SSO认证

单点登录(Single-Sign-On，SSO)，即用户的一次性鉴别登录。当用户在身份认证中心登录一次以后，即可获得访问单点登录系统中其他关联系统和应用软件的权限，同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的，这意味着在多个拥有着不同的认证与授权模式应用系统中，用户只需一次登录就可以访问所有相互信任的应用系统，不再需要记忆多个不同的用户名与密码。

单点登录的应用场景为：在一个单位中，需要使用多个功能不同的系统应用，比如企业会有专门的财务系统，销售的CRM系统，人事的OA、邮箱系统，如果每个系统都用独立的账号认证体系，会给员工带来很大困扰，同时不方便管理，所以需要设计一种统一登录的解决方案。

单点登录协议

系统支持的单点登录协议为CAS（Central Authentication Service，中央认证服务），是为应用提供可信身份认证的单点登录系统，CAS本身没有授权，也没有权限控制功能。

CAS包含两部分：

CAS Server：CAS Server负责完成对用户的认证工作，需要独立部署，CAS Server会处理用户用户名/密码等凭证。

CAS Client：负责处理用户对客户端的访问请求，当需要对请求方（即用户）进行身份认证时，会重定向到CAS Server进行认证。

开启SSO认证

$说明: D:\02-素材\png图标素材\零售图标套装系列\Iconbase图标系列\TupperWare\baloom.png$

· 开启SSO认证时，若配置错误，则可能导致页面无法登录、用户无法同步，请谨慎操作。

· 大数据平台仅支持与绿洲平台进行单点登录认证。大数据平台与绿洲平台进行SSO对接认证时，绿洲平台必须开启SSO认证。

· 选择系统是否开启SSO对接认证，若选择开启则表示系统开启单点登录模式，此时密码策略、登录认证策略、系统用户（修改授权除外）等相关配置不再生效；若选择关闭则表示系统不开启单点登录模式，系统模块所有功能均生效。

· 如果配置错误导致登录页面打不开，可以访问逃生登录路径，进入登录页面后重新配置。逃生登录路径为https://10.125.38.178/platform/#/login/ssoSkip，10.125.38.178需替换为Client端的IP或域名。

在系统的左侧导航树选择[系统配置/安全设置/SSO认证]，进入SSO认证配置页面。

单击页面左上角<配置>按钮，可将SSO对接认证按钮配置为“开启”，认证协议选择“CAS”。

根据提示配置对应参数项的值，如下：

绿洲平台CAS校验地址：配置绿洲平台的CAS校验地址，格式为“http://<绿洲平台管理系统内网访问IP>:8087/cas”（8087为绿洲平台的CAS Server默认校验端口号，若端口修改则需要对应修改配置）。

绿洲平台CAS登录地址：配置绿洲平台的CAS登录地址，格式为“https://<绿洲平台管理系统外网访问IP>:8086/cas”（8086为绿洲平台的CAS Server默认登录端口号，若端口修改则需要对应修改配置）。

绿洲平台用户管理地址：配置绿洲平台用户管理的地址，格式为“http://<绿洲平台管理系统内网访问IP>:32007”（32007为绿洲平台的CAS Server默认端口号，若端口修改则需要对应修改配置）。当绿洲平台开启内外网分离时，该配置项的值必须为内网IP地址。

配置完成后，单击<确定>按钮即可完成新建SSO认证。

修改SSO认证

$说明: D:\02-素材\png图标素材\零售图标套装系列\Iconbase图标系列\TupperWare\baloom.png$

修改SSO认证时，若配置错误，则可能导致页面无法登录、用户无法同步，请谨慎操作。

在系统的左侧导航树选择[系统配置/安全设置/SSO认证]，进入SSO认证配置页面。

单击页面左上角<配置>按钮，可编辑SSO认证的信息。

配置修改完成后，单击<确定>按钮即可完成SSO认证的修改。

关闭SSO认证

当您不再需要使用该SSO认证时，可执行关闭SSO认证操作。

在系统的左侧导航树选择[系统配置/安全设置/SSO认证]，进入SSO认证配置页面。

单击页面左上角<配置>按钮，可将SSO对接认证按钮配置为“关闭”，即可关闭SSO认证。