CARSI联盟的特色之一是单点登录(SSO)功能。特别是在先访问CARSI资源目录(https://ds.carsi.edu.cn,本身是一个SP)、再访问其他资源SP的应用场景下。为了支持CARSI资源目录的单点登出功能,SP需要进行一定的功能配置,以确保用户在某SP的登录状态与用户在CARSI联盟中的状态保持一致,清除SP端无效数据,同时保证公共机房等环境下下一个用户使用同一浏览器登录同一SP时,不会复用前一用户的信息,避免信息泄露。
根据SP接入CARSI所采用协议的不同,SP端单点登录功能配置可分成“被动级联登出(SAML)”和“被动级联登出(OAuth)”两种情况。
被动级联登出(SAML)
只针对Shibboleth SP!采用SAML方式接入CARSI的SP,其登出过程包括两部分:1、登出Shibboleth SP;2、登出此SP对应的应用系统。
...
5)最终出现如图所示页面,界面会出现服务商各自的EntityID,EntityID前如果出现绿色对勾则表示成功,出现红色叉号则表示失败
...
被动级联登出(OAuth)
1、登录CARSI管理员自服务系统(https://mgmt.carsi.edu.cn ),配置应用系统登出接口地址;
2、SP应用改造,具体步骤可参考:3. 通过CARSI SP OAuth网关接入(Joining CARSI for OAuth SP) SP(OAuth)登出通知接口规范
3、验证SP登出配置
1)使用学校账号,登录CARSI资源共享门户(https://ds.carsi.edu.cn/)
2)登录成功后,选择需要测试的应用资源进行登录,如 ”爱学术“
...
3)登录完成后访问https://ds.carsi.edu.cn/resource/resource.php,点击用户身份选择 ”退出登录“,开始单点登出。
...
4)在弹出确认操作框中确认是否登出
...
5)最终出现如图所示页面,界面会出现spoauth2网关的EntityID,EntityID前如果出现绿色对勾则表示成功,出现红色叉号则表示失败