/
什么是Metadata?

什么是Metadata?

        在SAML协议和Shibboleth框架中,元数据文件是指用于SP和IdP之间互相识别的配置数据,为XML格式,每个IdP或者SP有一段独立的Metadata,描述IdP或者SP的基本服务信息。

        CARSI服务管理Metadata文件的方式完全遵从SAML协议和Shibboleth框架的规范,即会员单位提供描述自身IdP或SP的Metadata文件(通过自服务系统自助提交xml文件),CARSI服务在验证该文件无误后将其合并到CARSI的Metadata文件中,CARSI服务的Metadata文件是一份包含所有线上IdP和SP信息的汇总的Metadata文件。

        CARSI内的IdP和SP成员需要在自己的环境中手动或配置自动更新CARSI的Metadata文件(https://www.carsi.edu.cn/carsimetadata/carsifed-metadata.xml),帮助IdP和SP互相识别,保证CARSI正常的和安全的运行。CARSI提供的安装包,已经在IdP及SP环境配置了定时(每隔十分钟)自动更新(下载)CARSI服务的Metadata文件,建议采用此种方案。保持本地Metadata文件和CARSI种子Metadata文件的实时同步,是使用CARSI服务最新资源的技术基础。

Shibboleth wiki上提供了更多有用的信息,可以参考:https://wiki.shibboleth.net/

Metadata中包含了

  • IdP和SP的基本信息

  • 证书信息,用于通信过程中的加密

  • 通信过程中用到的URL信息

从何处获得元数据文件?

IdP元数据文件:
        IdP安装配置完成后,/opt/shibboleth-idp/metadata/idp-metadata.xml 文件即为元数据文件。

SP元数据文件:
        SP安装配置完成后,访问:https://[SP域名]/Shibboleth.sso/Metadata,保存该文件即可(在自服务系统中上传时,需将其后缀名改为xml)。

CARSI服务预上线环境、线上环境及Metadata文件

为了便于成员单位调试,并将调试中的环境与线上环境进行隔离。CARSI服务提供了两套环境:预上线环境(即测试或调试环境)和线上环境。

        成员单位提交的本单位IdP或SP的Metadata文件,会首先合并到CARSI预上线环境的汇总Metadata文件中,所有调试工作均在此环境中进行。CARSI服务在此环境提供了用于测试的IdP、SP和DS服务。成员单位可以重复上传本单位IdP或SP的Metadata文件(CARSI服务使用覆盖的方式合并到预上线环境总Metadata中),直到IdP或SP在预上线环境中测试通过。

        成员单位的IdP或SP在预上线环境中测试通过后,管理员发送邮件给CARSI服务管理员(邮件地址:carsi@pku.edu.cn)申请上线。验证通过后,CARSI服务管理员将该IdP或SP的Metadata从预上线环境的Metadata中删除,并合并到线上环境的Metadata中。成员单位的IdP或SP仅需在收到CARSI的“产品环境上线”通知邮件后,按照文档的指引更新一下本地环境的Metadata来源地址(由CARSI的预上线Metadata地址改为线上环境的Metadata地址)即可。

        另外,申请通过CARSI加入eduGAIN的服务,上线后,IdP或SP的Metadata将被加入到CARSI Metadata for eduGAIN公布给eduGAIN。具体过程参见上线IdP(脚本安装第10/11步)

CARSI预上线环境Metadata文件地址:https://www.carsi.edu.cn/carsimetadata/carsifed-metadata-pre.xml

CARSI线上环境Metadata文件地址:https://www.carsi.edu.cn/carsimetadata/carsifed-metadata.xml

CARSI给eduGAIN的Metadata文件地址:https://www.carsi.edu.cn/carsimetadata/carsifed-edugain-metadata.xml

版权所有©北京大学计算中心