CARSI常见问题--我是资源提供方(SP)

申请、上线、管理模式

0. CARSI联盟的SP工作原则

        CARSI欢迎致力于为中国高等教育提供服务的国内外资源厂商加入,包括图书馆电子资源生产商、正版软件、高性能计算等各类高校教学科研和信息化建设相关服务提供商。

       本着CARSI联盟和资源提供方共同发展的原则,CARSI联盟在严格筛选资源提供商的同时,也希望可以为成员高校带来更多的资源访问优惠。对于已经采购厂商资源的学校,增加“通过CARSI登录进行校外访问”的渠道(不必使用VPN);对于未采购资源的学校,建议厂商提供某种方式的免费使用或试用。

        CARSI欢迎厂商协商确定面向高校的特殊优惠政策,酌情予以重点宣传和推广。

1. 如何申请加入CARSI?可以申请哪种CARSI会员?

        参见 https://carsi.atlassian.net/wiki/spaces/CAW/pages/27103679 ,通过 https://www.carsi.edu.cn/  在线提交申请,资源提供方申请成为“CARSI SP会员”。

2. 谁可以提交申请?

        内容提供商、资源提供商、产品提供商等产品生产方可以提交申请。代理商可协助,但不能作为申请主体。

3. 提交申请前需要做哪些准备?

  • 两所推荐学校,要求学校IdP已在CARSI上线。

  • 至少5所高校的正式采购合同,合同在有效期内,审核时需提供合同复印件。

        CARSI联盟已上线高校参见https://www.carsi.edu.cn/idplist_zh.htm

4. 已经加入eduGAIN的厂商,是否还有必要向CARSI提交申请?

        有必要。资源提供厂商需承诺遵守中国的法律法规,在完成CARSI SP会员申请和审核流程后,方可通过CARSI向中国高校提供服务。目前相关法律法规主要包括:

  • 《网络安全法》 ,2017年6月1日起施行

  • “网络安全等级保护”2.0一系列国家标准,2019年12月1日起实施

  • 《数据安全法》,2021年9月1日起实施

  • 《个人信息保护法》,2021年11月1日起实施

  • 其他互联网管理相关法律法规

5. 我是单位某一款产品的负责人,产品希望支持CARSI访问,该如何提交申请?

        CARSI的“服务提供(Service Provider)会员”是指“服务提供(Service Provider)单位”。对于提供多种产品的公司,首先以“公司(单位)”名义申请加入CARSI,成为CARSI SP会员。申请成功后,可通过CARSI自服务系统 https://mgmt.carsi.edu.cn/  添加本公司支持CARSI访问的产品。目前,一个公司可支持CARSI访问的产品数量不限。

6. 从提交申请到审批通过,主要有哪些步骤?

  • 材料准备: 

        请关注https://carsi.atlassian.net/wiki/spaces/CAW/pages/27103679  第三步中提到的申请材料,注意查收申请成功后系统自动发送的3封邮件(1封“收到注册申请”邮件,2封发送给学校CARSI管理员、抄送给SP申请人的“推荐确认”邮件)。关注2所推荐学校是否都已回复“确认推荐”、是否本单位已通过电子邮件提供了“电子版公司介绍文档”,是否快递了“纸质版申请表”?

        提醒:有些学校CARSI管理员与资源采购员可能不在一个二级单位,需两位老师沟通清楚后,由CARSI管理员回复“确认推荐”邮件。“推荐确认”邮件的学校收件人为CARSI管理员。

        “电子版公司介绍文档”中的各项信息尽可能详细、清楚,已采购产品的高校需提供采购部门(图书馆/网络中心/其他部门)网站上对贵司产品的链接、采购联系人等信息,信息详细程度将影响调研进程。必要时,会要求提供公司与学校的采购合同(可屏蔽采购金额部分)。

  • 公司情况调研

        CARSI项目组老师将依据以上材料进行情况调研,包括:自身的经营状况、资源数量和质量、在现有CARSI高校中的普及程度等内容。必要时,也将与申请提交人进行信息确认。

  • 专家审批:

        提交CARSI专家组审核,确认是否可批准加入。通常会在20个工作日内答复,遇寒暑假可能会有延迟。

7. 和CARSI对接,技术上难不难,我们的系统需要如何改造?

        CARSI目前支持三种SP对接方式,1、已加入eduGAIN的SP的对接,2、通过SAML对接,3、通过OAuth对接。具体参考 https://carsi.atlassian.net/wiki/spaces/CAW/pages/27103679  ,公司可根据前期工作和对相关技术的熟悉程度选择一种进行对接。

        对于已经加入eduGAIN的SP,资源提供方无后续SP技术调试工作,仅需通过https://mgmt.carsi.edu.cn/  向CARSI提供公布到eduGAIN的SP entityID即可,CARSI将自动从eduGAIN获取该SP的其他信息。后续关于该SP的具体信息,包括SP证书修改、版本升级等,均以eduGAIN公布为准。

        对于通过SAML或者OAuth接入CARSI的厂商,请参照https://carsi.atlassian.net/wiki/spaces/CAW/pages/27103679 自行调试,联系carsi@pku.edu.cn进行联调。

        提前准备支持CARSI各学校访问的唯一资源访问入口。

8. 我们如何定位CARSI身份认证是合适的?

        从SP资源的角度看,CARSI可以提供基于校园网真实身份的用户认证,可不必在SP本地维护用户库。在不泄露用户隐私信息的前提下,可实时获取真实的用户身份,身份信息随毕业离校、离职等情况的发生实时变化。

        SP资源对CARSI认证合适的定位是:作为登录入口之一,以CARSI认证替代这一部分用户在SP资源的认证。登录后显示机构/学校名称等信息表明用户身份。CARSI除了完成用户认证功能外,提供了基本的用户信息。SP资源可将CARSI认证结果通过CARSI提供的用户唯一id(非学工号)绑定到本地用户id以打通CARSI认证和本地访问控制的业务逻辑,也可根据最小适用原则进行二次用户信息采集。但是,不可进行二次用户验证。也不可将CARSI认证作为用户注册的一种方式。

9. 对接CARSI之后,可以获得哪些用户个人信息?在我们产品中设计CARSI用户的服务访问流程时该注意什么?

        参见 https://www.carsi.edu.cn/docs/attribute_profile_zh.pdf

        如果SP需要获取其他个人信息,可在用户首次使用CARSI方式登录SP系统时,向用户收集。但是,不可再进行登录验证。第二次以后的登录,用户点击“CARSI登录”后不再提供个人信息,在学校端完成身份认证后,直接进入SP系统的业务流程。收集个人信息请遵守相关法律法规,以“最少够用”为原则,不建议收集身份证号等个人敏感信息。

        SP需在业务登录页面,增加“CARSI登录”方式,用户点击并完成CARSI登录流程后方可访问SP资源。CARSI不支持作为应用系统“注册”流程的身份确认(即CARSI不是用来替代edu.cn邮箱进行师生身份验证)。

10. 什么是“预上线环境”、“线上环境“、“试运行状态”和“已上线状态”?SP调试流程是什么?

        CARSI设置了预上线和线上两个运行环境。

        预上线环境是服务正式上线前的调试环境,对于SP单位和SP资源来讲,具有如下特点:

  1. 新加入的会员单位第一次收到“通过审核”邮件后,会员单位自动进入“调试中”状态。第一个SP资源上线后,该会员单位进入“已上线”状态。

  2. 在CARSI自服务系统 https://mgmt.carsi.edu.cn/  中SP资源状态为“调试中”,该SP资源可在预上线环境调试。

  3. 可使用预上线环境IdP进行SP访问流程和功能调试。预上线环境IdP测试账号可向carsi@pku.eud.cn发送邮件获取。

        完成调试,符合预上线环境测试标准后,联系北京大学CARSI团队将该SP资源设置到“线上环境”。

        线上环境是CARSI的正式运行环境,具有如下特点:

  1. 该SP资源被所有CARSI IdP可见。有权限访问本SP资源的学校师生,可直接通过CARSI进行访问,无需额外的技术调试。通过CARSI加入eduGAIN的资源,将通过eduGAIN被其他国家的IdP可见。

  2. 在CARSI自服务系统 https://mgmt.carsi.edu.cn/  中,该SP资源状态为“已上线”。

        “试运行状态”是指,在线上环境进一步试验SP服务访问流程是否正常的一个调试状态,是SP资源正式上线前的一个短期、临时状态。SP管理员可在此期间和CARSI运行团队一起检查正式上线的准备工作是否完成,如切换资源页面、为学校开放权限、准备产品环境的用户访问流程文档等。该状态下,CARSI IdP可获得该SP的metadata,但仍有可能撤回到预上线环境和调试状态。在CARSI网站发布新闻和网站SP成员列表公开后,SP资源正式进入“已上线”状态。

        通常来说,试运行最长不超过1个月。符合CARSI上线标准后即可正式上线,不用等到1个月。

11. 提交申请后,我如何联系到两所推荐学校的老师?联系该校的哪位老师?

        厂商在线提交申请、选择推荐学校之后,推荐确认邮件会在点击“提交申请”后,由在线申请系统同步发出。厂商申请中的两位联系人会同时收到1封“收到注册申请”邮件和转发的2封发送给学校CARSI管理员的“推荐确认”邮件。建议厂商请该校的厂商业务负责老师联系到CARSI管理员。CARSI联盟以CARSI管理员邮箱回复的确认推荐为准,确定该学校愿意推荐该厂商加入CARSI。

12. CARSI用户服务政策怎么填写?

        指的是:未采购本公司产品的CARSI联盟内其他高校的用户服务政策?(是否可以免费访问他们的资源)和已采购本公司的高校的用户服务政策是什么?比如:已采购本公司产品的高校可增加CARSI方式使用;面向未采购高校免费使用、免费试用X个月、试用哪些功能等;

13. 作为SP,怎么看CARSI资源共享门户(https://ds.carsi.edu.cn)?

        CARSI资源共享门户的设计定位是CARSI学校选择中心和资源展示中心,学校清单和资源清单与CARSI运行监测系统同步,展示最新数据。作为CARSI服务门户,该系统是CARSI服务的主要功能之一,不断发展完善。包括:对不同终端的支持,与学校信息化门户的集成,与企业微信、微信公众号等主流移动门户的集成,减少登录跳转、简化登录步骤,增强CARSI资源检索功能、更快速地了解CARSI可提供资源的能力和优惠访问能力等。

        作为SP,1)该门户可查询到所有CARSI学校,并选择其中的一所进行登录;2)该SP资源的基本信息、采购政策、使用方式等信息,将展示在门户资源清单中。

        建议SP资源的“CARSI登录”按钮指向到本页面。

14. 我们提供的是客户端(手机APP、PC应用),没有对外的Web访问地址,如何使用CARSI?

        正常的登录流程:CARSI IdP和SP需要通过浏览器跳转的方式完成用户身份认证过程。现已知使用iOS和Android端APP、PC端应用,可以顺利完成CARSI登录流程,没有技术问题。具体方法为:在APP内部,通过类似webview的方式,拉起CARSI登录过程。并在添加资源时提供的“用户访问流程”文档中,写清楚用户通过该APP访问CARSI资源的详细步骤。

        CARSI联盟设计了两处页面,集中展示可通过CARSI访问的资源。

  • 一个是CARSI主页的SP资源列表中(https://www.carsi.edu.cn/splist_zh.htm ),展示为主,其中包括每个资源的访问链接url、学校服务开通方式和用户访问流程。

  • 另一个是CARSI资源共享门户(https://ds.carsi.edu.cn),在用户一次登录门户之后,可集中查看所有CARSI资源,并直接访问,无需再单独登录。

        对于客户端类应用来讲,建议建立单独的web页面,如引导说明页面、用户中心页面等,独立于PC应用、手机APP等客户端,提供产品基本介绍、客户端下载等功能。将该URL添加到CARSI主页的SP资源列表和CARSI资源共享门户中,方便CARSI用户了解并下载使用。

15. SP申请材料填写表《资源供应商SP信息》里第7点—“CARSI服务运维单位采用哪种方式接入CARSI?”,SP具体接入方式有说明参考吗?

        具体可以参考WIKI文档:https://carsi.atlassian.net/wiki/spaces/CAW/pages/27103679

16. 关于SP接入方式,已经选择了SAML或者OAuth中的一种,开始进行技术部署之后还可以修改吗?

        可以,推荐国内SP采用OAuth方式接入。

17. 我们已经注册申请加入CARSI,由于公司内部调整,企业名称和企业LOGO发生改变,请问是否还要重新注册申请加入CARSI ?

        需要重新在线申请注册。并且需要注意:重新在线申请之前,SP会员单位需要用前一次申请中系统预留的联系人邮箱给CARSI官邮carsi@pku.edu.cn发邮件申请删除前一次注册的公司信息。确认删除后,方可再次在线申请。

18. 本公司加入CARSI的审核已经通过,接下来需要我们做什么?

        SP通过审核后,接下来可以开始进行技术调试。请留意之前预留的两位联系人的邮箱信息,我们会给两位负责人的邮箱发送审核通过的邮件,并在邮件里告知接下来的操作步骤。

19. 请问如何在自服务系统里添加SP上线资源呢?

        会员单位登录自服务系统https://mgmt.carsi.edu.cn/ ,我的SP资源,点击“新建资源”,完成创建,详情请参见:CARSI SP申请和接入流程 (CARSI SP joining process) - CARSI WIKI - Confluence (atlassian.net)

20. 我们是资源产品的代理服务商,可以作为SP会员单位申请加入CARSI吗?

        不可以。申请加入CARSI的服务提供单位必须是资源产品的内容生产商或提供商。

21. 由于我们业务需要,CARSI能否把学工号信息返回给我们 ?

        不可以。CARSI的定位,是连接各个学校和多个SP的平台,学工号在校内的权限很大,是很重要的个人隐私信息。CARSI统一提供了pairwise-id(或eduPersonTargetedID, ePTID),唯一代表用户,永久有效。建议SP通过它区分用户。

22.我想更换系统预留的联系人的信息,怎么操作?

管理员登录自服务系统 https://mgmt.carsi.edu.cn/ , 我的CARSI,基本信息,点击页面左下角的“修改信息”按钮,更改后点击“保存信息”即可。

23.使用OAuth方式对接的SP,资源已上线,现需修改资源的名称。还能利用原来的OAuth Client信息(Client ID、Client Secret、Public Key、Redirect URI等)吗?

目前CARSI对资源的管理分为三层结构:

  1. 会员单位

  2. SP实体,即使用OAuth方式对接的SP实体,OAuth Client信息绑定在这一层完成。

  3. SP资源,即CARSI网站上显示的SP资源,包括访问地址、访问流程文档,服务开通流程文档等。

SP需要先明确此次变更是以上三层的哪一层要做的变更。原则上需要由资源的内容提供商作为会员单位提出申请。因此在评估上线申请前CARSI管理员需要先了解资源的实际所属单位。

技术问题

1. 采用OAuth方式接入,如何获取到登录用户的所在机构信息?

        采用OAuth方式接入CARSI的SP资源,参见https://carsi.atlassian.net/wiki/spaces/CAW/pages/101122108  页面最下方部分。

2. 采用OAuth方式接入,如何获取IdP释放的属性?

        采用OAuth方式接入CARSI的SP资源,参见https://carsi.atlassian.net/wiki/spaces/CAW/pages/101122108  页面“第三步:获取资源”。

3. 如何与CARSI技术人员取得联系

        已经审核通过的SP会员,在开始调试时可联系CARSI北大团队 carsi@pku.edu.cn,告知您的微信号。每个厂商单独建群沟通具体技术问题。

4. 如何自行实现SAML协议的SP

        建议首选使用Shibboleth SP,也可以使用Spring Security。CARSI暂不提供搭建SAML SP的技术支持。符合SAML 2.0的SP理论上都可以接入CARSI。调试时请主动告知,我们会多留意兼容问题。