脚本方式安装部署CARSI IdPv4.1.7(推荐)

注意事项

安装部署IdP4.1.7与部署IdP4.1.4的主要区别

  1. IdP4.1.7版本有效防范了Spring Framework RCE vulnerability漏洞。版本内容变动详见shibboleth官网
  2. 除安装IdP4.1.7(第3/11步)有变化之外,其他步骤没有任何改变。

安装部署IdP4.1.7与部署IdP3.4.7的主要区别

  1. Web容器工具由Tomcat变更到Jetty,采用Jetty9.4版本。
  2. 为何选用Jetty:1)Shibboleth IdP4的主要工作基于Jetty完成;2)Jetty比Tomcat更高效,启动时间更短。
  3. 增加了pairwise-id属性的配置和释放。目前共释放四个属性,分别为:eduPersonScopedAffiliation、eduPersonEntitlement、eduPersonTargetedID、pairwise-id。pairwise-id属性的取值与eduPersonTargetedID相同,均为persistent-id,将逐步替换eduPersonTargetedID。新版本IdP在idp-audit.log日志中增加输出了pairwise-id属性。
  4. 采用普通用户carsi进行远程登录和系统安装,对权限要求高的步骤通过sudo完成。
  5. 参照等保2.0标准,或者在安装脚本中完成配置,或者进行文字提醒。

脚本方式安装部署CARSI IdPv4.1.7步骤

IdP4:安装前的准备步骤(第1/11步):开始安装IdP之前,需要进行的准备工作,包括:系统环境、IdP域名、NTP服务、IPv6、学生身份认证系统情况等。

IdP4:配置服务器并准备安装环境(第2/11步):为安装IdP进行服务器、操作系统、安装环境等准备。

IdP4:安装IdP4.1.7(第3/11步):下载脚本并按照提示安装IdP。

IdP4:安装数据库Mariadb103(第4/11步):安装数据库,用户存放用户真实id和CARSI联盟对外公布用户id的对应关系。在保护用户隐私信息的同时,支持SP对用户唯一id的需求以及面向特定人群的特殊优惠政策实施。

IdP4:对接校园网认证系统 (第5/11步):将IdP与校园网认证系统进行对接。本步骤为通过CARSI将本校身份认证结果和用户信息释放给SP的关键步骤。按照要求进行配置,真实反映用户的校园网身份、详细配置用户id,可以避免后期访问不同SP时的调试工作量。

IdP4:1. 对接LDAP认证系统:采用LDAP和校园网身份认证系统对接,配置并定义用户属性。

IdP4:2. 对接CAS认证系统:作为CAS client和校园网身份认证系统对接,配置并定义用户属性。

IdP4:3. 对接OAuth 2认证系统:采用OAuth2和校园网身份认证系统对接,配置并定义用户属性。

IdP4:4-2 对接企业微信认证:对接校园网企业微信通讯录,将它作为学校身份认证系统,配置并定义用户属性。

IdP4:5. 对接腾讯微校认证.:对接腾讯微校用户库,将它作为学校身份认证系统,配置并定义用户属性。

IdP4:日志功能配置步骤(第6/11步):配置IdP日志,在CARSI管理平台查看本校运行情况,为CARSI发展提供第一手资料。

IdP4:替换https数字证书(第7/11步):替换用户浏览器以https访问IdP时,web服务证书。

IdP4:用户隐私保护配置步骤(第8/11步):配置用户访问IdP时,IdP提示给用户去确认的个人信息内容和形式。

IdP4:预上线环境调试IdP (第9/11步):完成前几步的配置之后,开始在“预上线环境”的运行调试,验证用户属性释放。

IdP4:预上线环境和线上环境介绍:解释两种环境分别是什么?

        IdP4:预上线环境准备Metadata数据:开始运行调试前必做的一项准备工作。

        IdP4:访问CARSI资源门户 (通过浏览器):在不同终端和入口进行运行调试,通过浏览器访问。

IdP4:上线IdP步骤 (第10/11步):在预上线环境完成调试后,开始此步骤,将IdP上线到运行环境。

        IdP4:提交上线申请资料:发送邮件给carsi@pku.edu.cn,发送预上线环境调试成功截图。

        IdP4:收到上线成功邮件后配置步骤(适用于ldap/oauth/CAS认证方式):IdP上线的最后一步,也是最重要的一步。

        IdP4:收到上线成功邮件后配置步骤(适用于企业微信认证方式)

        IdP4:收到上线成功邮件后配置步骤(适用于腾讯微校认证方式)

        IdP4:上线后验证步骤(通过浏览器):验证IdP上线是否成功。

        IdP4:访问CARSI资源门户步骤(通过CARSI公众号):一站式CARSI资源访问,从“CARSI公众号”发起。

        IdP4:访问CARSI资源门户步骤(通过学校微信公众号):一站式CARSI资源访问,从学校微信公众号发起。

        IdP4:访问CARSI资源门户步骤(通过学校信息门户):一站式CARSI资源访问,从“学校信息门户”发起。

        IdP4:访问CARSI资源门户步骤(通过企业微信):一站式CARSI资源访问,从“企业微信”发起。

IdP4:开通资源访问权限步骤(第11/11步)