功能说明

单点登录（Single Sign On，SSO），是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后，即可获得访问单点登录系统中其他关联系统和应用软件的权限。

深信服SCP支持对接客户现有的CAS系统，在登录SCP时使用客户现有账户信息进行登录，分配角色后可以实现单点登录，减轻客户运维负担。

前提条件

1. 客户现有CAS认证系统运转正常，且CAS服务端与SCP平台之间通信正常。
2. 支持的CAS版本为：CAS_V2、CAS_V3。
3. 平台管理员不支持使用CAS进行单点登录，仅支持租户和租户子账户通过 CAS 登录。

注意事项

用户单点登录后，若与云平台已存在的用户冲突（登录用户名相同），则导入新的用户信息并覆盖已有的信息；反之，则自动注册用户并显示在[其他用户]列表，添加角色后可用。

操作步骤

1. 使用“admin”登录SCP的系统管理入口，进入[用户与访问管理/SSO设置]。
2. 基础设置

• SSO：勾选“启用”。

• 入口名称：可定义，例：CAS登录入口。

• 版本：和客户现有CAS版本一致。

• 登录地址：https://认证平台地址/cas/login?service=https://SCP平台地址/sso/cas/callback。

例如客户的CAS服务端地址为192.200.200.100，SCP平台地址为192.200.244.124，中间网络可达，则此处的登录地址填写为：https://192.200.200.100/cas/login?service=https://192.200.244.124/sso/cas/callback

• 票据验证地址：https://认证平台地址/cas/p3/serviceValidate?ticket={ticket}&service=https://SCP平台地址/sso/cas/callback

如上例：https://192.200.200.100/cas/p3/serviceValidate?ticket={ticket}&service=https://192.200.244.124/sso/cas/callback

3. 高级设置

• 登录用户名：从客户侧获取。

• 名称：从客户侧获取。

• 邮箱：从客户侧获取。

• 自动注册：可勾选“启用”，（启用自动注册，可将CAS服务器的用户名称中的大写字母换为小写字母，以创建与之关联的云管用户）。

4. 点击<保存修改>。
5. 通过https://SCP的IP，打开自助服务入口，进行登录。

6. 此时会提示“账号暂无访问权限，请联系管理员”。使用“admin”登录SCP平台，进入[运营中心/其他用户]，为导入的用户casuser添加“租户”的角色。
7. 此时再通过自助服务入口的“CAS登录入口”进行登录，输入用户名和密码，可以登录到租户界面。
8. 当客户CAS服务端有多个用户时，也可以进行手动导入批量导入用户。