中国高校身份联盟CARSI
中国高校身份联盟CARSI(http://www.carsi.edu.cn)是由北京大学发起的一项跨域认证授权服务,全称为中国教育和科研网统一认证和资源共享基础设施(CARSI, CERNET Authentication and Resource Sharing Infrastructure),服务对象为国内的高校和科研院所。CARSI是在国内高校已经普遍建设完成的校园网统一用户管理和身份认证系统基础上,建设的一套用户身份和应用系统资源共享机制,将师生的校园网身份应用于访问国内外其他高校提供的资源或者互联网资源。
CARSI以美国Internet2 Shibboleth中间件为技术基础,国内高校校园网身份认证系统以Shibboleth IdP的形式接入,为本校用户访问联盟资源提供身份认证和属性发放服务。应用系统以Shibboleth SP的形式接入,支持来自联各个高校用户的访问,可根据用户类型确定访问权限。由于符合国际标准,技术上讲,在其他国家已经成功部署的Shibboleth应用资源,可以很方便地接入CARSI。目前,CARSI主要支持图书馆电子资源访问和国内外教学科研应用,包括Thompson Reuters、EBSCO、NATURE、RSC、Elsevier、iGroup/IEEE、Karger公司的二十多项服务,MOOC平台Coursera以及北大-欧洲科研合作项目等。
关于CARSI高校IdP成员的详细情况,参见https://ds.carsi.edu.cn。
2017年8月,CARSI向跨国身份联盟组织eduGAIN提交了加盟申请,目前,处在材料审核阶段。调试完成后,和其他国家教育科研网共享应用资源的流程将得到简化。
Shibboleth/SAML
Shibboleth可应用于机构内部或机构之间两种应用场景,连接用户和应用系统,是国际上联合身份解决方案中应用最广泛的方案之一,被国际上国家级教育科研网NREN(National Research and Education Network)普遍采用,服务于教育科研的主要应用系统都支持它。该机制为国家间的资源共享提供了便利。
Shibboleth是一个免费开源项目,在保护用户隐私的前提下,在个人用户访问受保护的在线资源时,允许站点接收认证结果并进行授权。
Shibboleh软件是基于web的单点登录系统,由IdP(Identity Provider)、SP(Service Provider)、DS(directory service)三个部分组成。IdP负责用户认证并向SP提供用户信息,部署在用户身份所属机构,维护用户账号。SP负责保护线上资源,使用IdP提供的用户信息,部署在资源所属机构。目录服务DS帮助SP发现IdP,部署在web可达的任何地点,不是所有的应用场景都需要它。
下图展示了使用浏览器的用户、部署于身份所属机构的IdP和部署于资源所属机构的SP之间的交互关系。
1. SP检测到用户试图访问资源中限制访问的内容;
2. SP生成认证请求,把请求发送给用户IdP;
3. IdP认证用户,把认证结果返回给SP;
4. SP验证 IdP应答,将用户最初请求的内容返回给用户。
国际相关发展
国际上,66个国家和地区的国家级教育科研网(NREN,National Research and Education Network)建设了国家级身份联盟,如,美国的InCommon、英国的UK Federation、澳大利亚的AAF、日本的GakuNin、中国的CARSI等。
REFEDS(研究和教育联盟团队,http://www.refeds.org)是国家级身份联盟的主要沟通渠道之一。它的使命是了解全球研究和教育身份联盟之间的需求并促进沟通。团队代表研究和教育领域不断增长的访问和身份管理需求,以联盟成员的身份和其他机构一起工作并影响他们的发展方向。
REFEDS目前有52个正式成员、14个候补成员、9个投票成员。他们来自多种背景,就发展访问和身份管理技术、政策和过程,分享共同的兴趣。有些成员代表国家级身份联盟,有些来自国家科研教育网络。
REFEDS由欧盟联合学术网GÉANT管理,设置工作组秘书处。REFEDS每年两次会议,通过REFEDS wiki、邮件列表和工作组开展工作。
国际相关项目——eduGAIN(https://edugain.org)
与REFEDS关注在身份管理和身份联盟技术和实践的沟通和交流不同,eduGAIN在技术上为国家身份联盟、他们的用户和服务之间提供了高效、灵活的互通方式。作为一项全球服务,目前有55个身份联盟、超过2,600身份提供者和1,800服务提供者已经或正在加入eduGAIN。
当今,教育科研相关线上服务越来越重要。学生、教师、科研人员依赖web服务进行合作,主要涵盖远程学习、教学、会议、数据分析和共享、访问电子期刊和图书馆资源等等方面。eduGAIN为用户提供了一种只使用一套身份就可以访问各个国家应用系统的方式。身份提供方是可被信任的用户所属机构。通过eduGAIN,用户不仅可以使用该身份访问本国身份联盟的服务,也可以访问其他国家教育科研联盟的服务。甚至,可以使用单点登录,在一个浏览器中访问多个国家的资源。
教育科研身份联盟通常由国家级教育科研网络部署,可以采用不同的体系架构、系统和政策。eduGAIN支持国家级身份联盟互通。用户、服务、机构可以从eduGAIN获益,易用、安全地访问服务,加入eduGAIN的各个国家的身份联盟允许他们重用已经部署的系统,简化了跨越国家边界使用服务的协议签署流程。
中国身份联盟
在中国,有一些人员在研究Shibboleth机制,并将它应用到不同的场景。从项目部署上看,持续运行并影响力较大的除了教育网CARSI项目之外,有科技网身份联盟CSTCloud、上海教育网统一身份认证系统和基于SAML的高等教育文献保障系统CALIS统一身份认证。
• 科技网中国科技云(CSTCloud)联盟(http://www.cstcloud.net)
中国科技云联盟在中科院的领导下由中国科技网管理的非盈利计算机网络。中国科技云通行证是基于中国科技云的统一账号系统,可以用于登录各类科研应用服务,包括:科研在线、团队文档库、会议服务平台、科研主页、中科院邮件系统、文献情报聚合平台等,以及今后将逐步扩展的更多应用服务。
• 上海教育认证中心(https://eac.cloud.sh.edu.cn)
上海教育认证中心是上海市教育信息化建设中“一网三中心两平台”的三大中心之一。在各区县、各学校乃至各学段均可拥用各自符合身份标准信息集的统一身份认证管理域的前提下,EAC将通过上海教育认证中心建设,实现多协议支持的跨校联盟。一方面实现身份终身化和成长跟踪,识别学生成长过程,并成为数据分析的重要依据;另一方面实现与互联网主流标准的兼容,成为互联网领域重要的身份来源,服务于教育系统内外的应用。典型应用案例有上海市教育无线通、跨校辅修、“慧源”——上海地区高校优质资源共建共享平台、东航校园行。
• 高等教育文献保障系统CALIS统一认证(http://www.calis.edu.cn)
CALIS是CERNET建设初期确定的中国高等教育三大公共服务体系之一,是中国大学图书馆联盟,国家中心挂靠在北京大学图书馆。建设目标是:以国内外各类信息服务机构、教学科研机构以及各类信息网站丰富的信息资源和应用服务为基础,以先进的技术为手段,构建整合全球学术资源及其服务的中国高等教育数字图书馆,持续服务于我国的高等教育,乃至全民教育,促进全球学术交流。
其中的统一认证采用SAAS服务的形式为高校图书馆提供校园内身份认证服务和CALIS联盟图书馆业务相关的共享资源和其他高校资源的共享。目前,有1300+高校成员。出于一些技术上的考虑,目前,CALIS联盟用户通过CARSI访问Shibboleth电子资源。
(文:陈萍)
(发布时间:2018-08-21)
