CARSI:破解访问全球数据库痛点

自2020年春季以来,由北京大学发起的CARSI(CERNET联邦认证和资源共享基础设施,由CERNET网络中心发起和管理,北京大学计算中心提供技术支持)服务落实各高校在疫情防控期间“停课不停教、停课不停学”的工作要求,满足高校师生在校外访问学术数据库资源的迫切需求,有效解决了高校师生新冠疫情防控期间居家工作学习的痛点问题,同时也迎来了自身的发展机遇。

01

加入全球身份联盟

为服务商接入CARSI提供技术基础

2019年5月,CARSI成功加入全球身份联盟eduGAIN,为国外资源提供商在疫情防控期间快速面向中国高校师生提供服务奠定了技术基础,并有效支撑了国外资源的快速部署和国内资源的快速推进。

🔵 一是调试投入多,上线速度快。加入全球身份联盟后,调试上线的高校身份认证服务(IdP)被实时同步给eduGAIN。如此大的用户规模和潜在访问量,吸引了诸多主流国外图书馆电子资源服务提供商短期内申请加入CARSI。

🔵 二是接入便捷,简单调试即可上线。CARSI给出了针对已经通过国际上其他联盟接入eduGAIN的资源提供商便捷接入方案,并在技术上完全兼容eduGAIN,即已加入eduGAIN的资源仅需简单调整即可接入CARSI。疫情防控期间,该部分SP最快可以在半天之内完成上线。

🔵 三是会员推荐优质资源供应商。CARSI联盟已上线的会员高校也会推荐一些优质的资源提供商加入。如高校图书馆已经采购的国内外优质资源、少量非图书馆应用等。

02

新系统新模式

为学校接入CARSI提供管理和运行基础

加入eduGAIN之后的2019年10月,CARSI完成了系统升级和服务升级,将此前十余年积累的建设成果迁移到新系统,并采用新的模式加以管理,CARSI服务也从试验运行阶段正式进入产品阶段。

新流程下,学校和服务提供商加入CARSI联盟以自服务为主,便捷、易用。邮件结合社交媒体的沟通方式,有助于快速解决服务部署问题。

🔵 管理方面,CARSI规范了会员单位加入、技术调试,以及上线、上线后的运维等各个环节,在线自服务系统涵盖了会员自助注册、会员端管理等功能。

以学校端IdP的上线流程为例,明确要求IdP上线前在测试环境中经过调通登录流程、确认用户属性的释放、完成日志上报三个步骤。

起初,会有学校管理员对此产生质疑,但随着上线后的使用和运维,学校管理员很快理解严格是为了确保学校端IdP仅配置一次就能适应所有SP,且可以在上线后通过学校端管理系统了解和监测本校CARSI服务的运行情况。

🔵 服务方面,沟通和技术支持工作以线上“邮件+社交媒体”,辅以一对一技术支持来完成。

北大CARSI团队安排专人随时解答5个微信群和2个QQ群中的技术及流程问题,专人负责回复carsi@pku.edu.cn邮箱的问题,并在第一时间完成会员资格审批、学校端组件上线审批、学校及资源端的一些特殊调整或配置等工作,避免积压。通力合作下,技术基础好的学校可在半天内接入CARSI,单日最多上线近20个学校。

🔵 审批方面,疫情防控期间,针对高校和资源提供商两方会员均不便于寄送盖章后的纸质申请表,CARSI及时调整管理策略,允许会员先行审批并上线,待疫情结束后补寄材料,降低了流程门槛。

03

力争提供优化技术方案

有针对性地解决各类痛点问题

在技术上,CARSI一方面为学校和提供商两方提供了逻辑简单、多次验证的部署方案,另一方面提供了一套包含所有服务组件的预上线测试环境,为简化技术调试、隔离调试bug,提供了最大程度的支持。

主流方案对比

1.推出简化安装包,支持快速部署。

跨校身份验证主要依靠SAML协议,该协议可以由Shibboleth、Spring Security、商业方案、自定义方案等多种方式来实现。CARSI以Internet2 Shibboleth中间件为技术基础,为受保护的在线资源提供认证服务。

研究发现,IdP端的部署大致需要服务器环境的准备、基础服务(如NTP)的安装配置、网络服务的安装配置(如Apache、Tomcat)、IdP组件的安装配置、对接本地认证系统、属性释放配置、与CARSI联盟对接配置、统计数据上报、界面定制化的配置等。

此外,还需考虑安全防护、备份恢复、定期升级等非功能性的需求。上述工作配置流程较长,且部分配置较为复杂。

因此,北京大学CARSI团队推出了简化配置版Linux虚拟机镜像文件,学校管理员只需基于此镜像完成对接本地认证系统、属性释放、页面展现等本地定制化工作即可,大大降低了调试难度。

另外,对于希望详细了解部署细节的学校,提供了另一套安装包和配套文档,便于不愿使用快速安装包的用户进行纯手工、透明化的配置,可以了解完整的配置细节。

2.提高CARSI服务安全防御能力,快速解决已知安全隐患。

由于CARSI学校端组件需要负责用户认证功能,因此学校通常对其安全要求较高,多数高校会考虑进行等保测评。对于所有提供的虚拟机镜像、基于文档搭建的环境等可交付的资产,CARSI在推出前均进行了漏洞扫描、渗透测试等安全检测。服务运行期间,随时根据公布的已知安全问题,提出解决建议,通知给管理员。

3.完整的预上线测试环境,为成员单位技术调试提供便利。

完整的登录流程由服务资源端发起,在整个过程中用户的浏览器会涉及到服务资源端、目录服务端(CARSI联盟维护)、学校身份认证端的跳转,让某一方的管理员配置所有相关组件很不便,CARSI的预上线测试环境应运而生。

两方管理员均可将自己正在部署的组件加入到这套环境中,进行上线前的测试和验证,该套环境在运作机制上与正式的线上环境保持一致,仅在数据上做了隔离。在技术调试完成后,只需由CARSI联盟管理员做一次上线操作即可,这种方式在大大降低了错误率的同时,提高了调试的效率。

4.项目运行过程中不断吸取反馈,推出新功能

疑似违规账号通知就是聆听了部分高校管理员在运维过程中的痛点后,有针对性地开发能够解决各成员学校实际运维问题的功能。

此外,CARSI还先后支持了CAS(Central Authentication Service,中央认证服务,一种独立开放指令协议)和OAuth(Open Authorization,为用户资源的授权提供了一个安全的、开放而又简易的标准)等更广泛的统一认证系统、学校端IdP服务异常检测、无教育网域名或邮箱的各级院校加入、各类统计、改进各种流程等功能的迭代。这些新功能的不断迭代,初衷都是为了实现成员单位更便捷地接入,以及在实际运维过程中更好地为广大师生提供服务。

04

通力合作共同推进CARSI推广部署

疫情防控期间,在人力有限的情况下,北京大学CARSI团队将主要精力投入到了系统完善、新功能开发、流程管理,以及对会员单位的技术支持上;为各地高校提供直接支持的工作主要由赛尔网络有限公司各分公司分担。

在资源提供商的接入方面,赛尔公司市场部积极与国内外的资源提供商协调,帮助各企业了解CARSI的接入流程,对CARSI的推广起到了非常大的作用。

2020年以来CARSI已上线学校数量迅速增长

截至2020年8月,CARSI正式上线高校达434所,惠及区域覆盖31个省、自治区、直辖市、特区,已汇聚了38个服务提供商,涉及百余个资源产品,其中多家中外知名数据库服务提供商,涵盖超29万种期刊,5万余种视频、有声书等多媒体资源,300余万册电子书及教材,1300多万篇学位论文,超3亿项专利及超10亿条数据资源。

疫情防控期间 CARSI 使用量统计

CARSI服务使用量的高峰发生在5、6两月,月总认证次数均超过1000万人次,为高校师生随时随地访问需授权的互联网应用提供了有力支撑。

CARSI服务范围逐步扩大,资源种类日益丰富,缘自广大高校用户对CARSI的关注与认可,以及资源提供方对CARSI的信任与支持。

CARSI将继续提供优秀服务,不断拓展资源种类和覆盖范围,为高校师生足不出户、随时随地享受丰富的数据库资源,进行在线教学科研工作提供便利。

作者:王博、赖清楠、陈萍、张扬(北京大学计算机中心)

(0)

相关推荐