O CAS (Serviço de autenticação central) é o protocolo de logon único (SSO) de autenticação da web centralizado mais comum para autenticação intraorganização.

O SunGardHE Luminis 5 é compatível com CAS, simplificando o SSO do Luminis para Learn.

Ao criar um provedor do tipo CAS, o Texto do link de configurações do provedor e o ícone aparecem na seção Fazer logon usando da página de logon.

Para saber como criar provedores de autenticação, consulte Como criar provedores de autenticação.

Configurações do provedor de autenticação

Todos os provedores de autenticação têm um grupo de configurações comuns que podem ser personalizadas.

  • Nome (Obrigatório): digite um nome de provedor que diferencie facilmente um provedor do outro.
  • Descrição (Opcional): digite uma descrição que diferencie facilmente um provedor do outro, especialmente ao criar provedores do mesmo tipo ou quando os provedores forem mapeados para nomes de host específicos.
  • Disponibilidade do provedor de autenticação (Ativo/Inativo): ao criar um provedor, mantenha o provedor como Inativo até a configuração e os testes serem concluídos.
  • Método de pesquisa do usuário (Nome de usuário/Código de identificação do lote): use para selecionar o mapeamento de campo de nome de logon. Se o nome de logon do provedor não mapear para o nome de usuário do Learn, propague o nome de logon para o campo Batch_Uid usando a estrutura de Integração de dados ou o Instantâneo.
  • Restringir por nome de host: Use esta opção para mapear um provedor para um ou mais nomes de host. Selecione Usar este provedor para qualquer nome de host ou Restringir este provedor apenas ao nome de host especificado.
  • Nomes de host restritos: Digite um ou mais nomes de host na caixa de texto, com um nome de host por linha.

Entendendo o comportamento e o raciocínio por trás das opções de logout

As opções de logout CAS afetam o comportamento do usuário de maneira que pode parecer não estar de acordo com a intenção do logon único (SSO).

Especificamente, Exigir credenciais é definido como Sim quando Logout global estiver definido como Não. Embora isso possa parecer não ser conveniente e estar fora do escopo do SSO, o CAS do Learn é implementado dessa maneira por questões de segurança.

Quando o Logout global for definido como Desligado, o logout do Learn apenas destrói a sessão do Learn e deixa o navegador com um tíquete do CAS válido para o usuário autentificado no momento. Caso o usuário saia do computador e deixe o navegador aberto (deixando, portanto, o tíquete do CAS ativo), a próxima pessoa que usar o computador terá acesso às contas de usuário autenticadas originalmente. Assim, Exigir credenciais protege a conta do Learn contra acesso acidental por um usuário não autorizado forçando uma nova autenticação ao restabelecer uma sessão do Learn. Observe que essa configuração não protege outros serviços do usuário que utilizam SSO do CAS, uma vez que o tíquete do CAS permanece intacto.

Configurar o Logout global como Ligado destrói a sessão do Learn e direciona o usuário à página de logout do CAS para desconectar-se do serviço do CAS. Isso permite a configuração de Exigir credenciais, possibilitando o comportamento de SSO esperado de não precisar fornecer credenciais para detentores de tíquete do CAS (Exigir credenciais = não) ou forçar nova validação de credenciais para o logon no Learn cumprir as políticas de segurança institucionais (Exigir credenciais = sim).

Essas configurações proporcionam um grau funcional de flexibilidade enquanto protegem sua instalação do Learn contra possíveis abusos não rastreáveis devido à interpretação incorreta do processo de logout por parte do usuário.

Configurar um provedor do CAS

  1. Forneça seu Prefixo de URL de servidor CAS, por exemplo, https://cas.example.edu/cas
  2. Como opção, defina:
    • Logout global como Não. O padrão é Sim. Selecionar Não indica que um usuário não deve ser redirecionado à página de log-out do servidor CAS depois de sair do Learn, por exemplo, https://cas.example.edu/cas/logout
    • Exigir credenciais como Sim. O padrão é Não. Selecionar Sim indica que o servidor do CAS deve sempre solicitar que o usuário informe seu nome de usuário e senha, e permite SSO quando uma sessão do CAS já existir. Se Logout global estiver definido como Não, isso será habilitado automaticamente.
  3. Selecione Enviar para salvar a configuração.

Se o servidor CAS estiver usando TLS, você precisará de um certificado assinado comercialmente ou a autenticação poderá falhar.