CAS is het bekendste SSO-protocol (Single Sign On of eenmalige aanmelding) voor verificatie binnen een organisatie. Het is een gecentraliseerde voorziening die via een webbrowser werkt.
SunGardHE Luminis 5 biedt ondersteuning voor CAS, waardoor eenmalige aanmelding van Luminis bij Learn makkelijker wordt.
Wanneer je een CAS-verificatieprovider gaat maken, worden de waarde voor Koppelingstekst in Instellingen provider en het pictogram weergegeven in de sectie Aanmelden met behulp van van de aanmeldingspagina.
Als je meer wilt weten over het maken van verificatieproviders, lees je Verificatieproviders maken.
Instellingen voor verificatieproviders
Alle verificatieproviders hebben een groep gemeenschappelijke instellingen die je kunt aanpassen.
- Naam (verplicht): typ een naam voor de provider waardoor deze makkelijk is te onderscheiden van andere providers.
- Beschrijving (optioneel): typ een beschrijving waardoor deze provider makkelijk is te onderscheiden van andere providers, met name wanneer je providers van hetzelfde type maakt of wanneer providers worden toegewezen aan specifieke hostnamen.
- Beschikbaarheid van verificatieprovider (Actief/Inactief): als je een nieuwe provider maakt, laat deze dan op Inactief staan totdat je helemaal klaar bent met de configuratie en het testen.
- Zoekmethode gebruikers (Gebruikersnaam/Batch-UID): gebruik dit voor de veldtoewijzing van aanmeldingsnamen. Als de aanmeldingsnaam van je provider niet is toegewezen aan de Learn-gebruikersnaam, kun je de inlognaam via het framework voor gegevensintegratie of Snapshot doorgeven aan het veld Batch_Uid.
- Beperken op hostnaam: gebruik deze optie om een provider toe te wijzen aan een of meer hostnamen. Selecteer Deze provider gebruiken voor alle hostnamen of Deze provider beperken tot alleen de opgegeven hostnaam.
- Beperkte hostnamen: typ een of meer hostnamen in het tekstvak, met één hostnaam per regel.
Werking en logica van afmeldingsopties
De afmeldingsopties van CAS beïnvloeden het gedrag van gebruikers op een manier die de doelstelling van eenmalige aanmelding (SSO) lijkt tegen te spreken.
Dit is met name zo als Referenties vereisen is ingesteld op Ja terwijl Globaal afmelden is ingesteld op Nee. Hoewel dit lijkt in te gaan tegen het gemak en het bereik van SSO, is Learn CAS vanwege beveiligingsredenen op deze manier geïmplementeerd.
Wanneer Globaal afmelden is ingesteld op Nee, wordt door het afmelden bij Learn alleen de huidige Learn-sessie verwijderd maar blijft er in de browser een geldig CAS-ticket achter voor de momenteel geverifieerde gebruiker. Als deze gebruiker de computer verlaat met de browser geopend (en het CAS-ticket dus actief), heeft de volgende persoon die met de computer gaat werken toegang tot de accounts van de eerder geverifieerde gebruiker. Het inschakelen van Referenties vereisen zorgt er dus voor dat de Learn-account wordt beveiligd tegen onbedoelde toegang door een niet-geverifieerde gebruiker door opnieuw verificatie af te dwingen bij het opzetten van een nieuwe Learn-sessie. Deze instelling biedt geen beveiliging voor andere gebruikersservices die CAS SSO gebruiken terwijl de CAS-ticket nog intact is.
Door Globaal afmelden in te stellen op Ja, wordt de Learn-sessie volledig verwijderd en wordt de gebruiker omgeleid naar de CAS-afmeldingspagina om zich af te melden bij de CAS-service. Hierdoor kan Referenties vereisen worden geconfigureerd, met als resultaat verwacht SSO-gedrag waarbij het niet nodig is om referenties in te voeren voor bestaande CAS-tickethouders (Referenties vereisen = Nee) of waarbij de referenties opnieuw moeten worden ingevoerd bij aanmelden bij Learn om te voldoen aan beveiligingsbeleid van de instelling (Referenties vereisen = Ja).
Deze instellingen bieden een functionele mate van flexibiliteit terwijl de installatie van Learn wordt beveiligd tegen potentieel en ontraceerbaar misbruik als gevolg van een verkeerde interpretatie van het afmeldingsproces door de gebruiker.
Een CAS-provider configureren
- Geef een waarde op voor Prefix voor URL van CAS-server, bijvoorbeeld, https://cas.example.edu/cas
- Je kunt ook nog deze instellingen opgeven, maar dat is niet verplicht:
- Globaal afmelden als Nee. De standaardwaarde is Ja. Als je Nee selecteert, wordt een gebruiker na het afmelden bij Learn niet omgeleid naar de afmeldingspagina van de CAS-server, zoals https://cas.example.edu/cas/logout
- Referenties vereisen als Ja. De standaardwaarde is Nee. Als je Ja selecteert, moet de CAS-server een gebruiker altijd om zijn of haar gebruikersnaam en wachtwoord vragen, en is SSO toegestaan wanneer er al een CAS-sessie bestaat. Als Globaal afmelden is ingesteld op Nee, wordt deze optie automatisch ingeschakeld.
- Selecteer Verzenden om de configuratie op te slaan.
Als de CAS-server TLS gebruikt, heb je een commercieel ondertekend certificaat nodig om er zeker van te zijn dat de verificatie lukt.