Skip to main content
Version: 5.4

Setting up SSO CAS

This document describes how BlueMind recognizes CAS (Central Authentication Service) authentication.

How CAS authentication works

For initial authentication :

  1. The user tries to connect to BlueMind, which he opens in his browser.
  2. As it has not yet been authenticated, the BlueMind server redirects it to the CAS server for authentication.
  3. Once authenticated, a CAS cookie is placed in the user's browser, and the user is redirected to BlueMind with a ticket to validate.
  4. The BlueMind server :
    1. sees this ticket,
    2. asks the CAS server if it is valid,
    3. si c'est bien le cas, autorise la connection et pose un cookie BlueMind dans le navigateur.

On next authentication:

  1. The customer requests access to the BlueMind server again.
  2. As it has the BlueMind cookie, it is automatically authenticated as long as this cookie is valid.

For more information

Installation

Pour mettre en œuvre l'authentification CAS, installer le paquet nécessaire :

aptitude install bm-plugin-hps-cas

Puis redémarrer BlueMind :

bmctl restart

Configuration

  1. Connecté en tant qu'admin0, se rendre dans Gestion du système > Configuration système > onglet Authentification.
  2. Sélectionner le mode d'authentification CAS dans le menu déroulant et renseigner les champs associés :
    • URL du serveur CAS
    • Domaine BlueMind par défaut
  3. Click on "Save" to save your changes.
  4. Redémarrer le service bm-webserver.

Users will then be automatically redirected to the CAS server when accessing the authentication page.

Known errors

Erreur 403 : Your user account does not exist in this BlueMind.

Cause : Ce message d'erreur signifie que le login avec lequel l'utilisateur s'est authentifié sur le CAS n'existe pas pour ce domaine. Cela peut arriver lorsque l'utilisateur n'a pas encore été créé dans BlueMind ou de façon volontaire car on ne souhaite pas que cet utilisateur y ait accès.

Solutions : Deux solutions permettent sont possibles :

  1. Créer dans BlueMind, dans le bon domaine, l'utilisateur associé au login CAS.
  2. Ignorer l'erreur si le refus d'accès est volontaire.

Error 500: Internal Server Error

There may be several reasons for this error message. Pour investiguer sur la cause et savoir la résoudre, consulter les logs du webserver.

Using a self-signed certificate or an unknown certification authority

Symptoms: If a self-signed certificate is used for the CAS server, or the CAS server's certification authority is not listed, a security error occurs when establishing the https connection to the CAS server.

Solution: To resolve this error, import the self-signed certificate or root CA into the jvm keystore used by BlueMind.

keytool -import -trustcacerts -alias cas -file cert_racine.crt -keystore /usr/lib/jvm/bm-jdk/lib/security/cacerts
Enter keystore password: changeit

For more information, see http://www.sslshopper.com/article-most-common-java-keytool-keystore-commands.html