IdP测试及上线(ova第5/6步,手动第8/9步)
- carsi_pku_team
CARSI设置了预上线环境和线上环境。在安装配置完IdP或者SP之后,首先通过预上线环境进行服务调试和测试,具体步骤见“预上线环境测试”。预上线环境测试成功后,发送邮件给carsi@pku.edu.cn,由carsi管理员将服务上线。线上服务的Metadata将加入到CARSI Metadata(https://www.carsi.edu.cn/carsimetadata/carsifed-metadata.xml)公布给CARSI所有IdP和SP。申请通过CARSI加入eduGAIN的服务,上线后,Metadata将被加入到CARSI Metadata for eduGAIN(https://www.carsi.edu.cn/carsimetadata/carsifed-edugain-metadata.xml)公布给eduGAIN。
预上线环境测试
在浏览器中打开一个新的无痕窗口。访问:https://dspre.carsi.edu.cn/ 浏览器跳转到学校选择页面。
在这里务必确认好学校的中英文名称(尤其是英文大小写)是正确的,一旦IdP上线该信息即会推送到全球联盟eduGAIN,上线后无法更改!!!(上线前可在自服务系统中自行修改,修改后请重新上传metadata文件使其生效)。
选择要测试的学校。
.png?version=1&modificationDate=1630650156306&cacheVersion=1&api=v2&width=797&height=400)
跳转到学校的登录页面,填入相关信息。如北京大学测试IdP的登录页面。页面下半部“CARSI logo”和“https://dspre.carsi.edu.cn/ds/index.html”为测试系统信息,访问其他应用系统会进行相应替换。
根据IdP的配置,可能会出现条款页面(该页面也可配置隐藏 IdP隐私保护配置),这里需要同意相关条款。
.png?version=1&modificationDate=1630650156211&cacheVersion=1&api=v2&width=384&height=400)
根据IdP的配置,可能会出现属性释放页面(该页面也可配置隐藏 IdP隐私保护配置),在这里用户可以选择性地去掉对某些属性的释放。
登录成功后,浏览器跳转回https://dspre.carsi.edu.cn/secure/ 页面,该页面最后一行如提示“恭喜,您已认证成功!当前页面为SPTEST模拟的资源页面!”,则代表登陆成功。
验证属性释放是否成功:点击页面最后一行的“点击查看属性释放情况”,或访问https://dspre.carsi.edu.cn/Shibboleth.sso/Session, 应返回类似如下的信息,注意最后3行的属性释放,必须包含这3个属性:affiliation、entitlement、persistent-id
Miscellaneous Session Expiration (barring inactivity): 478 minute(s) Client Address: 240c:c001:0:126::ee SSO Protocol: urn:oasis:names:tc:SAML:2.0:protocol Identity Provider: https://idp3.pku.edu.cn/idp/shibboleth Authentication Time: 2020-12-24T05:12:21.610Z Authentication Context Class: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Authentication Context Decl: (none) Attributes affiliation: faculty@pku.edu.cn entitlement: urn:mace:dir:entitlement:common-lib-terms persistent-id: https://idp3.pku.edu.cn/idp/shibboleth!https://dspre.carsi.edu.cn/shibboleth!fnsxVMibdcO76v1+e1lhPqMZuB4=
申请上线
在预上线环境(https://dspre.carsi.edu.cn/) 访问成功后,请发送邮件给 carsi@pku.edu.cn,申请在CARSI产品环境上线,邮件内容需包括:
- SP属性释放成功截图,SP属性释放截图须包含3个属性:affiliation、entitlement、persistent-id。
2. https://dspre.carsi.edu.cn输入本校名称之后的截图,请仔细检查学校中英文名称,确保英文名称拼写正确,首字母大写。上线前,可登陆https://mgmt.carsi.edu.cn修改。
3. CARSI自服务系统可正常访问截图。登陆自服务系统(https://mgmt.carsi.edu.cn),右上角选择“今天”,IdP认证次数(from DS/SP)(蓝色)有访问数据。IdP日志功能(手动第6/9步))配置成功后,该数据根据预上线环境和线上环境的访问情况(包括测试)每小时自动更新。
线上环境配置
收到上线成功邮件通知后,如果使用手动方式安装,需下载https://www.carsi.edu.cn/carsimetadata/carsifed-metadata.xml 文件,放入/opt/shibboleth-idp/metadata文件夹,并且修改文件的所属用户和组。
[root@www ~]# chown -R tomcat.tomcat /opt/shibboleth-idp
[root@www ~]# vi /opt/shibboleth-idp/conf/metadata-providers.xml
#修改之前定义的MetadataProvider
<MetadataProvider id="HTTPMetadata"
xsi:type="FileBackedHTTPMetadataProvider"
backingFile="/opt/shibboleth-idp/metadata/carsifed-metadata.xml"
minRefreshDelay="PT5M"
maxRefreshDelay="PT10M"
metadataURL="https://www.carsi.edu.cn/carsimetadata/carsifed-metadata.xml">
<MetadataFilter xsi:type="SignatureValidation" certificateFile="/opt/shibboleth-idp/credentials/dsmeta.pem" />
<MetadataFilter xsi:type="EntityRoleWhiteList">
<RetainedRole>md:SPSSODescriptor</RetainedRole>
</MetadataFilter>
</MetadataProvider>
[root@www ~]# systemctl restart tomcat
如果使用ova镜像快速安装方式,需执行以下脚本完成上线。
[root@www ~]# sh /root/inst/idp3config/onlineidp.sh
线上环境验证
在浏览器中打开一个新的无痕窗口。访问:https://ds.carsi.edu.cn/。
浏览器跳转到学校选择页面,选择要测试的学校,跳转到学校的登录页面,填入相关信息进行验证。IdP相关页面可参考上文“预上线环境”。
登录成功后,浏览器跳转回https://ds.carsi.edu.cn/secure/ 页面,该页面如提示“恭喜,您已认证成功!”,则代表登陆成功。
最后验证一下属性释放是否成功:访问https://ds.carsi.edu.cn/Shibboleth.sso/Session 应返回类似如下的信息,最后3行应显示SP获得到的属性,但线上环境出于安全考虑并未配置明文获取,因此看不到具体的取值。
Miscellaneous Session Expiration (barring inactivity): 479 minute(s) Client Address: 2001:da8:201:1126:9dd3:6a5d:4a29:be24 SSO Protocol: urn:oasis:names:tc:SAML:2.0:protocol Identity Provider: https://idp.pku.edu.cn/idp/shibboleth Authentication Time: 2019-09-20T09:41:32.563Z Authentication Context Class: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport Authentication Context Decl: (none) Attributes affiliation: 1 value(s) entitlement: 1 value(s) persistent-id: 1 value(s)
版权所有©北京大学计算中心