Versions Compared

Old Version 7

changes.mady.by.user carsi_pku_team

Saved on

compared with

New Version Current

changes.mady.by.user carsi_pku_team

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

        从SP资源的角度看,CARSI可以提供基于校园网真实身份的用户认证,可不必在SP本地维护用户库。在不泄露用户隐私信息的前提下,可实时获取真实的用户身份,身份信息随毕业离校、离职等情况的发生实时变化。

        SP资源对CARSI认证合适的定位是:作为登录入口之一,以CARSI认证替代这一部分用户在SP资源的认证。登录后显示机构/学校名称等信息表明用户身份。CARSI除了完成用户认证功能外,提供了基本的用户信息。SP资源可将CARSI认证结果通过CARSI提供的用户唯一id(非学工号)绑定到本地用户id以打通CARSI认证和本地访问控制的业务逻辑,也可根据最小适用原则进行二次用户信息采集。但是,不可进行二次用户验证。也不可将CARSI认证作为用户注册的一种方式。SP资源需将CARSI认证方式定位为高校用户真实身份的唯一登录入口,SP支持CARSI认证方式意味着不再支持其他高校身份方式登录。SP资源提供方可使用CARSI提供的用户唯一ID(非学工号)进行人员区分,可将它与SP资源提供方的应用系统用户ID(如内部ID、手机号、邮箱等)绑定,以打通CARSI认证和本地访问控制的业务逻辑。也可采集保证本地系统正常运行所需的基本用户信息。

9.

...

在我们产品中设计CARSI用户的服务访问流程时该注意什么?

        参见 SP可以获取到的用户属性参见 https://www.carsi.edu.cn/docs/attribute_profile_zh.pdf

...

        预上线环境是服务正式上线前的调试环境,对于SP单位和SP资源来讲,具有如下特点:

...

  1. 新加入的会员单位第一次收到“通过审核”邮件后,会员单位自动进入“调试中”状态。第一个SP资源上线后,该会员单位进入“已上线”状态。

  2. 在CARSI自服务系统 https://mgmt.carsi.edu.cn/  中SP资源状态为“调试中”,该SP资源可在预上线环境调试。

...

  1. 可使用预上线环境IdP进行SP访问流程和功能调试。预上线环境IdP测试账号可向carsi@pku.

...

  1. edu.

...

  1. cn发送邮件获取。

        完成调试,符合预上线环境测试标准后,联系北京大学CARSI团队将该SP资源设置到“线上环境”。

        线上环境是CARSI的正式运行环境,具有如下特点:

  1. 该SP资源被所有CARSI IdP可见。有权限访问本SP资源的学校师生,可直接通过CARSI进行访问,无需额外的技术调试。通过CARSI加入eduGAIN的资源,将通过eduGAIN被其他国家的IdP可见。

  2. 在CARSI自服务系统 https://mgmt.carsi.edu.cn/  中,该SP资源状态为“已上线”。

        “试运行状态”是指,在线上环境进一步试验SP服务访问流程是否正常的一个调试状态,是SP资源正式上线前的一个短期、临时状态。SP管理员可在此期间和CARSI运行团队一起检查正式上线的准备工作是否完成,如切换资源页面、为学校开放权限、准备产品环境的用户访问流程文档等。该状态下,CARSI IdP可获得该SP的metadata,但仍有可能撤回到预上线环境和调试状态。在CARSI网站发布新闻和网站SP成员列表公开后,SP资源正式进入“已上线”状态。

...

        可以,推荐国内SP采用OAuth方式接入。

17.

...

我们已经注册申请加入CARSI,由于公司内部调整,企业名称发生改变,请问是否还要重新注册申请加入CARSI ?

        需要重新在线申请注册。并且需要注意:重新在线申请之前,SP会员单位需要用前一次申请中系统预留的联系人邮箱给CARSI官邮carsi@pku.edu.cn发邮件申请删除前一次注册的公司信息。确认删除后,方可再次在线申请。

...

23.使用OAuth方式对接的SP,资源已上线,现需修改资源的名称。还能利用原来的OAuth Client信息(Client ID、Client Secret、Public Key、Redirect URI等)吗?

目前CARSI对资源的管理分为三层结构:

  1. 会员单位

  2. SP实体,即使用OAuth方式对接的SP实体,OAuth Client信息绑定在这一层完成。

  3. SP资源,即CARSI网站上显示的SP资源,包括访问地址、访问流程文档,服务开通流程文档等。

SP需要先明确此次变更是以上三层的哪一层要做的变更。原则上需要由资源的内容提供商作为会员单位提出申请。因此在评估上线申请前CARSI管理员需要先了解资源的实际所属单位。

...

        采用OAuth方式接入CARSI的SP资源,参见CARSI SP+OAuth2认证接口  页面最下方部分。

2. 采用OAuth方式接入,如何获取IdP释放的属性?

        采用OAuth方式接入CARSI的SP资源,参见CARSI SP+OAuth2认证接口  页面“第三步:获取资源”。

3. 如何与CARSI技术人员取得联系

...

        建议首选使用Shibboleth SP,也可以使用Spring Security。CARSI暂不提供搭建SAML SP的技术支持。符合SAML 2.0的SP理论上都可以接入CARSI。调试时请主动告知,我们会多留意兼容问题。

5. 什么是WAYFLess/登录过程

        想了解WAYFLess的话,可以参考一下  3. 通过CARSI SP OAuth网关接入(Joining CARSI for OAuth SP)  页面最下方“附:关于WAYFLess URL”

6.如何跳过选择学校的页面

        用户可以跳过选择学校的界面,直接跳转到自己学校的IdP登录,在登录后跳转到SP资源页面。可以参考https://github.com/szulwm/WAYFless  里面的定义。对于OAuth方式接入的SP,参考:3. 通过CARSI SP OAuth网关接入(Joining CARSI for OAuth SP)  页面最下方“附:关于WAYFLess URL”。对于其他方式接入的SP,需要SP自行提供。