SSO认证

$说明: D:\02-素材\png图标素材\零售图标套装系列\Iconbase图标系列\TupperWare\baloom.png$

仅通过系统管理员用户登录系统时，在[系统/系统配置/安全配置]菜单下可以查看SSO认证。

单点登录(Single-Sign-On，SSO)，即用户的一次性鉴别登录。当用户在身份认证中心登录一次以后，即可获得访问单点登录系统中其他关联系统和应用软件的权限，同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的，这意味着在多个拥有着不同的认证与授权模式应用系统中，用户只需一次登录就可以访问所有相互信任的应用系统，不再需要记忆多个不同的用户名与密码。

单点登录的应用场景为：在一个单位中，需要使用多个功能不同的系统应用，比如企业会有专门的财务系统，销售的CRM系统，人事的OA、邮箱系统，如果每个系统都用独立的账号认证体系，会给员工带来很大困扰，同时不方便管理，所以需要设计一种统一登录的解决方案。

单点登录协议

本系统提供两种类型的单点登录协议，使用时需具备两套本系统，一套作为Client端，一套作为Server端。

1. CAS

CAS（Central Authentication Service，中央认证服务），是为应用提供可信身份认证的单点登录系统，CAS本身没有授权，也没有权限控制功能。

CAS包含两部分：

CAS Server：CAS Server负责完成对用户的认证工作，需要独立部署，CAS Server会处理用户用户名/密码等凭证。

CAS Client：负责处理用户对客户端的访问请求，当需要对请求方（即用户）进行身份认证时，会重定向到CAS Server进行认证。

2. OPENID

需配合QAuth 2.0使用，是一种认证与授权标准，称为OpenID Connect（OIDC）。

OpenID是Authentication，即认证，对用户的身份进行认证，判断其身份是否有效，也就是让网站知道“你是你所声称的那个用户”。用户要使用OpenID就必须在OpenID身份服务器上注册OpenID账号。

OAuth是Authorization，即授权，在已知用户身份合法的情况下，经用户授权来允许某些操作，也就是让网站知道“你能被允许做那些事情”。

OPENID包含三部分：

OPENID Server：OPENID Server负责完成对用户的认证工作，需要独立部署，OPENID Server会处理用户的用户名/密码等凭证。

OAuth2.0：在OPENID Server的OAuth2.0。

协议中对接OPENID Client信息，OAuth2.0将自动为Client生成client id和client secret。

OPENID Client：负责处理用户对客户端的访问请求，当需要对请求方（即用户）进行身份认证授权时，会重定向到OPENID Server结合client id和client secret进行认证授权。

开启SSO认证

$说明: D:\02-素材\png图标素材\零售图标套装系列\Iconbase图标系列\TupperWare\baloom.png$

· 开启SSO认证时，若配置错误，则可能导致页面无法登录、用户无法同步，请谨慎操作。

· 选择系统是否开启SSO对接认证，若选择开启则表示系统开启单点登录模式，此时密码策略、登录认证策略、用户管理（修改授权除外）等相关配置不再生效；若选择关闭则表示系统不开启单点登录模式，系统模块所有功能均生效。

· 如果配置错误导致登录页面打不开，可以访问逃生登录路径，进入登录页面后重新配置。逃生登录路径为https://10.125.38.178/platform/#/login/ssoSkip，10.125.38.178需替换为Client端的IP或域名。

在系统的左侧导航树选择[系统配置/安全设置/SSO认证]，进入SSO认证配置页面。

单击页面左上角<配置>按钮，可将SSO对接认证按钮配置为“开启”，认证协议支持选择“CAS”和“OPENID”。

认证协议选择“CAS”时，根据提示配置对应参数项的值，如下：

endpoint：配置CAS Server的地址。

认证协议选择“OPENID”时，根据提示配置对应参数项的值，如下：

client id：本系统作为OPENID Client，在OPENID Server的OAuth2.0协议中配置对接信息后，OAuth2.0为本系统生成的client id信息。

client secret：本系统作为OPENID Client，在OPENID Server的OAuth2.0协议中配置对接信息后，OAuth2.0为本系统生成的client secret信息（与client id一起生成）。

discoveryURL： OPENID Server端的地址，地址需遵循以下配置路径，http://10.125.38.157:16660/.well-known/openid-configuration 10.125.38.157需替换为OPENID Server端的IP或域名。

配置完成后，单击<确定>按钮即可完成新建SSO认证。

修改SSO认证

在系统的左侧导航树选择[系统配置/安全设置/SSO认证]，进入SSO认证配置页面。

单击页面左上角<配置>按钮，可编辑SSO认证的信息。

配置修改完成后，单击<确定>按钮即可完成SSO认证的修改。

关闭SSO认证

当您不再需要使用该SSO认证时，可执行关闭SSO认证操作。

在系统的左侧导航树选择[系统配置/安全设置/SSO认证]，进入SSO认证配置页面。

单击页面左上角<配置>按钮，可将SSO对接认证按钮配置为“关闭”，即可关闭SSO认证。