更新时间:2023-12-07
功能说明
单点登录(Single Sign On,SSO),是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限。
深信服SCP支持对接客户现有的CAS系统,在登录SCP时使用客户现有账户信息进行登录,分配角色后可以实现单点登录,减轻客户运维负担。
前提条件
- 客户现有CAS认证系统运转正常,且CAS服务端与SCP平台之间通信正常。
- 支持的CAS版本为:CAS_V2、CAS_V3。
- 平台管理员不支持使用CAS进行单点登录,仅支持租户和租户子账户通过 CAS 登录。
注意事项
用户单点登录后,若与云平台已存在的用户冲突(登录用户名相同),则导入新的用户信息并覆盖已有的信息;反之,则自动注册用户并显示在[其他用户]列表,添加角色后可用。
操作步骤
- 使用“admin”登录SCP的系统管理入口,进入[用户与访问管理/SSO设置]。
- 基础设置
• SSO:勾选“启用”。
• 入口名称:可定义,例:CAS登录入口。
• 版本:和客户现有CAS版本一致。
• 登录地址:https://认证平台地址/cas/login?service=https://SCP平台地址/sso/cas/callback。
例如客户的CAS服务端地址为192.200.200.100,SCP平台地址为192.200.244.124,中间网络可达,则此处的登录地址填写为:https://192.200.200.100/cas/login?service=https://192.200.244.124/sso/cas/callback
• 票据验证地址:https://认证平台地址/cas/p3/serviceValidate?ticket={ticket}&service=https://SCP平台地址/sso/cas/callback
如上例:https://192.200.200.100/cas/p3/serviceValidate?ticket={ticket}&service=https://192.200.244.124/sso/cas/callback
- 高级设置
• 登录用户名:从客户侧获取。
• 名称:从客户侧获取。
• 邮箱:从客户侧获取。
• 自动注册:可勾选“启用”,(启用自动注册,可将CAS服务器的用户名称中的大写字母换为小写字母,以创建与之关联的云管用户)。
- 点击<保存修改>。
- 通过https://SCP的IP,打开自助服务入口,进行登录。
- 此时会提示“账号暂无访问权限,请联系管理员”。使用“admin”登录SCP平台,进入[运营中心/其他用户],为导入的用户casuser添加“租户”的角色。
- 此时再通过自助服务入口的“CAS登录入口”进行登录,输入用户名和密码,可以登录到租户界面。
- 当客户CAS服务端有多个用户时,也可以进行手动导入批量导入用户。