文档首页/ iMasterCloud/ 用户指南/
更新时间:2025-11-28 GMT+08:00
查看PDF
分享
配置CAS SSO

配置CAS SSO

前提条件

  • 以安全管理员登录运维面
  • 本章节以当前系统的配置为例进行操作说明,其他系统上也需要配置,全部系统都配置完成后CAS SSO才能配置成功。

    例如:主备系统配置时,需要在主用系统和备用系统都配置完成。

  • 保证安全服务所在节点可以和对端系统网络连通。

背景信息

  • 用户在CAS SSO客户端配置服务端参数前,需保证已导入配套的信任证书,否则会导致用户登录运维面失败。
  • 已开启远端认证的系统不建议配置为CAS SSO客户端。
  • SSO配置成功后,客户端本地用户不能登录运维面,以下情况,服务端用户不能登录运维面
    • 服务端用户与系统中的三方系统接入用户或缺省用户同名(系统管理员除外)。
    • 服务端用户的用户名不符合系统中“用户名”的命名规则。

操作步骤

  • 若当前系统作为CAS SSO服务端,需要在“SSO服务端配置”页签中配置SSO客户端地址。
  1. 控制台主菜单中选择系统 > 系统管理 > 认证管理
  2. 在左侧导航树中选择“SSO配置 > CAS SSO配置”。
  3. 在“SSO服务端配置”页签中,单击“创建”。
  4. 配置与当前系统对接的SSO客户端的信任地址,该信任地址是CAS SSO客户端的IP地址或域名。

    当CAS SSO客户端为主备模式部署时,还需要配置备用系统的信任地址,可以提升系统间对接的稳定性。

  5. 单击“确定”。
  • 若当前系统作为CAS SSO客户端,需要在“SSO客户端配置”页签中配置SSO服务端地址。
  1. 配置CAS SSO客户端前,请先上传信任证书。

    1. 联系管理员获取CAS SSO服务端名称为trust.cer的ER证书,该trust.cer是CAS SSO服务端的信任证书。

      如果CAS SSO服务端是主备模式部署,且主备系统的信任证书不一样,需要分别获取服务端主备系统的信任证书。

    2. 在CAS SSO客户端上传信任证书。
      1. 在admin主菜单中选择系统 > 系统管理 > 证书管理
      2. 在左侧导航树中选择“服务证书管理”。
      3. 在“服务列表”页面,选择“UnisessionService”服务卡片。
      4. 在“信任证书”页签,导入信任证书。

  2. 控制台主菜单中选择系统 > 系统管理 > 认证管理
  3. 在左侧导航树中选择“SSO配置 > CAS SSO配置”。
  4. 在“SSO客户端配置”页签,单击“修改”,开启“状态”开关。
  5. 配置认证地址和校验地址信息,该地址是CAS SSO服务端的IP地址或域名。

    • 当CAS SSO服务端不区分认证服务器和校验服务器的时候,认证地址和校验地址一样。
    • 当CAS SSO服务端区分认证服务器和校验服务器的时候,认证地址和校验地址不一样。
    • 当CAS SSO服务端为主备模式部署时,还需要配置备用认证地址和备用校验地址,可以提升系统的稳定性。

  6. 单击“确定”。
  • 所有系统都配置完成后,可以验证CAS SSO配置是否成功,具体方法如下:
  1. 在浏览器的地址栏输入客户端1的IP地址或域名,按“Enter”。

    浏览器地址栏中的地址会自动转换为CAS SSO服务端地址。

  2. 输入用户名和密码后,认证通过,成功登录客户端1。

    当服务端用户登录客户端时,如果服务端用户与客户端的本地用户同名,该同名用户的用户类型会修改为远端用户,会导致客户端同名用户无法登录系统,建议服务端用户不要与客户端的本地用户同名。

  3. 在客户端1会话有效时,在同一浏览器的另一个页签地址栏输入客户端2的IP地址或域名,按“Enter”,自动成功登录客户端2。

相关任务

  • 查看CAS SSO客户端配置:当“状态”启用时,表示客户端配置生效,当“状态”未启用时,表示客户端配置不生效即客户端配置关闭。
  • 删除CAS SSO配置。
  1. 在CAS SSO客户端系统,关闭客户端配置。

    1. 控制台主菜单中选择系统 > 系统管理 > 认证管理
    2. 在左侧导航树中选择“SSO配置 > CAS SSO配置”。
    3. 在“SSO客户端配置”页签,单击“修改”,关闭“状态”开关。
    4. 单击“确定”。

      如果客户端的本地用户因为与服务端用户同名,导致用户类型被修改,关闭SSO配置之后,已修改的用户类型无法恢复,这些用户将无法登录客户端,建议为这些用户创建新的账号。

  2. 在CAS SSO服务端系统,关闭服务端配置。

    1. 控制台主菜单中选择系统 > 系统管理 > 认证管理
    2. 在左侧导航树中选择“SSO配置 > CAS SSO配置”。
    3. 在“SSO服务端配置”页签,单击目标信任地址“操作”列的“删除”,或选择多个需删除的信任地址后,单击右上角的“删除”。

  • 如果CAS SSO客户端与服务端支持的TLS协议版本或加密算法不匹配,需要增加或删除CAS SSO客户端的TLS协议版本或加密算法,确保CAS SSO对接成功。

    为了保证系统的通信安全,建议使用支持安全加密算法的CAS SSO服务端并使用安全的协议进行数据传输。

    具体操作如下:

  1. 控制台主菜单中选择系统 > 安全配置核查 > 应用安全
  2. 在“配置检查”页面,单击“SSO配置-CAS SSO配置”检查项名称。
  3. 在详情界面,根据需要修改“配置项”。
  4. 单击“保存”。

相关文档