Autentikacijska i autorizacijska infrastruktura sustava znanosti i visokog obrazovanja u Republici Hrvatskoj
  • Hrvatski
  • English

Kako izvršiti zamjenu certifikata za provjeru SSO autentikacije za uslugu Office 365?

S obzirom na to da je certifikat potrebno istodobno zamijeniti i na strani servisa Office 365, i na strani sustava AAI@EduHr, vrlo je važno administrator Office 365 usluge obavi sve korake iz ovih uputa. Također, poželjno je da administrator usluge korisnicima najavi kratkotrajni prekid u radu usluge tijekom dogovorenog razdoblja.

 

Procedura zamjene certifikata sastoji se od sljedećih koraka:

1. Administrator Office 365 usluge treba dohvatiti novi certifikat s adrese:


        https://login.aaiedu.hr/office365/module.php/admin/federation/cert?set=saml20-idp-hosted&entity=https%3A%2F%2Flogin.aaiedu.hr%2Foffice365%2F&prefix=new_ 

i pohraniti ga negdje na svom računalu, npr. u direktorij C:\Users\korisnik\Downloads\


2. Koristeći Windows PowerShell administrator se naredbom:

      connect-msolservice

treba prijaviti u Windows Azure / Office 365 administrativno sučelje. VAŽNO: Za prijavu u PowerShell konzolu OBAVEZNO trebate koristiti korisnički račun oblika proizvoljna_kor_oznaka@nekadomena.onmicrosoft.com. Ni u kom slučaju korisnički račun oblika jednakog vašem elektroničkom identitetu iz sustava AAI@EduHr!!! Nakon prijave, kroz PowerShell konzolu potrebno je izvršiti sljedeće naredbe (pritom umjesto domena.hr treba unijeti LDAP domenu matične ustanove, a umjesto teksta C:\Users\korisnik\Downloads\new_cert.pem unijeti putanju do certifikata kojeg ste preuzeli na svoje računalo u koraku prije):

      $dom = "domena.hr"

      set-msoldomainauthentication -authentication Managed -domainname $dom

      $fedbrandname = "AAI@EduHr"

      $url = "https://login.aaiedu.hr/office365/saml2/idp/SSOService.php?entityID=https://login.aaiedu.hr/office365/"+$dom

      $uri = "https://login.aaiedu.hr/office365/"+$dom

      $logouturl = "https://login.aaiedu.hr/office365/saml2/idp/SingleLogoutService.php?ReturnTo=https://login.aaiedu.hr/office365/logout.php"

      $cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2("C:\Users\korisnik\Downloads\new_cert.pem")

      $certdata = [system.convert]::tobase64string($cert.rawdata)

      set-msoldomainauthentication -domainname $dom -federationbrandname $fedbrandname -authentication Federated -passivelogonuri $url -signingcertificate $certdata -issueruri $uri -logoffuri $logouturl -preferredauthenticationprotocol SAMLP

 

3. U sučelju registra resursa na adresi https://registar.aaiedu.hr evidentirati da resurs usluge Office365 vaše ustanove koristi novi certifikat.

Administrator resursa Office365 treba u Registru resursa otvoriti karticu "SAML konfiguracija" i potražiti redak IdpCertFile. U ovom retku nalazi se naziv datoteke certifikata koji je trenutačno označen kao aktivan. Za promjenu stanja kliknite na poveznicu "Ažuriraj":

Redak IdpCertFile

 

Napomena: ovaj redak je vidljiv samo u resursima povezanim s globalnom uslugom Office365 i nad čijim SAML modulom nije trenutačno postavljen nikakav zahtjev za ažuriranjem.

Na stranici za odabir certifikata ispisani su podaci iz resursa usluge i podaci o certifikatu koji je trenutačno označen kao aktivan:

Prikaz podataka aktivnog certifikata

 

Da biste stari certifikat zamijenili novim, potrebno je kliknuti gumb "Odaberite certifikat:" tako da prikazuje stanje "Novi", a zatim kliknuti gumb "Spremi promjene":

Postupak zamjene certifikata

 

Promjene će se prikazati u tablici "Podaci o aktivnom certifikatu":

Prikaz promjene u tablici Podaci o aktivnom certifikatu

 

Ako dođe do potrebe za privremeni povratak na stari certifikat, možete ga vratiti preko istog sučelja. Uzmite u obzir da treba pričekati 5-10 minuta da bi SSO servis počeo koristiti novoodabrani certifikat za komunikaciju s uslugom Office365.

U slučaju bilo kakvih problema, dodatnih pitanja ili nejasnoća kontaktirajte nas na adresu aai@srce.hr