通过OAuth接入资源

Owned by carsi_pku_team
Last updated: Jun 20, 2023
2 min read

  学校通过OAuth接入SP资源,CARSI对学校待接入资源进行审核。上线后,CARSI列表中公布该资源,并标明为“学校自用”。

 提交申请:

        请参照内容模板资源产品介绍(学校自用版)准备服务介绍,邮件发送给carsi@pku.edu.cn。由CARSI评估该服务是否适合接入。

技术调试:

        审批通过收到回复邮件后,请按照以下步骤进行技术调试。       

1. 提交SP配置信息

      登陆 CARSI会员自服务系统 ,用户名为申请时填写的单位域名,缺省密码为申请时填写的项目负责人手机号,首次登录请修改密码。

     

      在“我的CARSI->SP管理(OAuth)”中,选择“添加SP”,按照提示完成添加。

 

      请注意,根据实际需要勾选“SP需要的属性”,carsi-affiliation和carsi-persistent-uid。

2.应用系统对接CARSI OAuth网关,线上提交OAuth对接参数

        应用系统以OAuth client方式对接CARSI OAuth网关(OAuth server)。SP添加好以后,点击进入该SP详情页,绑定OAuth Client信息,具体包括:

(1)Client_ID : 资源的英文缩写或拼音简称,长度不能超过20个字符。

(2)Client_Secret : OAuth Client访问口令,长度不超过30位,自行设置。CARSI SP+OAuth2认证接口 中的token接口使用。

(3)回调地址 :遵照OAuth协议,应用系统提供的服务地址。建议为 https。

(4)非对称密钥对中的公钥:签名算法为RSA2,密钥长度至少2048位,建议使用4096位。

         关于非对称密钥对中的公钥:

         公钥在 CARSI SP+OAuth2认证接口 中resource接口使用,其作用是将IdP返回的用户身份信息加密后返回给OAuth客户端。OAuth客户端使用自己的私钥解密该信息。可以参考以下命令生成一个4096位的非对称密钥对,将其中的rsa_pcks8_pem.public文件的全部内容(包括头尾2行)或将整个文件提供给CARSI。

openssl genrsa -out rsa_pem.key 4096 #生成PKCS #1 PEM格式的私钥,4096位 openssl pkcs8 -topk8 -inform PEM -in rsa_pem.key -outform PEM -out rsa_pcks8_pem.private -nocrypt #转换成PKCS #8 PEM格式的私钥(因为Java等程序是需要使用该格式的) openssl rsa -in rsa_pcks8_pem.private -pubout -out rsa_pcks8_pem.public #生成对应的公钥

         这是一个公钥文件样例(This is an example public key file):rsa_pcks8_pem.public

3.在预上线环境进行认证测试

        访问待测试SP应用的CARSI登录链接(CARSI SP+OAuth2认证接口 介绍的authorize接口),参考文档IdP4:访问CARSI资源门户 (通过浏览器)的步骤,使用联盟提供的测试IdP及其账号(发送邮件到carsi@pku.edu.cn获取),在预上线环境测试SP服务。可根据SP访问控制的需要,检查IdP用户属性是否正常。

        CARSI联盟建议在SP服务主页面或用户登录页面,以醒目方式(如放置logo)标明我单位为CARSI 身份联盟会员或提供独立的CARSI登录入口。参见 使用CARSI logo。        

5.提交产品环境试运行申请

        请参照模板(用户访问指南)准备文档。供校内师生使用的资源,如果学校已经有单独页面说明如何使用该资源,建议将该链接加入到用户访问指南文档。

        准备好以后,请发送邮件给 carsi@pku.edu.cn,申请在CARSI产品环境上线试运行,并将上述文档作为附件提供。我们会根据您提供的文档在预上线环境验证登录流程,确认无误后执行上线试运行操作。 

6.试运行期间需完成 

        收到上线试运行的邮件后,根据CARSI SP+OAuth2认证接口 头部的说明,切换SP OAuth 网关服务器的域名,从预上线域名改为线上域名。       

        试运行期间,OAuth Client信息被添加到产品环境,但服务还没有在CARSI网站SP成员列表公布。SP管理员可在此期间检查正式提供服务的准备工作是否完成,如切换资源页面、为学校开放权限、准备产品环境的用户访问流程文档等。          

        请在 CARSI会员自服务系统中添加(我的SP资源)用于在CARSI资源门户、CARSI的SP成员列表等页面展示该资源(产品)的实体,包括用户访问流程文档(docx格式,万一有小问题我们可以直接帮助您修改)。

        审核SP资源信息,和北大CARSI团队老师一起完成SP上线复测。 

        CARSI管理员审核SP在系统提交的SP资源信息。

7.CARSI网站SP成员列表公布,正式提供服务

        确认文档、测试全部无误后,给 carsi@pku.edu.cn发送邮件,完成上线。

版权所有©北京大学计算中心