¶ 身份认证 - CAS
雷池 WAF 现已支持与 CAS 3.0 (Central Authentication Service) 单点登录协议对接,为雷池保护的应用提供统一、安全的身份认证服务。通过此方式,企业可以利用现有的 CAS 身份管理体系,建立一套覆盖所有应用的单点登录(SSO)解决方案。
雷池 8.5.0 版本对接 CAS ,仅作认证,需使用雷池身份认证功能进行应用授权。官方建议启用统一认证使用此功能。
¶ 工作原理
雷池对接 CAS 3.0 协议采用标准的票据验证流程:
- 用户访问应用时,系统检测到未登录状态,将用户重定向至企业 CAS 服务器
- 用户在 CAS 界面完成身份验证
- CAS 服务器生成 Service Ticket 并将用户重定向回应用
- 雷池通过后台服务验证 Ticket 有效性
- 验证通过后,接入雷池身份认证用户体系进行应用授权
¶ 准备工作
- 功能正常的 CAS 3.0 服务器
- 雷池 WAF 版本大于等于 8.5.0
- 使用雷池商业版授权
- CAS 服务器的访问权限与配置权限
- 雷池超级管理员/系统管理员权限
- 确保部署雷池的服务器能够访问 CAS 服务器(网络连通性)
¶ 配置流程
¶ 1. CAS 服务器配置
¶ 1.1 注册雷池服务
在 CAS 服务管理界面中添加雷池作为服务:
- 登录 CAS 管理控制台
- 导航至"服务管理"或"Services Management"
- 点击"添加服务"或"Add Service"
- 填写基本信息:
- 服务名称:Safeline(可自定义,建议使用易识别的名称)
- 服务 URL:授权回调 URL,需要在应用 URL 后拼接
/.safeline/auth/api/callback/cas,例如:https://a.com/.safeline/auth/api/callback/cas,如启用统一认证,则在统一认证中心的 URL 后进行拼接即可
¶ 1.3 保存并激活服务
完成配置后,保存并确保服务状态为"激活"。
¶ 2. 雷池控制台配置
¶ 2.1 登录管理员账户
使用超级管理员/系统管理员账户登录雷池控制台。
¶ 2.2 进行第三方登录配置
前往雷池控制台 身份认证 -> 配置 页面,点击第三方登录配置,选择 CAS。
填写相关配置字段。
| 字段 | 描述 |
|---|---|
| CAS 服务器 URL | 您的 CAS 服务器地址(例如:https://cas.example.com) |
配置完成后,点击提交按钮完成绑定。
¶ 接入使用
- 应用开启
身份认证功能后,可自主选择 CAS 登录方式。 - 当用户访问应用时,会提示认证,新用户认证授权后需要雷池管理员在控制台进行
审核确认。- 通过审核的用户即获得此应用授权,后续访问无需审核,认证通过即可成功登录
- 未通过审核的用户访问应用将会被拦截,无法访问