基于开源CAS进行SSO,SSO方式讨论,LTPA 凭证库 TAM 类产品 开发商自行开发的代填表单,CAS 介绍,CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法，CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点： * 开源的企业级单点登录解决方案。 * CAS Server 为需要独立部署的 Web 应用。 * CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用)，包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。,CAS 原理和协议,从结构上看，CAS 包含两个部分。 CAS Server 和 CAS Client。 CAS Server 需要独立部署，主要负责对用户的认证工作； CAS Client 负责处理对客户端受保护资源的访问请求，需要登录时，重定向到 CAS Server。,CAS 最基本的协议过程,实现方式,标准CAS的重定向是利用FILTER来完成的。对于PORTAL而言，如果使用FILTER进行登录的拦截，LTPA TOKEN无法生成。因此需要考虑其它的方式。 对WAS进行CAS客户端配置。使用TAI方式进行登录。,WAS TAI配置架构,WAS TAI,1、用户访问PORTAL的请求被重定向到CAS。 2、CAS判断用户是否已登录。若是，转回PORTAL。若否，登录建立CAS SESSION再转PORTAL。,WAS TAI 续,3、PORTAL 检测用户是否已登录PORTAL（LTPA）。若是，则进入页面。若否，转TAI。TAI通过配置的属性检查CAS TICKET的有效性。由于WAS 配置TAI后，就可以由信任的TAI进行用户身份验证，而WAS的安全机制不作其它的验证工作。CAS TAI验证用户成功后，即返回用户的相关信息（如下图）由WAS的安全模块根据这些信息创建WAS 的SESSION（LTPA）。,WAS TAI,配置过程,1、从http:/www.ja-sig.org/wiki/pages/viewpage.action?pageId=19314上下载CasClientWebsphere-x.x.x.jar和 casclient-2.1.1.jar 放到/AppServer/lib/ext的目录中。 2、在WAS管理控制台中配置TAI。,配置过程,配置过程,这三个属性是必须的。SSL的端口如果非443就需要写在URL上。 CAS_VALIDATION_URL = your cas server url, ex : https:/myCasServer/cas/serviceValidate PRINCIPAL_PREFIX= prefix to add to principal, in order to allow mapping for groups, ex : uid=; default is “ PRINCIPAL_SUFFIX = suffix to add to principal, in order to allow mapping for groups, ex : ,OU=myOu, O=myCompany default is “,配置SSL,在WAS 7 中可以利用以下步骤配置： Click Security - SSL certificate and key management - SSL configurationsPM - NodeDefaultSSLSettings - Key stores and certificates - NodeDefaultTrustStore - Signer certificates . Click Retrieve from port. The General Properties window is shown. Add the CAS server infomation: Type the host, port, and alias name, and select options as required. Click Retrieve signer information. Save your configuration changes by clicking Apply. Click OK. Restart the portal.,验证,PORTAL启动日志中应该包含有Trust Association Init class com.octo.cas.client.websphere.CasTAI511 loaded successfully类似的信息并打印相关属性。 使用https:/myCasServer/cas/login?service=http:/portal:10039/wps/myportal 进行登录测试。如果可以登录CAS后直接进入PORTAL，说明SSO配置成功。,谢谢,