更新时间:2023-06-15
CAS票据认证 ,全称中央认证服务器。为Web应用系统提供一种可靠的SSO解决方案,在SSO单点登录中用到CAS认证。aTrust支持与标准CAS认证服务器的对接,可配合辅助认证和用户性质创建不同的认证策略,实现用户灵活认证。
(一)CAS对接实现目标
aTrust设备能够基于CAS协议,对接第三方认证服务器。可实现CAS认证服务器上的用户经aTrust设备后跳转至CAS认证服务器做认证,aTrust获取CAS返回的认证信息使得用户在aTrust平台上线。若CAS平台本身已实现单点登录,则对接aTrust后,也可以实现单点登录。
(二)CAS票据认证流程如下:
aTrust对接CAS服务器后,相关地址如下:
- aTrust客户端接入地址:https://sdpc.company.com
- CAS登录地址:https://sso.company.com/cas/login
- CAS注销地址:https://sso.company.com/cas/logout
- 认证接口地址:https://10.243.3.65/cas/p3/serviceValidate
简化认证流程图如下:
明细认证流程图如下:
(三)适用场景和功能效果
当客户的SSO/统一认证门户平台支持CAS协议,aTrut可作为SSO的一个子应用,进行认证对接,实现如下效果。
认证对接,对接后用户将统一在SSO上认证,认证通过即可上线aTrust平台,避免重复输入密码。在外网接入场景下,在aTrust对接Oauth服务器,有两种实现方式,具体如下。
场景一、 CAS认证平台本身就暴露在外网,则aTrust平台可根据提供的接口文档信息和CAS服务器地址直接进行对接。
场景二、 CAS认证平台存在于内网,或暴露在外网但想改造为不直接暴露在公网,可通过配置免认证应用实现。该方式需将代理网关的一个端口做公网映射,允许用户在外网访问。
在上述两种方案中,建议配合安全策略和SPA(单包授权)进行安全防护。
认证增强, 通过配置认证策略,实现为CAS认证的用户进行二次认证增强。