/
通过OAuth接入校建资源

通过OAuth接入校建资源

Owned by carsi_pku_team
Mar 05, 2025
2 min read

提交申请:

          请参照内容模板 准备服务介绍,邮件发送给carsi@pku.edu.cn。由CARSI专家组评估该服务是否适合接入,请等待审核。

技术调试前需做的准备:

        1.请根据 学校自建资源为CARSI联盟其他高校提供服务 确定资源接入方式,OAuth2或者Shibboleth。 

        2.请仔细阅读 CARSI基本调试要求(CARSI Basic Debugging Requirements)

收到审核通过通知后:

收到审核通过通知后,SP可以开始技术调试。技术调试前,全资格会员管理员可以在会员单位自服务系统(https://mgmt.carsi.edu.cn )为待接入资源的技术人员创建子账号。后续技术调试和参数配置可在子账号下进行。子账号创建方法:登录CARSI会员自服务系统,在“我的CARSI,子账号管理”页面,点击创建子账号,添加待接入资源技术人员为管理员,为其指定所需的系统权限。可指定子账号管理员只可操作和配置本SP相关内容,不可见学校管理其他功能页面。学校管理员有权限看到本校所有SP信息。

技术调试 :

1. 在学校端CARSI管理员页面添加SP

        登录 CARSI会员自服务系统,用户名为为该SP创建的子账号或学校管理员账号。

1.png

      在“我的CARSI->SP管理(OAuth)”中,选择“添加SP”,按照提示完成添加。

选填项:“SP 登出通知地址”:为CARSI联盟SLO登出时,将以 “post” 方式向已登陆的SP(OAuth)的登出通知地址发送用户登出通知,SP在接收到通知后可对用户进行SP应用层登出,SP(OAuth)需根据 “SP(OAuth)登出通知接口规范 ” 设计登出通知地址接口。

2.png

请注意,务必根据实际需要勾选“SP需要的属性”。其中,carsi-affiliation代表用户身份,如教工、学生等,SP可根据用户身份对某一类用户分别授权,。

2.线上提交OAuth对接参数

        SP添加好以后,点击进入该SP详情页,在页面最下方有入口绑定OAuth Client信息。

3.png

        具体信息包括:

(1)Client_ID : 资源的英文缩写或拼音简称,长度不能超过20个字符

(2)Client_Secret : OAuthClient访问口令,自行设置,长度不超过30位。CARSI SP+OAuth2认证接口 介绍的接口token中会用到的。

(3)回调地址 :遵照OAuth协议,应用系统提供的服务地址。建议为 https。

(4)非对称密钥对中的公钥:签名算法为RSA2,密钥长度至少2048位,建议使用4096位

公钥将被用在 CARSI SP+OAuth2认证接口 中介绍的resource接口,其作用是将IdP返回的用户身份信息加密后再返回给OAuth客户端,OAuth客户端再使用自己的私钥解密出该信息。可以参考以下命令生成一个4096位的非对称密钥对,将其中的rsa_pcks8_pem.public文件的全部内容(包括头尾2行)或将整个文件提供给CARSI。

openssl genrsa -out rsa_pem.key 4096 #生成PKCS #1 PEM格式的私钥,4096位 openssl pkcs8 -topk8 -inform PEM -in rsa_pem.key -outform PEM -out rsa_pcks8_pem.private -nocrypt #转换成PKCS #8 PEM格式的私钥(因为Java等程序是需要使用该格式的) openssl rsa -in rsa_pcks8_pem.private -pubout -out rsa_pcks8_pem.public #生成对应的公钥

这是一个样例公钥文件(This is an example public key file):rsa_pcks8_pem.public

3.在预上线环境进行认证测试

        访问待测试SP应用的CARSI登录链接(CARSI SP+OAuth2认证接口 介绍的authorize接口),参考文档IdP4:访问CARSI资源门户 (通过浏览器)的步骤,使用联盟提供的测试IdP及其账号(发送邮件到carsi@pku.edu.cn获取),在预上线环境测试SP服务。可根据SP访问控制的需要,检查IdP用户属性是否正常。

4.SP服务页面标明是CARSI会员(Add a CARSI entrance on SP service page)

        CARSI联盟建议会员单位在SP服务主页面或用户登录页面,以醒目方式(如放置logo)标明我单位为CARSI 身份联盟会员或提供独立的CARSI登录入口。参见 使用CARSI logo

5.CARSI产品环境试运行(Trail run your SP on CARSI production environment)

        请参照模板(用户访问指南&IdP添加指南模板(User Visit Guide & IdP Appending Guide templates))准备两份文档。

        准备好以后,请发送邮件给 carsi@pku.edu.cn,申请在CARSI产品环境上线试运行,并将上述2份文档作为附件提供。我们会根据您提供的文档验证登录流程,确认无误后执行上线试运行操作。请注意如CARSI登录仅在您的测试环境可以试用的话,请一并告知我们您的测试网址。

6.SP试运行期间需完成:

        收到上线试运行的邮件后,根据CARSI SP+OAuth2认证接口 头部的说明,切换SP OAuth 网关服务器的域名,从预上线域名改为线上域名。

        SP试运行期间,请按照CARSI SP申请和接入流程 (CARSI SP joining process) 中的第九步进行对接。

 

Related content

版权所有©北京大学计算中心