通过Shibboleth接入资源

Owned by carsi_pku_team
Last updated: Jun 20, 2023
2 min read

提交申请:

        请参照内容模板资产产品介绍(学校自用版)准备服务介绍,邮件发送给carsi@pku.edu.cn。由CARSI评估该服务是否适合接入。

技术调试:    

        审批通过收到回复邮件后,请按照以下步骤进行技术调试。       

1. 添加SP并向CARSI提交SP元数据文件

        登陆 CARSI会员自服务系统, 用户名为申请时填写的单位域名,缺省密码为申请时填写的项目负责人手机号,首次登录后请修改密码。

       在“我的CARSI->SP管理”中,选择“添加SP”,按照提示完成添加 SP并上传metadata文件。

 

        添加完SP后,该SP即合并到CARSI联盟的预上线环境metadata中:https://www.carsi.edu.cn/carsimetadata/carsifed-metadata-pre.xml

2. 修改SP本地配置以支持CARSI预上线环境调试

        请将此metadata加入到SP本地的MetadataProvider中,可参考以下步骤进行配置:

        a. 将SSO配置为CARSI的SAMLDS服务:       

<SSO discoveryProtocol="SAMLDS" discoveryURL="https://dspre.carsi.edu.cn/ds/index.html">     SAML2 </SSO>

        b. 将CARSI预上线环境metadata添加到SPDe MetadataProvider中:     

<MetadataProvider type="XML" url="https://www.carsi.edu.cn/carsimetadata/carsifed-metadata-pre.xml"  backingFilePath="/etc/shibboleth/carsifed-metadata-pre.xml" legacyOrgNames="true" reloadInterval="600" > </MetadataProvider> 

        这是一个新安装SP的环境配置,仅供参考:       

#通过yum源的方式安装(install through yum) [root@www ~]# wget http://download.opensuse.org/repositories/security://shibboleth/CentOS_7/security:shibboleth.repo -P /etc/yum.repos.d [root@www ~]# yum install shibboleth [root@www ~]# systemctl start shibd [root@www ~]# systemctl enable shibd [root@www ~]# systemctl restart httpd #配置SP受保护资源目录(config producted dir) [root@www ~]# vi /etc/httpd/conf.d/shib.conf #line 49 <Location /secure> /secure 指的是受保护资源的目录,按照需要自行修改 protected dir, change it based on your demand #配置SP entityID(config SP Entity ID) [root@www ~]# vi /etc/shibboleth/shibboleth2.xml #将(replace): ApplicationDefaults entityID="https://sp.example.org/shibboleth" #改为(with): ApplicationDefaults entityID="https://[sp域名]/shibboleth" #将(replace) <SSO entityID="https://idp.example.org/idp/shibboleth" discoveryProtocol="SAMLDS" discoveryURL="https://ds.example.org/DS/WAYF"> SAML2 </SSO> #改为(with) <SSO discoveryProtocol="SAMLDS" discoveryURL="https://dspre.carsi.edu.cn/ds/index.html"> SAML2 </SSO> #在<ApplicationDefaults>代码块内增加(/etc/shibboleth/carsifed-metadata-pre.xml为待生成的metadata备份文件) Add in <ApplicationDefaults> block(/etc/shibboleth/carsifed-metadata-pre.xml is the backup metadata file to be generated) <MetadataProvider type="XML" url="https://www.carsi.edu.cn/carsimetadata/carsifed-metadata-pre.xml" backingFilePath="/etc/shibboleth/carsifed-metadata-pre.xml" legacyOrgNames="true" reloadInterval="600" > </MetadataProvider> [root@www ~]# systemctl start shibd [root@www ~]# systemctl enable shibd [root@www ~]# systemctl restart httpd

3.在预上线环境进行认证测试

        访问待测试SP应用的CARSI登录链接,参考文档IdP4:访问CARSI资源门户 (通过浏览器)的步骤,使用联盟提供的测试IdP及其账号(发送邮件到carsi@pku.edu.cn获取),在预上线环境测试SP服务。可根据SP访问控制的需要,检查IdP用户属性是否正常。

4.SP服务页面添加CARSI logo

        CARSI联盟建议会员单位在SP服务主页面或用户登录页面,以醒目方式(如放置logo)标明我单位为CARSI 身份联盟会员或提供独立的CARSI登录入口。参见 使用CARSI logo。        

5.提交产品环境试运行申请

        请参照模板(用户访问指南)准备文档。供校内师生使用的资源,如果学校已经有单独页面说明如何使用该资源,建议将该链接加入到用户访问指南文档。

        准备好以后,请发送邮件给 carsi@pku.edu.cn,申请在CARSI产品环境上线试运行,并将上述文档作为附件提供。我们会根据您提供的文档验证登录流程,确认无误后执行上线试运行操作。请注意如CARSI登录仅在您的测试环境可以试用的话,请一并告知我们您的测试网址。       

6.试运行期间需完成

        收到上线成功邮件,意味着该SP metadata已合并到CARSI联盟的线上环境metadata中:https://www.carsi.edu.cn/carsimetadata/carsifed-metadata.xml。您需将SP的MetadataProvider从同步预上线环境metadata文件 https://www.carsi.edu.cn/carsimetadata/carsifed-metadata-pre.xml 修改为同步该文件, 将所有引用预上线环境的DS(https://dspre.carsi.edu.cn/ds/index.html)的地方改为引用线上环境DS (https://ds.carsi.edu.cn/ds/index.html)。

7.CARSI网站SP成员列表公布,正式提供服务

        确认文档、测试全部无误后,给 carsi@pku.edu.cn发送邮件,申请正式在CARSI网站SP成员列表公布该SP。

8.在SP配置仅允许本校师生访问

        如果SP资源只为本校师生提供服务,学校可在在SP的/etc/shibboleth/shibboleth2.xml文件中,增加或修改支持的IdP认证。

版权所有©北京大学计算中心