1.接入标准
同济大学统一身份认证平台(以下简称“认证平台”)提供两种应用端认证接入方式。分别基于Saml2.0及OpenID+Oauth2.0两种协议。
1.1 基于SAML2.0的接入方式
SAML是一种XML格式的安全断言(标记)语言,目前SAML分为SAML1.1和SAML2.0 分类两个版本,两者在逻辑概念或者对象结构上大致相当,但不兼容。认证平台提供基于SAML2.0协议的接入方式。
SAML协议要求信息系统与认证平台完成对接,用户发起的登录请求将被信息系统通过SAML重定向至认证平台,认证平台将对信息系统发送的SAML请求进行验证并回复信息系统所需要的信息。对接过程中,信息系统证书与认证平台证书需完成互信,证书存在有效期,信息系统的证书有效期一般为自签发起1000天,认证平台的证书有效期为2自然年,任一证书过期后将无法使用统一身份认证,需及时更新。
校级应用系统或涉及财务的信息系统必须使用此种对接方式完成统一身份认证接入。
更多关于SAML2.0的信息可参考http://en.wikipedia.org/wiki/SAML_2.0
开发帮助:
同济大学统一身份认证系统建议使用OIO-SAML2认证框架进行开发
参考《同济大学统一身份认证Saml2开发接入手册》。
OpenID Connect是基于OAuth 2.0规范的可互操作的身份验证协议。它使用简单的REST/JSON消息流来实现,OAuth2通过认证平台向信息系统颁发令牌(Token)来实现身份授权,信息系统通过使用令牌向认证平台换取对应的信息。同济大学统一身份认证平台使用OpenID协议完成认证,使用Oauth协议完成授权及提供用户信息,统一使用REST接口。
使用OpenID+Oauth2.0完成对接,需信息系统提供一个回调地址作为认证方法的映射路径,认证平台将提供client_id、client_secret等字段标识给信息系统。采用该对接方式的信息系统不设固定有效期,但需进行认证年审,一年内未有认证请求的信息系统将关闭认证权限。
参照《同济大学统一身份认证OpenID+Oauth开发手册》。
2.验收标准
验收工作由信息系统建设部门与教育技术与计算中心共同组织验收,建设部门的信息员或系统管理员需先完成信息系统认证情况自查(具体自查清单如下表),如发现问题请要求系统提供商或者开发商整改,自查清单完全合格后由教育技术与计算中心确认后完成验收,否则不予验收。
序号
要求
描述
1
登录按钮(首页)
信息系统有独立的首页,并且有区分本地用户及统一身份认证用户的登录按钮;
信息系统无独立的首页。
2
认证完成
认证成功后需跳转回到信息系统页面;
3
检查登录情况
用户操作数据时需要有cookie认证状态校验,当用户在其他系统已登出统一身份认证平台,在本页面上也应处于登出状态,提示用户已登出并给出用户登录页面的链接。
4
用户登出
用户登出为统一身份认证平台及本地系统权限同时登出,清除相应cookie,并返回到用户登录页面。
5
认证代理
原则上不允许使用认证代理,如已使用,用户在代理下信息系统的登出操作也应同时完成本地及统一身份认证平台的登出动作。
6
异常处理
信息系统登录失败时,应区分是统一身份认证失败还是登录信息系统本身失败,给出明确的用户提示;当统一身份认证成功,而登录信息系统失败时,不应进行登出处理。
7
登出提示
用户登出后检查用户状态信息,如发现用户统一身份认证平台登出失败(仍然在线),提示用户 “登出失败,请您重新登出,或手工关闭浏览器所有页面”;如登出成功,跳转到信息系统首页或登录界面。