通过OAuth接入资源
学校通过OAuth接入SP资源,CARSI对学校待接入资源进行审核。上线后,CARSI列表中公布该资源,并标明为“学校自用”。
提交申请:
请参照内容模板资源产品介绍(学校自用版)准备服务介绍,邮件发送给carsi@pku.edu.cn。由CARSI评估该服务是否适合接入。
技术调试:
审批通过收到回复邮件后,请按照以下步骤进行技术调试。
1. 提交SP配置信息
登陆 CARSI会员自服务系统 ,用户名为申请时填写的单位域名,缺省密码为申请时填写的项目负责人手机号,首次登录请修改密码。
在“我的CARSI->SP管理(OAuth)”中,选择“添加SP”,按照提示完成添加。
请注意,根据实际需要勾选“SP需要的属性”,carsi-affiliation和carsi-persistent-uid。
2.应用系统对接CARSI OAuth网关,线上提交OAuth对接参数
应用系统以OAuth client方式对接CARSI OAuth网关(OAuth server)。SP添加好以后,点击进入该SP详情页,绑定OAuth Client信息,具体包括:
(1)Client_ID : 资源的英文缩写或拼音简称,长度不能超过20个字符。
(2)Client_Secret : OAuth Client访问口令,长度不超过30位,自行设置。CARSI SP+OAuth2认证接口 中的token接口使用。
(3)回调地址 :遵照OAuth协议,应用系统提供的服务地址。建议为 https。
(4)非对称密钥对中的公钥:签名算法为RSA2,密钥长度至少2048位,建议使用4096位。
关于非对称密钥对中的公钥:
公钥在 CARSI SP+OAuth2认证接口 中resource接口使用,其作用是将IdP返回的用户身份信息加密后返回给OAuth客户端。OAuth客户端使用自己的私钥解密该信息。可以参考以下命令生成一个4096位的非对称密钥对,将其中的rsa_pcks8_pem.public文件的全部内容(包括头尾2行)或将整个文件提供给CARSI。
openssl genrsa -out rsa_pem.key 4096 #生成PKCS #1 PEM格式的私钥,4096位
openssl pkcs8 -topk8 -inform PEM -in rsa_pem.key -outform PEM -out rsa_pcks8_pem.private -nocrypt #转换成PKCS #8 PEM格式的私钥(因为Java等程序是需要使用该格式的)
openssl rsa -in rsa_pcks8_pem.private -pubout -out rsa_pcks8_pem.public #生成对应的公钥 |
这是一个公钥文件样例(This is an example public key file):rsa_pcks8_pem.public。
3.在预上线环境进行认证测试
访问待测试SP应用的CARSI登录链接(CARSI SP+OAuth2认证接口 介绍的authorize接口),参考文档IdP4:访问CARSI资源门户 (通过浏览器)的步骤,使用联盟提供的测试IdP及其账号(发送邮件到carsi@pku.edu.cn获取),在预上线环境测试SP服务。可根据SP访问控制的需要,检查IdP用户属性是否正常。
4.SP服务页面添加CARSI logo
CARSI联盟建议在SP服务主页面或用户登录页面,以醒目方式(如放置logo)标明我单位为CARSI 身份联盟会员或提供独立的CARSI登录入口。参见 使用CARSI logo。
5.提交产品环境试运行申请
请参照模板(用户访问指南)准备文档。供校内师生使用的资源,如果学校已经有单独页面说明如何使用该资源,建议将该链接加入到用户访问指南文档。
准备好以后,请发送邮件给 carsi@pku.edu.cn,申请在CARSI产品环境上线试运行,并将上述文档作为附件提供。我们会根据您提供的文档在预上线环境验证登录流程,确认无误后执行上线试运行操作。
6.试运行期间需完成
收到上线试运行的邮件后,根据CARSI SP+OAuth2认证接口 头部的说明,切换SP OAuth 网关服务器的域名,从预上线域名改为线上域名。
试运行期间,OAuth Client信息被添加到产品环境,但服务还没有在CARSI网站SP成员列表公布。SP管理员可在此期间检查正式提供服务的准备工作是否完成,如切换资源页面、为学校开放权限、准备产品环境的用户访问流程文档等。
请在 CARSI会员自服务系统中添加(我的SP资源)用于在CARSI资源门户、CARSI的SP成员列表等页面展示该资源(产品)的实体,包括用户访问流程文档(docx格式,万一有小问题我们可以直接帮助您修改)。
审核SP资源信息,和北大CARSI团队老师一起完成SP上线复测。
CARSI管理员审核SP在系统提交的SP资源信息。
7.CARSI网站SP成员列表公布,正式提供服务
确认文档、测试全部无误后,给 carsi@pku.edu.cn发送邮件,完成上线。
版权所有©北京大学计算中心