Einführung von SSO CAS
Dieses Dokument beschreibt, wie BlueMind die CAS-Authentifizierung (Central Authentication Service) erkennt.
Funktionsweise der CAS-Authentifizierung
Für eine erste Authentifizierung :
- Der Benutzer sucht nach einer Verbindung zu BlueMind, die er in seinem Browser öffnet.
- Da er noch nicht authentifiziert wurde, leitet ihn der BlueMind Server zum CAS-Server um, damit er sich authentifizieren kann.
- Nach der Authentifizierung wird ein CAS-Cookie in den Browser des Benutzers gesetzt, der dann mit einem Ticket zum Einlösen zu BlueMind weitergeleitet wird.
- Der BlueMind Server :
- sieht dieses Ticket,
- fragt den CAS-Server, ob er gültig ist,
- Ist dies der Fall, erlaubt das System die Verbindung und setzt ein BlueMind-Cookie im Browser.
Bei der nächsten Authentifizierung :
- Der Kunde fordert erneut Zugang zum BlueMind Server an.
- Da er das BlueMind-Cookie besitzt, wird er automatisch authentifiziert, solange dieses Cookie gültig ist.
Weitere Informationen:
- http://aldian.developpez.com/tutoriels/javaee/authentification-centralisee-sso-cas/images/09_diagramme_full.png
- http://www.jasig.org/cas/protocol
Voraussetzungen
Ein CAS-Server muss betriebsbereit sein und über den BlueMind-Server per HTTPS erreichbar sein.
Installation
Es ist keine Installation erforderlich, da BlueMind die Authentifizierung über einen CAS-Server nativ unterstützt.
CAS-Konfiguration für eine einzelne oder primäre Domäne
-
Gehen Sie in der Administrationskonsole zu Systemverwaltung > Überwachte Domänen > Wählen Sie die Domäne > Registerkarte Sicherheit.
ℹ️ Compte administrateur
La procédure concerne la configuration du domaine, il est donc possible et préférable d'utiliser un compte administrateur de domaine (voir Organisationseinheiten und Delegierte Verwaltung) plutôt que le superutilisateur admin0. -
Wählen Sie im Dropdown-Menü den Authentifizierungsmodus CAS aus und geben Sie die URL des CAS-Servers ein:

-
Klicken Sie auf "Speichern", um die Änderungen zu speichern.
Die Benutzer werden dann automatisch zum CAS-Server weitergeleitet, wenn sie auf die Authentifizierungsseite zugreifen.
CAS-Konfiguration in einer gemeinsam genutzten Umgebung
Die Nutzung eines einzigen Authentifizierungsservers für mehrere Domänen erfolgt durch die Konfiguration eines Servers für eine primäre Domäne, der die anderen Domänen zugeordnet sind.
Aus der Web Domänen auflisten:
-
Richten Sie eine erste Domäne gemäß der oben beschriebenen Vorgehensweise ein; diese wird dann als primäre Domäne betrachtet.
-
Geben Sie eine externe URL für die primäre Domain an (siehe Externe URLs).
Die Konfiguration der externen URL ist für die ordnungsgemäße Funktion der Authentifizierung bei allen Domänen zwingend erforderlich. -
Notieren Sie sich die Kennung der sekundären Domäne(n) (Domänen-UID oder Domain UID) aus der Domänenliste oder dem jeweiligen Verwaltungsdatensatz.
-
Se rendre dans la fiche de gestion du domaine primaire > onglet Sécurité : sous le formulaire de configuration CAS apparaît désormais un lien "Ajouter" :

→ cliquer pour ajouter autant de domaines secondaires que désiré. -
Dans les champs ajoutés, renseigner les UID des domaines à lier :
-
Klicken Sie auf „Speichern“, um die Eingabe zu bestätigen.
-
Dans la fiche de gestion des domaines secondaires, onglet Sécurité, le formulaire est désormais remplacé par une information contenant l'UID du domaine primaire :

Bekannte Fehler
Fehler 500: Internal Server Error
Diese Fehlermeldung kann mehrere Gründe haben. Um die Ursache zu untersuchen und zu erfahren, wie Sie sie beheben können, lesen Sie die Webserver-Logs.
Verwendung eines selbstsignierten Zertifikats oder einer unbekannten Zertifizierungsstelle
Symptome: Wenn ein selbstsigniertes Zertifikat für den CAS-Server verwendet wird oder die Zertifizierungsstelle des CAS-Servers nicht aufgelistet ist, tritt ein Sicherheitsfehler beim Aufbau der https-Verbindung zum CAS-Server auf.
Lösung: Um diesen Fehler zu beheben, importieren Sie das selbstsignierte Zertifikat oder die Stammzertifizierungsstelle in den Keystore der jvm, die BlueMind verwendet.
keytool -import -trustcacerts -alias cas -file cert_racine.crt -keystore /usr/lib/jvm/bm-jdk/lib/security/cacerts
Enter keystore password: changeit
Weitere Informationen finden Sie unter http://www.sslshopper.com/article-most-common-java-keytool-keystore-commands.html.