CAS框架下配置SSO.pdf

CAS配置SSO CAS框架下配置SSO报告 目录 一、SSO （single sign on）单点登录原理 二、CAS架构和基本原理 三、CAS配置实现SSO （一）配置环境 （二）添加安全证书 （三）实现sso 四、keytool 的介绍 （一）密钥与证书 （二）证书的操作 五、HTTPS和SSL （一）HTTPS简介 （二）SSL （server socket layer）简介 （三）SSL 工作原理 1 15 第 页 共 页 CAS配置SSO sso （single sign on）单点登录原理 单点登录 （Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案 之一。SSO 的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信 任的应用系统。 当用户第一次访问应用系统1 的时候，因为还没有登录，会被引导到认证系统中进行登 录；根据用户提供的登录信息，认证系统进行身份效验，如果通过效验，应该返回给用 户一个认证的凭据－－ticket；用户再访问别的应用的时候就会将这个ticket 带上，作为 自己认证的凭据，应用系统接受到请求之后会把ticket 送到认证系统进行效验，检查 ticket 的合法性。如果通过效验，用户就可以在不用再次登录的情况下访问应用系统2 和应用系统3 了。 单点登录原理图 2 15 第 页 共 页 CAS配置SSO CAS 架构和基本原理 CAS 官方网站：http：/// / CAS 是 （CentralAuthentication Service）是Yale 大学发起的构建Web SSO 的Java 开源 项目。 ◇ CAS 的结构体系 1、CAS Server CAS Server 负责完成对用户信息的认证，需要单独部署，CAS Server 能够处理 用户名、密码等凭证 （Credentials）。 2、CASClient CASClient 部署在客户端，对本地Web 应用受保护资源的访问请求，并且对请 求进行身份认证，重新定向到CAS Server 进行认证。 ◇ CAS框架原理 CASClient 以过滤器的方式保护Web 应用的受保护资源，过滤从客户端过来的每一个 Web 请求，同时，CASClient 会分析HTTP 请求中是否包含请求ServiceTicket，如果 没有，则说明该用户是没有经过认证的，CASClient 会重定向用户请求道CAS Server。 如果用户提供了正确的认证信息，CAS Server 会产生一个随机的Service Ticket，会向 User 发送一个Ticket Granting Cookie（TGC）给User 的浏览器，并且重定向用户到CAS 3 15 第 页 共 页 CAS配置SSO Client （携带着Ticket），CASClient 和CAS Server 之间完成一个对用户的身份核实，用 Ticket 查到Username，认证成功。 ◇ CAS实现SSO 当用户访问网站再次被重定到CAS Server 会主动获到这个TGC，如果User 持有TGC 且还没失效，那么就可以直接访问网站，实现SSO；如果TGC 失效，那么用户还是要 重新认证。 CAS 配置实现SSO ◇配置环境 我们下载 apache-tomcat-6.0.20，并将 CAS Server 和 CAS Client 同时放在 Tomcat 的 webapps