SSO认证
什么是SSO认证
单点登录(Single-Sign-On,SSO),即用户的一次性鉴别登录。当用户在身份认证中心登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个拥有着不同的认证与授权模式应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统,不再需要记忆多个不同的用户名与密码。
应用场景
在一个单位中,需要使用多个功能不同的系统应用,比如企业会有专门的财务系统,销售的CRM系统,人事的OA、邮箱系统,如果每个系统都用独立的账号认证体系,会给员工带来很大困扰,同时不方便管理,所以需要设计一种统一登录的解决方案。
单点登录协议
本系统提供两种类型的单点登录协议,使用时需具备两套本系统,一套作为Client端,一套作为Server端。
1. CAS
CAS全称为Central Authentication Service,即中央认证服务,是为应用提供可信身份认证的单点登录系统,CAS本身没有授权,也没有权限控制功能。
CAS包含两部分:
CAS Server:CAS Server负责完成对用户的认证工作,需要独立部署,CAS Server会处理用户用户名/密码等凭证。
CAS Client:负责处理用户对客户端的访问请求,当需要对请求方(即用户)进行身份认证时,会重定向到CAS Server进行认证。
2. OPENID
需配合QAuth 2.0使用,是一种认证与授权标准,称为OpenID Connect(OIDC)。
OpenID是Authentication,即认证,对用户的身份进行认证,判断其身份是否有效,也就是让网站知道“你是你所声称的那个用户”。用户要使用OpenID就必须在OpenID身份服务器上注册OpenID账号。
OAuth是Authorization,即授权,在已知用户身份合法的情况下,经用户授权来允许某些操作,也就是让网站知道“你能被允许做那些事情”。
OPENID包含三部分:
OPENID Server:OPENID Server负责完成对用户的认证工作,需要独立部署,OPENID Server会处理用户的用户名/密码等凭证。
OAuth2.0:在OPENID Server的OAuth2.0协议中对接OPENID Client信息,OAuth2.0将自动为Client生成client id和client secret。
OPENID Client:负责处理用户对客户端的访问请求,当需要对请求方(即用户)进行身份认证授权时,会重定向到OPENID Server结合client id和client secret进行认证授权。
新建SSO认证
|
|
· 选择系统是否开启SSO对接认证,若选择开启则表示系统开启单点登录模式,此时密码策略、登录认证策略、会话控制、用户修改等相关的配置和访问将不再生效;若选择关闭则表示系统不开启单点登录模式,系统模块所有功能均生效。 · 如果配置错误导致登录页面打不开,可以访问逃生登录路径,进入登录页面后重新配置。逃生登录路径为https://10.125.38.178/platform/#/login/ssoSkip,10.125.38.178需替换为Client端的IP或域名。 |
若规划开启SSO对接认证,系统支持2种SSO对接认证协议,任选其一即可。
CAS
在系统的左侧导航树选择[系统配置/安全设置/SSO认证],进入SSO认证配置页面。
开启SSO认证开关,认证协议选择“CAS”。
在“endpoint”输入框中添加CAS Server的地址。
单击<确定>按钮,完成操作。
OPENID
在系统的左侧导航树选择 [系统配置/安全设置/SSO认证],进入SSO认证配置页面。
开启SSO认证开关,认证协议选择“OPENID”。
填写client id和client secret,并在“discoveryURL”输入框中添加OPENID Server端的地址,地址需遵循以下配置路径,http://10.125.38.157:16660/.well-known/openid-configuration 10.125.38.157需替换为OPENID Server端的IP或域名。
管理维护
修改SSO认证
在系统的左侧导航树选择[系统配置/安全设置/SSO认证],进入SSO认证配置页面。
编辑SSO认证的信息。
单击<确定>按钮,完成操作。
关闭SSO认证
当您不再需要使用该SSO认证时,可执行本操作将其关闭。
在系统的左侧导航树选择[系统配置/安全设置/SSO认证],进入SSO认证配置页面。