中央认证服务 (CAS) 是最常见的集中式 Web 验证单点登录 (SSO) 协议,适用于组织内部的验证。
SunGardHE Luminis 5 支持 CAS,从而简化了 Luminis 的 Learn SSO。
创建 CAS 类型的提供程序时,提供程序设置链接文本和图标会显示在登录页面的使用帐户登录部分。
要了解如何创建验证提供程序,请参阅创建验证提供程序。
验证提供程序设置
所有验证提供程序均提供可由您自定义的一组常见设置。
- 名称(必填):键入提供程序名称,以轻松地与其他提供程序区分开来。
- 描述(可选):键入可轻松地与其他提供程序区分开来的描述,尤其是在创建同一类型的提供程序或在将提供程序映射到特定主机名时。
- 验证提供程序可用性(活动/非活动):在创建新的提供程序时,使该提供程序一直处于非活动状态,直到配置和测试完成。
- 用户查找方法 (用户名/Batch Uid):用于选择徽标名称字段映射。如果您的提供程序登录名称未映射到 Learn 用户名,则您可以使用数据集成框架或快照将登录名称传播到 Batch_Uid 字段。
- 受主机名限制:使用此选项可将提供程序映射到一个或多个主机名。选择将此提供程序用于任何主机名或仅将此提供程序用于指定主机名。
- 受限制的主机名:在文本框中键入一个或多个主机名,一行一个主机名。
了解注销选项背后的行为和推理
CAS 注销选项对用户行为的影响方式可能超出了单点登录 (SSO) 的意图。
尤其是在将全局注销设置为否时,将要求凭证设置为是。尽管这可能超出了 SSO 的方便性和范围,但是为了安全起见,Learn CAS 以这种方式实施。
将全局注销设置为关闭时,注销 Learn 只会破坏 Learn 会话,并为当前通过验证的用户保留浏览器与有效的 CAS 通行证。如果用户离开计算机时未关闭浏览器(这表示 CAS 通行证处于活动状态),则使用这台计算机的下一个用户将可以访问最初通过验证的用户帐户。因此,要求凭证会在重新建立 Learn 会话时强制执行重新验证,以防止未经授权的用户意外访问 Learn 帐户。请注意,此设置并不能保护利用 CAS SSO 的其他用户服务,因为 CAS 通行证仍是完整的。
如果将全局注销设置为开启,则会破坏 Learn 会话并将用户定向到 CAS 注销页面以注销 CAS 服务。这样可允许对要求凭证进行配置,从而使预期的 SSO 行为无需为现有 CAS 通行证持有者提供凭证(要求凭证 = 否),或强制注销 Learn 的用户重新输入凭证以遵循机构安全策略(要求凭证 = 是)。
这些设置提供了一定程度的灵活性,同时保护 Learn 安装免遭因用户对注销过程的误解而导致的潜在和难以发现的滥用。
配置 CAS 提供程序
- 提供您的 CAS 服务器 URL 前缀,例如,https://cas.example.edu/cas
- (可选)设置以下内容:
- 将全局注销设置为否。默认设置为是。选择否表示系统不该在用户注销 Learn 之后将其重新定向到 CAS 服务器的注销页面,例如,https://cas.example.edu/cas/logout
- 将要求凭证设置为是。默认设置为否。选择是表示 CAS 服务器应始终提示用户输入自己的用户名和密码,并在 CAS 会话已存在时允许 SSO。如果将全局注销设置为否,则此项设置会自动启用。
- 选择提交以保存配置。
如果 CAS 服务器使用的是 TLS,则您需要商业签名证书,否则验证可能会失败。
