通过Shibboleth接入资源

提交申请：

请参照内容模板资产产品介绍（学校自用版）准备服务介绍，邮件发送给carsi@pku.edu.cn。由CARSI评估该服务是否适合接入。

技术调试：

审批通过收到回复邮件后，请按照以下步骤进行技术调试。

1. 添加SP并向CARSI提交SP元数据文件

登陆 CARSI会员自服务系统，用户名为申请时填写的单位域名，缺省密码为申请时填写的项目负责人手机号，首次登录后请修改密码。

在“我的CARSI->SP管理”中，选择“添加SP”，按照提示完成添加 SP并上传metadata文件。

添加完SP后，该SP即合并到CARSI联盟的预上线环境metadata中：https://www.carsi.edu.cn/carsimetadata/carsifed-metadata-pre.xml。

2. 修改SP本地配置以支持CARSI预上线环境调试

请将此metadata加入到SP本地的MetadataProvider中，可参考以下步骤进行配置：

a. 将SSO配置为CARSI的SAMLDS服务：

<SSO discoveryProtocol="SAMLDS" discoveryURL="https://dspre.carsi.edu.cn/ds/index.html"> 
    SAML2
</SSO>

b. 将CARSI预上线环境metadata添加到SPDe MetadataProvider中：

<MetadataProvider type="XML" url="https://www.carsi.edu.cn/carsimetadata/carsifed-metadata-pre.xml" 
    backingFilePath="/etc/shibboleth/carsifed-metadata-pre.xml" legacyOrgNames="true" reloadInterval="600" >
</MetadataProvider>

这是一个新安装SP的环境配置，仅供参考：

#通过yum源的方式安装(install through yum)
[root@www ~]# wget http://download.opensuse.org/repositories/security://shibboleth/CentOS_7/security:shibboleth.repo -P /etc/yum.repos.d
[root@www ~]# yum install shibboleth
[root@www ~]# systemctl start shibd 
[root@www ~]# systemctl enable shibd
[root@www ~]# systemctl restart httpd
 
#配置SP受保护资源目录(config producted dir)
[root@www ~]# vi /etc/httpd/conf.d/shib.conf
#line 49
<Location /secure> /secure 指的是受保护资源的目录，按照需要自行修改  protected dir, change it based on your demand
 
#配置SP entityID(config SP Entity ID)
[root@www ~]# vi /etc/shibboleth/shibboleth2.xml
 
#将(replace)：
ApplicationDefaults entityID="https://sp.example.org/shibboleth"
#改为(with)：
ApplicationDefaults entityID="https://[sp域名]/shibboleth"
 
#将(replace)
<SSO entityID="https://idp.example.org/idp/shibboleth" discoveryProtocol="SAMLDS" discoveryURL="https://ds.example.org/DS/WAYF">
               SAML2
</SSO>
#改为(with)
<SSO discoveryProtocol="SAMLDS" discoveryURL="https://dspre.carsi.edu.cn/ds/index.html">
               SAML2
</SSO>
 
#在<ApplicationDefaults>代码块内增加（/etc/shibboleth/carsifed-metadata-pre.xml为待生成的metadata备份文件）    Add in <ApplicationDefaults> block(/etc/shibboleth/carsifed-metadata-pre.xml is the backup metadata file to be generated)
 
<MetadataProvider type="XML" url="https://www.carsi.edu.cn/carsimetadata/carsifed-metadata-pre.xml"           
backingFilePath="/etc/shibboleth/carsifed-metadata-pre.xml" legacyOrgNames="true" reloadInterval="600" >
</MetadataProvider>
 
[root@www ~]# systemctl start shibd 
[root@www ~]# systemctl enable shibd
[root@www ~]# systemctl restart httpd

3.在预上线环境进行认证测试

访问待测试SP应用的CARSI登录链接，参考文档IdP4：访问CARSI资源门户（通过浏览器）的步骤，使用联盟提供的测试IdP及其账号（发送邮件到carsi@pku.edu.cn获取），在预上线环境测试SP服务。可根据SP访问控制的需要，检查IdP用户属性是否正常。

4.SP服务页面添加CARSI logo

CARSI联盟建议会员单位在SP服务主页面或用户登录页面，以醒目方式（如放置logo）标明我单位为CARSI 身份联盟会员或提供独立的CARSI登录入口。参见使用CARSI logo。

5.提交产品环境试运行申请

请参照模板（用户访问指南）准备文档。供校内师生使用的资源，如果学校已经有单独页面说明如何使用该资源，建议将该链接加入到用户访问指南文档。

准备好以后，请发送邮件给 carsi@pku.edu.cn，申请在CARSI产品环境上线试运行，并将上述文档作为附件提供。我们会根据您提供的文档验证登录流程，确认无误后执行上线试运行操作。请注意如CARSI登录仅在您的测试环境可以试用的话，请一并告知我们您的测试网址。

6.试运行期间需完成

收到上线成功邮件，意味着该SP metadata已合并到CARSI联盟的线上环境metadata中：https://www.carsi.edu.cn/carsimetadata/carsifed-metadata.xml。您需将SP的MetadataProvider从同步预上线环境metadata文件 https://www.carsi.edu.cn/carsimetadata/carsifed-metadata-pre.xml 修改为同步该文件，将所有引用预上线环境的DS（https://dspre.carsi.edu.cn/ds/index.html）的地方改为引用线上环境DS (https://ds.carsi.edu.cn/ds/index.html)。

7.CARSI网站SP成员列表公布，正式提供服务

确认文档、测试全部无误后，给 carsi@pku.edu.cn发送邮件，申请正式在CARSI网站SP成员列表公布该SP。

8.在SP配置仅允许本校师生访问

如果SP资源只为本校师生提供服务，学校可在在SP的/etc/shibboleth/shibboleth2.xml文件中，增加或修改支持的IdP认证。