[]
本文介绍如何使用 CAS 身份验证服务为 Wyn 配置 单点登录,总体需要进行单点登录配置和Cookie设置。
使用系统管理员账号登录,依次单击「系统管理>系统设置>系统配置>单点登录」,进入单点登录配置界面,进行配置。
配置项说明:
配置项 | 说明 |
|---|---|
认证协议 | 选择认证协议,支持 CAS、OAuth和OIDC。这里我们选择 CAS。 |
方案 | 自定义方案,会显示在单点登录后的用户提供者信息中。
|
不启用 | 是否启用该SSO配置。由于该设置项是在设置是否“不启用”,所以“否”代表启用,“是”代表不启用。 |
允许隐形用户 | 是否允许 Wyn 中不存在的用户通过 SSO 流程登录 Wyn。 设置为“是”表示所有来自 SSO 认证服务器的用户都可以登录到 Wyn; 反之则表示不允许 Wyn中不存在的用户登录 Wyn。 为了防止陌生用户登录,需要先将允许的用户导入 Wyn,请注意导入用户的“Provider”必须与设置项中的“方案”选项设置的值相同。 比如示例图中 SSO 的方案为“test”,所以提前导入 Wyn 中的用户信息“Provider”也必须填写“test”。
|
启用SLO | 是否启用单点登出。 登出地址默认为 “CasServerUrlBase/logout”,如需修改可以在CAS服务注销地址中指定注销URL。 如果想在退出CAS认证服务器的时候退出 Wyn,需要在CAS服务器的服务定义文件中添加如下配置: "logoutType": "BACK_CHANNEL", "logoutUrl": "{wyn_url}/account/cas-slo" |
CAS服务基本路径 | 对应应用程序配置文件中的“CasServerUrlBase”。 |
CAS协议版本 | 选择CAS协议版本。 |
CAS服务注销地址 | 如果注销 URL不是默认值 “CasServerUrlBase/logout”,那么需要在CAS服务注销地址中指定注销URL。 |
配置完成后先单击保存按钮,保存设置。
接下来配置Cookie,待完成所有配置项后再重启系统。
需按照如下截图配置Cookie选项,配置完成后,单击右下角的保存并重启按钮保存设置并重启系统。
选择是,然后等待系统重启完成。
打开产品登录地址时默认跳转到第三方应用程序登录画面,此时即可使用应用程序的用户登录Wyn,登录后Wyn中自动创建用户。
Wyn本身的用户登录Wyn,则需在原登录地址后添加“/Account/Login”,例如 http://localhost:51980/Account/Login。
如果想要手动配置CAS单点登录,可以直接在配置文件中找到配置节点“<Server>”,在其中添加如下的内容。
<Server>
<Cookie>
<SameSite>None</SameSite>
<ShareCookie>false</ShareCookie>
<Secure>true</Secure>
</Cookie>
<Authentication>
<SSO>
<AuthenticationProtocol>CAS</AuthenticationProtocol>
<Scheme>MyCAS</Scheme>
<Disabled>false</Disabled>
<AllowIncognizantUser>true</AllowIncognizantUser>
<CasServerUrlBase>https://auth.mycas.com</CasServerUrlBase>
<CasServerLogoutUrl>https://auth.mycas.com/logout</CasServerLogoutUrl>
</SSO>
</Authentication>
</Server>其中每个配置项的含义为:
AuthenticationProtocol:认证协议,这里必须为CAS。
Scheme:认证方案的自定义名称,自定义的一个表示使用的认证系统的名称,比如MyCAS。
Disabled:是否禁用,如果想禁用配置的单点登录,设置这个值为true,否则请设置为false。
AllowIncognizantUser:是否允许系统中不存在的用户登录。如果你提前导入了单点登录的用户信息到系统中,并且只允许这些用户单点登录到系统,那么需要设置这个值为false,否则请设置为true。
CasServerUrlBase:CAS认证服务的地址。
CasServerLogoutUrl:CAS认证服务的登出地址。