAULT, zrušit případné exporty pro ostatní instituce.
Dochází ke změně koncepce: Google Scholar nyný bude indikovat dostupnost plného textu v některé ze organizací konzorcia. Autorizaci uživatele na úrovni organizace zajišťuje cílová databáze/služba nebo proxy.
V SFX Admin se v definici MARCIt! exportu provede ruční výběr cílových databází, jejichž portfolio se má objevovat v exportu pro příslušnou organizaci.
U statik dochází ke změně koncepce - k dispozici jsou nyní společné statistiky využití SFX všemi organizacemi konzorcia.
U Advanced Collection Tool dochází ke změně koncepce - k dispozici jsou nyní přehledy na úrovni všech organizací konzorcia.
Tato metoda je vhodné pro organizace využívající v rámci SFX institucí pro definování služeb pro skupiny uživatelů organizace, např. studenty a zaměstnance fakult, ústavů a kateder.
V SFX Admin se založí nová instituce s názven, např. Shibboleth. Jako IP rozsah instituce se definuje doplněk k rozsahu IP adres organizace.
Všichni uživatelé přicházející na SFX server mimo rozsah IP adres organizace jsou tedy SFX zařazeni do této instituce.
Pro zajištění konzistentní nabídky SFX je vhodné odmazat rozsahy IP adres definované u institucí definovaných pro různé skupiny uživatelů. Instituce je nicméně vhodné zachovat pro synchronizaci s Verde, pro seznamy časopisů, exporty pro katalog.
V konfiguraci SFX je dále potřeba provést následující úpravy.
U cílů, kde je prováděna autentizace podle instituce, se přidá aktivace pro instituci Shibboleth.
V aktivaci cílů se u databází nastaví nativní linkování přes Shibboleth nebo linkování přes proxy, typicky EZproxy. Nativní linkování se nastaví u databází, kde má organizace aktivovaný přístup prostřednictvím Shibboleth. Linkování přes proxy se nastaví u databází, kde přístup prostřednictvím Shibboleth k dispozici není.
V konfiguracích seznamů časopisů není nutné provádět žádné úpravy.
Indikace dostupnosti plného textu pomocí RSI zůstává na stejné úrovni.
V konfiguracích exportů pro katalog není nutné provádět žádné úpravy.
Export pro Google Scholar je vhodný udělat pro instituci Shibboleth, zrušit případné exporty pro ostatní instituce.
Dochází ke změně koncepce: Google Scholar nyný bude indikovat dostupnost plného textu v některé ze součástí organizace. Autorizaci uživatele na úrovni organizace zajišťuje cílová databáze/služba nebo proxy.
V konfiguracích MARCIt! exportů pro katalog není nutné provádět žádné úpravy.
U statik dochází ke změně koncepce - k dispozici jsou nyní statistiky využití SFX na úrovni celé organizace.
U Advanced Collection Tool dochází ke změně koncepce - k dispozici jsou nyní přehledy na úrovni celé organizace.
SFX podporuje WAYFless linkování. Parametry IdP pro WAYFless linkování se nastavují v konfigurační souboru shibboleth.config v podadresáři config příslušné instance SFX. Podrobnosti k nastavení uvádí manuál SFX Target Configuration Guide.
Příklad nastavení v konfiguračním souboru shibboleth.config pro Univerzitu Karlovu:
Section "shibboleth" idp_url "https://cas.cuni.cz/idp/profile/Shibboleth/SSO" entityID "https://cas.cuni.cz/idp/shibboleth" EndSection
S využitím User profile cookie by bylo možné k SFX jako add-on doplnit modul provádějící shibbolethovou autentizaci. Použití User profile cookie je popsáno v kapitole Setting user_profile Cookies manuálu SFX Advanced User Guide. Add-On modul by byl volán před voláním SFX - provedl by shibbolethovou autentizaci, nastavil by skupinu uživatele a předal metadata dokumentu SFX.
SFX nicméně neumí uživatele zažadit do více než jedné skupiny uživatelů, do více než jedné instituce v terminologii SFX. Pro plnohodnotně využití při autorizaci u SFX, pro autorizaci podle vícera afiliací, by tedy byly nutné další úpravy v kódu SFX.
Plnohodnotným doplněním shibbolethové autentizace u SFX by bylo možné provádět autorizaci při zobrazování menu podle afiliace uživatele k součástem organizace (instance SFX provozované organizacemi s různými skupinami uživatelů) nebo podle afiliace k organizaci (konzorciálně provozované instance SFX). Současná koncepce SFX nicméně vychází z aktuální licenční politiky poskytovatelů elektronických informačních zdrojů, kdy kolekce dokumentů jsou předpláceny na úroveň organizací, nikoli na úroveň součástí organizací a koncepce u SFX je tedy vyhovující. V případě konzorciálně provozovaných instancí SFX už koncepce vyhovuje méně - doplnění shibbolethové autentizace by v tomto případě umožnilo nastavit WAYFless linkování u databází s nativní podporou Shibboleth a linkování přes příslušnou shibbolethizovanou EZproxy u databází bez nativní podpory Shibboleth.