更新时间:2022-01-11
金智 CAS 账号认证用于 SSL 设备与金智 CAS 系统结合,金智 CAS 做第三方认证服务器。
[认证名称] 给 CAS 账号认证起一个名字
[描述] 描述 CAS 账号认证的的策略,可不填写
[认证超时] 认证超时时间,默认 15 秒[CASLoginURL] 金智 CAS 的登录地址[CASValidateURL] 金智 CAS 的认证地址[CaptchaURL]金智 CAS 的 Captcha 地址[Service] 金智 CAS 的服务地址
[响应配置]支持 JSON 和 XML 的格式,可以将响应解析的字段映射到本地变量中, 本地变量支持用户组、角色、描述、手机号等,也支持自定义变量。
响应数据预处理,对返回的数据进行处理,此处为高级模式,按需使用,使用方法可 以参考 HTTP(S)认证。
[认证成功条件]配置认证成功条件表达式,即只有当表达式成立时,才认为当次认证 请求通过。表达式中可以填写固定值或者模板变量。默认已经定义好,可以按需修改。
[启用 Cookie 代理下发]启用后,VPN 将会把认证过程中统一认证服务器返回结果中的 cookie,下发至 VPN 客户端。此功能能可以用来实现单点登录。
[子域名]VPN 代理下发 cookie 的域名,需要保证和 VPN 的域名为同根域。
用户认证成功后将按照配置的授权策略细分权限。
组映射
[是否启用组映射]只有当响应解析规则中配置了用户组,才能启用。 [添加]根据外部认证的字段映射到本地用户组。
[删除]删除选择的映射关系。
[编辑]编辑选择的映射关系数据。
[自动同名映射]启用后,将默认把统一认证服务器返回的用户组映射到 VPN 本地同名的用户组,此功能有以下约束:
若统一认证服务器返回的用户组,既满足手动添加规则又满足自动同名映射规则 时,默认采用手动添加规则。
若统一认证服务器返回的用户组无组路径(不带/ ),则 VPN 本地遍历用户组, 并默认取第一个找到的同名用户组。此场景需要保证用户组名在 VPN 本地是无同名的。
[如果未设置映射,将其自动映射到目标]默认目标是默认用户组,可以修改。如果非 VPN 本地用户登录成功且无组映射关系时,将被归属到设置的目标组,继承组的权限和策略。
角色映射
[是否启用角色映射]只有当响应解析规则中配置了角色,才能启用。[添加]配置统一认证服务器返回的角色和 VPN 本地角色的映射关系。[删除]删除选择的映射关系数据。
[编辑]编辑选择的映射关系数据。
[自动同名映射]启用后,将默认把统一认证服务器返回的角色映射给 VPN 本地同名角色。