What is a CAS server?

CAS SSO: Enkel login til dine systemer

13/01/2024

Rating: 4.66 (16742 votes)
Indholdsfortegnelse

Hvad er CAS og SSO?

I en verden hvor digitale systemer bliver stadigt mere komplekse, er behovet for en strømlinet og sikker adgang til flere applikationer voksende. Her kommer Central Authentication Service (CAS) ind i billedet. CAS er en protokol, der muliggør Single Sign-On (SSO), hvilket betyder, at brugere kun behøver at logge ind én gang med ét sæt legitimationsoplysninger for at få adgang til en række forskellige applikationer. Dette eliminerer behovet for at huske flere adgangskoder og forenkler brugeroplevelsen markant.

What is a CAS server?
This protocol works in conjunction with the CAS server, which handles all the user connections to your Microsoft Exchange and LDAP servers. You can deploy CAS server into Apache Tomcat or your own Web Help Desk server.

CAS fungerer ved at centralisere autentificeringsprocessen. En dedikeret CAS-server håndterer alle brugerinteraktioner, verificerer legitimationsoplysninger og udsteder digitale billetter eller tokens, der beviser brugerens identitet. Når en bruger forsøger at få adgang til en beskyttet applikation, omdirigeres de til CAS-serveren. Efter en succesfuld login kan brugeren frit tilgå andre applikationer, der er integreret med CAS-systemet, uden at skulle logge ind igen.

Apereo CAS: En Open Source Løsning

Apereo CAS er en førende open source-løsning inden for identitets- og adgangsstyring. Den tilbyder en robust og fleksibel platform til at implementere SSO og andre avancerede autentificeringsmekanismer. Apereo CAS er designet til at være et middleware, der forbinder webapplikationer med forskellige autentificeringskilder, såsom LDAP og Active Directory. Dette gør det muligt at skabe en ensartet og sikker login-oplevelse på tværs af en organisation.

Fordele ved Apereo CAS:

  • Forbedret Sikkerhed: Tilbyder avancerede sikkerhedsfunktioner som sessionsstyring, single logout og multi-faktor autentificering (MFA), herunder passwordless MFA.
  • Brugervenlighed: Forenkler adgangen til applikationer ved at reducere antallet af login-forsøg.
  • Fleksibilitet: Kan integreres med en bred vifte af applikationer og autentificeringskilder.
  • Skalerbarhed: Velegnet til både små specialiserede installationer og store virksomheder.
  • Community-drevet: Som en open source-løsning drager Apereo CAS fordel af et aktivt fællesskab, der bidrager til løbende udvikling og innovation.

Implementering af CAS SSO med CAS 2.0

Implementeringen af CAS 2.0 involverer typisk opsætning af en CAS-server og integration med de applikationer, der skal understøtte SSO. En almindelig metode er at deployere CAS-serveren på en Apache Tomcat server eller en dedikeret Web Help Desk server.

Trin-for-Trin Guide til CAS Server Deployment på Apache Tomcat:

1. Forberedelse og Download af Værktøjer:

Før du påbegynder installationen, skal du bruge et filarkiveringsværktøj. 7-Zip er et populært og gratis open source-valg, der kan downloades fra 7-zip.org.

2. Download CAS Server Filen:

Gå til Apereo CAS GitHub-repository (github.com/apereo/cas/releases). Find og download version v3.5.1. Specifikt skal du downloade filen cas-server-3.5.1-release.zip. Pak indholdet ud til en lokal mappe.

3. Klargøring af WAR-filen:

Naviger ind i den udpakkede cas-server-3.5.1-release mappe og find undermappen modules. Kopier filen cas-server-webapp-3.5.1.war til din lokale arbejdsmappe.

4. Redigering af WAR-filen:

Du skal nu redigere konfigurationsfiler inde i WAR-filen. Dette gøres bedst ved at åbne WAR-filen som et arkiv med 7-Zip.

  • Download og kopier konfigurationsfiler: Download deployerConfigContext.txt og cas.properties.txt fra SolarWinds Documentation website (hypotetisk link til SolarWinds er ikke angivet, men processen er beskrevet). Åbn deployerConfigContext.txt i Notepad, kopier indholdet, og indsæt det i 7-Zip ved at højreklikke på filen deployerConfigContext.xml inde i WEB-INF-mappen i WAR-filen og vælge "Edit".
  • Opdater variabler i deployerConfigContext.xml:
    • LDAP URL: Find linjen ``. Erstat værdien med din LDAP-servers IP-adresse og port. Brug ldaps:// hvis du bruger SSL.
    • LDAP Admin Bruger: Find ``. Erstat med din LDAP-administrators DN (Distinguished Name) eller email-adresse, afhængigt af din konfiguration.
    • LDAP Admin Adgangskode: Find ``. Indtast din LDAP-administrators adgangskode.
    • LDAP Søgefilter og Base: Juster parametrene p:filter og p:searchBase for at matche din LDAP-struktur. Eksempel: p:filter="sAMAccountName=%u" og p:searchBase="DC=yourdomain,DC=com".
  • Opdater variabler i cas.properties.xml: Kopier indholdet af cas.properties.txt og indsæt det i 7-Zip ved at redigere filen cas.properties.xml inde i WAR-filen.
  • Opdater parametre i cas.properties.xml:
    • Server Navn: Find server.name=http://localhost:8080. Erstat med din CAS-servers fulde domænenavn (FQDN) og port, f.eks. http://cas.ditdomaene.dk:8080.
    • Host Navn: Under `# Unique CAS node name`, find host.name=cas01.yourdomain.com. Erstat med et unikt navn for din CAS-node, f.eks. cas01.ditdomaene.dk. Dette bruges til at generere unikke service-ticket ID'er.

Gem og luk filerne i 7-Zip. Lad 7-Zip arkivet være åbent.

5. Tilføjelse af Afhængigheder:

Du skal downloade og tilføje nødvendige JAR-filer til WAR-filen. Disse afhængigheder inkluderer typisk LDAP-support og relaterede biblioteker.

  • Download JAR-filer:
    • cas-server-support-ldap-3.5.2.jar (fra Maven Repository)
    • commons-pool-1.6.jar (fra Maven Repository)
    • ldaptive-1.0.5.jar (fra Maven Repository)
    • spring-ldap-1.3.1.RELEASE-all.jar (downloades og unzippes fra en kilde som java2s.com)
  • Tilføj til Arkivet: Træk alle de downloadede JAR-filer ind i det åbne 7-Zip arkiv for cas-server-webapp-3.5.1.war.
  • Opret ny WAR-fil: Pak filerne ud til en separat mappe. Vælg alle filerne, højreklik, vælg 7-Zip > Tilføj til arkiv. Navngiv det nye arkiv cas.war og gem det.

Luk 7-Zip.

What is Apereo CAS?
Apereo CAS operates as a middleware, bridging web applications and authentication sources. Seamlessly integrating with your existing infrastructure, it establishes a unified authentication point for users across diverse applications. Empower your enterprise with advanced security measures.

6. Deployment på Apache Tomcat:

Placer den nyoprettede cas.war fil i Tomcat's webapps mappe. Tomcat vil automatisk deployere applikationen. Sørg for, at din Tomcat-server kører og er konfigureret korrekt.

Færdiggørelse af CAS Server Deployment:

Konfiguration af Gruppepolicy (GPO) for Internet Explorer:

For at muliggøre problemfri adgang til Web Help Desk uden gentagne logins, kan du konfigurere en Group Policy Object (GPO) i dit Windows-miljø. Denne GPO skal skubbe de relevante Windows login-legitimationsoplysninger til Internet Explorer's indstillinger. Dette sikrer, at browseren automatisk sender godkendelsesoplysninger til CAS-serveren.

Aktivering af SSL på Web Help Desk:

For at sikre kommunikationen mellem klienter og din Web Help Desk-server, bør du aktivere SSL (HTTPS). Dette indebærer typisk:

  • Placer din Web Help Desk-serverens konfigurationsfil (f.eks. whd.conf i <WebHelpDesk>/conf mappen).
  • Find og kommenter HTTPS-port-indstillingen (f.eks. # HTTPS_PORT=443) hvis nødvendigt.
  • Opret eller importer et SSL-certifikat (f.eks. ved hjælp af Porteclé eller et andet PKI-værktøj) og placer det i keystore (f.eks. keystore.jks i /conf mappen).
  • Genstart Web Help Desk-servicen.

Integration med Web Help Desk:

Når CAS-serveren er deployet og SSL er konfigureret, kan du integrere Web Help Desk med CAS 2.0:

  1. Log ind på din Web Help Desk-system.
  2. Naviger til Setup > General > Authentication.
  3. Vælg CAS 2.0 fra rullemenuen for godkendelsesmetode.
  4. Indtast CAS login URL: https://fqdn:port/cas/login (erstat fqdn:port med din CAS-servers adresse).
  5. Indtast CAS validate URL: https://fqdn:port/cas/serviceValidate.
  6. Under "Verification certificate", upload det certifikat, der bruges til at signere CAS-svar (typisk din keystore.jks fil).
  7. Indtast Logout URL: https://fqdn:port/cas/logout.
  8. Klik på Save.

Efter disse trin bør du kunne logge ind på Web Help Desk ved hjælp af CAS 2.0 SSO.

CAS vs. Andre SSO-løsninger

Mens mange SSO-protokoller findes (f.eks. SAML, OAuth, OpenID Connect), tilbyder CAS en unik tilgang, der ofte er lettere at implementere for ældre systemer eller specifikke use-cases. CAS fokuserer primært på browser-baseret SSO og anvender et ticket-baseret system. Apereo CAS er yderligere blevet udvidet til at understøtte andre standarder, hvilket gør det til en meget alsidig løsning.

Tabel: CAS vs. SAML

FunktionCAS (Central Authentication Service)SAML (Security Assertion Markup Language)
Protokol TypeTicket-baseret, proprietær (men standardiseret som CAS 2.0, 3.0)Assertion-baseret, XML-standard
Primært FokusBrowser-baseret SSOWeb SSO, men også B2B og API-sikkerhed
DataformatURL-parametre, JSON, XMLXML
ImplementeringskompleksitetOfte anset for lettere for simple web-SSO scenarierKan være mere kompleks, især med certifikathåndtering
FællesskabStærkt akademisk og open source fællesskab (Apereo)Bredt anvendt i erhvervslivet, mange kommercielle og open source implementeringer

Ofte Stillede Spørgsmål (FAQ)

Hvad er den primære fordel ved SSO?

Den primære fordel er øget brugervenlighed og produktivitet ved at eliminere behovet for at logge ind flere gange på forskellige applikationer.

Er Apereo CAS kun til universiteter?

Nej, selvom CAS har rødder i den akademiske verden, bruges Apereo CAS nu bredt af organisationer i alle sektorer, herunder store virksomheder, offentlige institutioner og mindre virksomheder.

Hvad er forskellen på CAS-server og CAS-klient?

CAS-serveren er den centrale enhed, der håndterer autentificering. CAS-klienten er en komponent eller integration i en applikation, der omdirigerer brugere til CAS-serveren for login og validerer de udstedte billetter.

Hvorfor er det vigtigt at aktivere SSL?

SSL (HTTPS) krypterer kommunikationen mellem brugerens browser og serverne, hvilket beskytter følsomme data som brugernavne og adgangskoder mod opsnapning.

Kan jeg bruge en anden server end Apache Tomcat?

Ja, CAS kan deployeres på andre Java EE-kompatible applikationsservere, såsom Jetty eller JBoss/WildFly, afhængigt af dine infrastrukturkrav.

Konklusion

Implementering af CAS SSO med Apereo CAS og CAS 2.0-protokollen kan markant forbedre både sikkerheden og brugervenligheden i din organisation. Ved at centralisere autentificeringen og reducere antallet af login-processer frigør du tid for brugerne og minimerer risikoen for adgangskodeproblemer. Selvom installationsprocessen kan virke teknisk, giver en grundig forståelse af trinene og konfigurationsmulighederne en robust og skalerbar løsning til moderne identitets- og adgangsstyring.

Hvis du vil læse andre artikler, der ligner CAS SSO: Enkel login til dine systemer, kan du besøge kategorien Teknologi.

Go up