配置CAS认证源
概述
CAS是一个基于HTTP2、HTTP3的协议,要求每个组件都可以通过特定的URL访问。通过CAS协议将OneAccess作为服务提供商,使第三方应用的用户账号数据可以访问OneAccess。支持CAS1.0、CAS2.0、CAS3.0三种协议。
CAS 协议涉及两个主体。两个主体通过用户浏览器进行信息交换。如 CAS Client可以返回带参数的重定向,将信息转发给CAS Server。登录验证成功后CAS Server会返回CAS Client一个包含用户信息的XML, CAS Client验证用户信息后会返回给用户访问资源。
- CAS Client:CAS客户端,资源提供方,如第三方应用。
- CAS Server:CAS服务端,身份认证提供方,如OneAccess认证服务。
为方便企业用户的认证登录,OneAccess平台支持配置CAS协议作为认证源,用户可以通过CAS协议认证登录各应用系统以及实现应用系统间单点登录效果,为企业用户带来更简易便捷的登录方式和更好的用户体验。
本文主要介绍OneAccess以CAS协议集成第三方认证源的方法。
前提条件
请确保您已拥有OneAccess管理门户的访问权限。
建立企业应用对OneAccess的信任关系
在企业应用中配置OneAccess的授权信息,以建立企业应用对OneAccess的信任。
- 获取OneAccess侧的认证信息。
- 登录OneAccess管理门户。
- 在导航栏中,选择“设置 > 服务配置”。
- 单击“CAS配置”。
- 在弹出的CAS页面,查看认证地址。
图1 查看CAS配置
表1 配置参数 参数
说明
Server Prefix
系统自动生成,不可编辑。CAS服务地址的前缀。
Login URL
系统自动生成,不可编辑。CAS服务的请求授权地址。
Validate URL V3
系统自动生成,不可编辑。验证票据,推荐使用V3的地址。
Logout URL
系统自动生成,不可编辑。CAS服务的登出地址。
ST有效期
请求授权返回票据的有效期,建议设置为3~15分钟。
- 获取OneAccess侧的服务地址,可参考表2。
- 在企业应用中配置上述信息。配置方法请参见应用提供商的帮助文档。
- 获取企业应用的授权信息。获取方法请参见应用提供商的帮助文档。
在OneAccess中添加CAS认证源
在OneAccess中添加CAS认证源,并配置应用的信息,确保用户可以通过CAS登录OneAccess用户门户。
- 登录OneAccess管理门户。
- 在导航栏中,选择“认证 > 认证源管理”。
- 选择“企业认证源 > CAS”。
图2 单击CAS
- 在CAS认证源页面,单击右上方“添加认证源”,配置参数。
表2 配置参数 参数
是否必选
说明
图标
否
支持png/jpg/gif 格式的图片,且图片大小不超过50K。建议尺寸32*32px。
显示名称
是
认证源的显示名称,支持自定义。如CAS认证。
登录地址
是
应用的登录地址。请以http或https开头,如https://xxx.xxx.xxx/login。
退出地址
是
应用的退出地址,请以http或https开头,如https://xxx.xxx.xxx/logout。
验证地址
是
应用的验证地址,不同的协议版本对应的验证地址不同,请以http或https开头。
CAS1.0对应的验证地址为:https://xxx.xxx.xxx/validate,具体可参考:验证票据(CAS1.0)。
CAS2.0对应的验证地址为:https://xxx.xxx.xxx/serviceValidate,具体可参考:验证票据(CAS2.0) 。
CAS3.0对应的验证地址为:https://xxx.xxx.xxx/p3/serviceValidate,具体可参考:验证票据(CAS3.0) 。
请求类型
是
http请求发起的方式,支持GET和POST方式。
服务地址
是
系统默认生成,不可编辑。配置企业应用时,可从该处获取。
CAS协议版本
是
应用侧支持的协议版本,其中,CAS1.0和CAS2.0协议不支持具体用户属性传值。
认证源属性
是
CAS Server认证成功后返回的用户属性名,需与应用系统的属性名一致。
关联用户属性
是
CAS认证源对接OneAccess的映射属性。如用户名,可在下拉框选择。
未关联用户时
是
当用户使用CAS认证源登录成功后,如未关联到系统用户时,可以根据该设置进行操作,如自动创建用户,可在下拉框选择。
如果您需要同时映射其他属性,如邮箱,可以设置“未关联用户时”为“自动创建用户”,通过单击“添加映射”完成。可参考表3。
