回帖奖励 580 S豆 回复本帖可获得 20 S豆奖励! 每人限 1 次(中奖概率 70%)
【技术圆桌】关于统一身份认证CAS协议,了解一下?
  

sangfor86021 629

{{ttag.title}}
32012605d8179e0fa2.png


【话题背景】
最新一份调查研究表明,68%的企业员工每个小时都需要在十多个应用系统中进行切换。因此,如果将十多个应用系统的登录简化为一次门户登录,就可以大幅减少员工日常工作中在应用系统切换上所花费的时间,从而提升员工的工作效率。单点登录解决方案孕育而生,单点登录简单的说就是一次登录,全部访问,即员工输入了一次帐号密码即可访问OA、ERP、CRM等系统。
CAS(Central Authentication Service)开源的企业级单点登录解决方案,旨在为 Web 应用系统提供一种可靠的单点登录方法。
CAS包含两个部分:CAS服务器和CAS客户端。CAS服务器需要独立部署,主要负责对用户的认证工作;CAS客户端负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS服务器。
3602605d52ed17789.png

(图片来源于网络,侵权立删)

【概念解释】
单点登录(Single sign-on, SSO):在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 统一用户:多个应用共用一套帐号体系,统一用户是 单点登录 的实现前提。一般,储存用户的公有属性在中央认证服务器。
局部会话(Application Session):业务系统服务器(如OA,门户网站等)与 浏览器 的会话。 全局会话(CAS Session):CAS认证服务器与 浏览器 的会话。
Service:业务系统的URL,提前在 CAS认证服务器 注册过。
Ticket Granted Ticket,TGT:大令牌,记录某用户全局会话的状态。
CASTGC,TGC:Ticket Granting Cookie,TGT记录在Cookie中的内容,一般是TGT的id。
Service Ticket,ST:小令牌,用来向CAS认证服务器兑换用户信息。一般限制使用次数或有效期。

CAS认证流程:
1、浏览器请求访问OA业务,浏览器输入 https://oa.sangfor.com
2、OA 引导浏览器重定向到CAS统一认证服务器,并携带Service;
3、在CAS统一认证服务器完成登录,建立全局会话。并验证 Service,生成TGT,在浏览器下发并记录CASTGC,建立全局会话;
4、CAS服务器用TGT签发Service Ticket,并重定向到OA业务系统;
5、OA获取到Service Ticket后,向CAS统一认证服务器兑换用户信息;
6、兑换成功后,OA用Session或Cookie记录用户的登录状态,即建立局部会话。

单点登录流程:
7、用户第一次认证成功后,访问mail业务系统,浏览器输入https://mail.sangfor.com
8、邮箱重定向到CAS认证服务器页面,并携带Service;
9、浏览器持CASTGC访问CAS服务器,CAS验证TGT,之前已经建立全局会话,用户通过验证因此不需要登录,CAS签发Service Ticket,并重定向到mail业务;
10、mail获取到Service Ticket后,向CAS统一认证服务器兑换用户信息;
11、兑换成功后,mial用Session或Cookie记录用户的登录状态,即建立局部会话,并完成单点登录。


【本期圆桌话题】

  • 讨论点1:CAS协议实现的单点登录和密码代填实现的单点登录有什么异同?


  • 讨论点2:除了CAS协议之外,还有哪些常见的单点登录协议,他们与CAS又有何异同?




【讨论时间】
2021年3月26日---2020年4月20日 23:59

【奖品设置】
1、基础回帖奖:凡有效回帖者可获得20S豆奖励;(回帖内容与话题相关且为个人原创)
2、优秀回复奖:凡回复的内容,被管理员设置为优秀回复即可获得100S豆打赏!
3、参与幸运奖:本帖设置1000S豆回帖奖励,每次回复有机会获得20S豆;
4、最佳回复奖:活动结束后,由话题发起人评选出3位最佳回复者,分别赠送热门学习书籍机器新脑》/知乎日历2021》/移动互联网时代的智能终端安全实物奖品一份(可等价S豆);

7197605d51dd9a8e4.png

【回帖规则】
1、回复须为个人原创且与话题相关,如回复无意义内容,管理员将判定为灌水,进行删除。
2、如恶意抄袭,以不良手段获取礼品行为,一经发现取消其获奖资格,并对账号进行1月以上禁言警示。
3、可盖楼回复但每个id回帖仅奖励一次,其他奖励可叠加,活动结束后将进行统一派发。

↓↓↓
欢迎大家回帖交流
如有安全产品相关问题,欢迎留言提问

酒慰风尘 发表于 2021-3-26 16:32
  

回帖奖励 +20 S豆

CAS协议实现的单点登录和密码代填实现的单点登录有什么异同?
最大的区别就是CAS单点登录采用的认证秘钥是相同的,但是代填可以是每一套系统使用不同的密码,相对来说CAS维护更加简单,只需维护一套即可
除了CAS协议之外,还有哪些常见的单点登录协议,他们与CAS又有何异同?
OAuth(开放授权)是一个开放的授权标准,允许用户让第三方应用访问该用户在某一web服务上存储的私密的资源(如照片,视频,联系人列表),而无需将用户名和密码提供给第三方应用。
OAuth允许用户提供一个令牌(token),而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的第三方系统
比CAS协议,OAuth2.0不同的授权模式能够解决更多的场景,更安全、更流行,且通过PKCE模式能够实现移动端的单点登录,这个是其他SSO协议都不具备的
易逝的信仰 发表于 2021-3-27 22:43
  

回帖奖励 +20 S豆

1:CAS协议实现的单点登录和密码代填实现的单点登录有什么异同?
        CAS,是一种常见的B/S架构的SSO协议。和其他任何SSO协议一样,用户仅需登陆一次,访问其他应用则无需再次登陆。密码代填是可以是每一套系统使用不同的密码。
       两者对比的话CAS更加安全,但不是所有应用都支持SSO,很多企业的应用甚至很老旧,根本没有留下接口。
       相比下“密码代填”应用很广,但让第三方调用并传递用户名密码,然后就能实现登陆。即,在原本的登陆页面之外,额外提供了一个接口传递账号密码实现登陆。这种方式下密码信息会直接通过网络传输,安全性完全无法保证。
2:除了CAS协议之外,还有哪些常见的单点登录协议,他们与CAS又有何异同?
     除了CAS还有OAuth、OpenID Connect、SAML等单点登录协议
     相比CAS协议,OAuth2.0不同的授权模式能够解决更多的场景,更安全、更流行,且通过PKCE模式能够实现移动端的单点登录,这个是其他SSO协议都不具备的。
     OpenID Connect简称OIDC,是基于OAuth2.0扩展出来的一个协议。除了能够OAuth2.0中的Authorization场景,还额外定义了Authentication的场景,可以说OIDC协议是当今最流行的协议。
     SAML是一个非常古老的Authentication的协议,在早期B/S架构的企业级应用中非常流行。
tj_zero 发表于 2021-3-29 14:54
  

回帖奖励 +20 S豆

CAS协议实现的单点登录和密码代填实现的单点登录有什么异同?

CAS单点登录采用的认证方式于代填不同,CAS更加简单统一输入一次密码就能访问所有单点上所有应用,代填通过的市保存密码记录使用方式及界面后自动录入密码;信息安全方面,CAS与代填,个人觉得单点方式简单但也更容易受到攻击;

玖零网络 发表于 2021-3-29 17:57
  

回帖奖励 +20 S豆

单点登陆操作方便,维护简单。
代填后期维护工作量大。更换密码复杂。
新手394045 发表于 2021-3-30 14:59
  

回帖奖励 +20 S豆

单点登陆操作方便
新手612152 发表于 2021-3-30 17:07
  

回帖奖励 +20 S豆

CAS协议实现的单点登录和密码代填实现的单点登录有什么异同?
新手780102 发表于 2021-3-30 17:08
  

回帖奖励 +20 S豆

SAML是一个非常古老的Authentication的协议,在早期B/S架构的企业级应用中非常流行
新手741261 发表于 2021-3-30 17:09
  

回帖奖励 +20 S豆

单点登陆操作方便,维护简单。
新手031815 发表于 2021-3-30 17:09
  

回帖奖励 +20 S豆

个人觉得单点方式简单但也更容易受到攻击;
发表新帖
热门标签
全部标签>
GIF动图学习
信服课堂视频
每日一问
项目案例
技术笔记
技术咨询
产品连连看
技术圆桌
安装部署配置
原创分享
新版本体验
在线直播
功能体验
安全攻防
答题自测
每日一记
排障笔记本
运维工具
专家分享
专家问答
升级
问题分析处理
云计算知识
SDP百科
畅聊IT
解决方案
SANGFOR资讯
技术顾问
标准化排查
终端接入
MVP
网络基础知识
上网策略
测试报告
日志审计
流量管理
用户认证
sangfor周刊
VPN 对接
信服故事
功能咨询
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术

本版达人

七嘴八舌bar

本周分享达人