零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.2.16
{{sendMatomoQuery("零信任访问控制系统aTrust","CAS票据认证")}}

CAS票据认证

更新时间:2023-06-15

CAS票据认证 ,全称中央认证服务器。为Web应用系统提供一种可靠的SSO解决方案,在SSO单点登录中用到CAS认证。aTrust支持与标准CAS认证服务器的对接,可配合辅助认证和用户性质创建不同的认证策略,实现用户灵活认证。

(一)CAS对接实现目标

aTrust设备能够基于CAS协议,对接第三方认证服务器。可实现CAS认证服务器上的用户经aTrust设备后跳转至CAS认证服务器做认证,aTrust获取CAS返回的认证信息使得用户在aTrust平台上线。若CAS平台本身已实现单点登录,则对接aTrust后,也可以实现单点登录。

(二)CAS票据认证流程如下:

aTrust对接CAS服务器后,相关地址如下:

  1. aTrust客户端接入地址:https://sdpc.company.com
  1. CAS登录地址:https://sso.company.com/cas/login
  2. CAS注销地址:https://sso.company.com/cas/logout
  3. 认证接口地址:https://10.243.3.65/cas/p3/serviceValidate

简化认证流程图如下:

明细认证流程图如下:

(三)适用场景和功能效果

当客户的SSO/统一认证门户平台支持CAS协议,aTrut可作为SSO的一个子应用,进行认证对接,实现如下效果。

认证对接,对接后用户将统一在SSO上认证,认证通过即可上线aTrust平台,避免重复输入密码。在外网接入场景下,在aTrust对接Oauth服务器,有两种实现方式,具体如下。

场景一、 CAS认证平台本身就暴露在外网,则aTrust平台可根据提供的接口文档信息和CAS服务器地址直接进行对接。

场景二、 CAS认证平台存在于内网,或暴露在外网但想改造为不直接暴露在公网,可通过配置免认证应用实现。该方式需将代理网关的一个端口做公网映射,允许用户在外网访问。

在上述两种方案中,建议配合安全策略和SPA(单包授权)进行安全防护。

认证增强, 通过配置认证策略,实现为CAS认证的用户进行二次认证增强。