更新时间:2025-11-28 GMT+08:00
SSO配置
当两个或两个以上系统之间需要实现单点登录功能时,配置SSO。运维面支持的SSO类型有CAS SSO和SAML SSO,具体介绍如表1。
|
SSO类型 |
认证协议 |
说明 |
|---|---|---|
|
CAS SSO |
基于CAS(Central Authentication Service,中心认证服务)协议实现SSO登录,由服务端和客户端组成,服务端为客户端服务,以实现统一认证服务。 |
当用户需要在多个系统之间,基于CAS协议配置服务端和客户端时,可以通过配置CAS SSO,实现由SSO服务端进行用户鉴权的同时自由访问客户端的功能。 |
|
SAML SSO |
基于SAML 2.0(Security Assertion Markup Language 2.0,安全断言标记语言)协议实现SSO登录,由身份提供商(Identity Provider ,简称IdP)和服务提供商(Service Provider,简称SP)组成,以实现在不同的安全域之间交换认证和授权数据。 |
当用户需要在多个系统之间配置SAML SSO时,运维面支持配置为身份提供商或者服务提供商,和对端系统通信仅支持“post binding”和“redirect binding”两种请求方式。 |
- 当前系统如果同时配置CAS SSO和SAML SSO时,不支持同时作为CAS SSO客户端和SAML SSO服务提供商。
- SSO认证的安全机制依赖服务端或服务提供商,服务端或服务提供商需要开启相关的安全机制,如防暴力破解、密码复杂度校验或防DOS攻击等。
- 若未开启防暴力破解机制,账户密码可能会通过大量猜测和穷举等方式被暴力破解,导致账户信息泄露。
- 若未开启密码复杂度校验机制,设置账户密码时没有限制,如果账户密码复杂度过低很容易被破解,导致账户信息泄露。
- 若未开启防DOS攻击机制,如果系统被非常规手段发起的请求重复高频攻击,导致系统内部资源耗尽,无法提供正常服务。
父主题: 认证管理
