对于已有支持 CAS认证服务器的客户,需要在原有基础上针对外部系统进行接入,从而实现单点登录以及打通企业内部员工基础信息的需求。
背景信息
CAS(Central Authentication Service)协议是一种轻量级的单点登录协议,它可以实现用户一次认证结果在多个应用系统中进行共享,从而实现无缝访问。本文将介绍如何使用CAS协议,与Qucik BI进行登录对接。
应用场景
支持 CAS 标准协议
支持使用配置化的方式对 Quick BI 进行接入
快速开始
1.开启CAS登录
步骤一:使用登录认证超管账号进入超级管理员后台。
若账号无权限登录时,会出现以下界面,提示“无权限禁止访问”。请联系Quick BI运维人员添加权限。
步骤二: 选择登录系统管理->登录全局开关,开启/关闭指定的三方登录方式,保存后立即生效
2.CAS登录对接配置
步骤一:打开登录认证配置页面
在运维中心->登录策略配置或开放平台->登录认证位置打开。两个位置打开的配置效果是一样的,下边以在运维中心打开对应页面为例,页面如下:
步骤二:添加登录策略
若您已配置过登录策略,则跳过步骤二。
每个登录策略都允许配置一套域名/IP拦截策略,用来指定访问指定域名或IP时Quick BI支持的登录方式。
登录策略配置请参见自定义企业登录门户。
步骤三:选中需要开启LDAP登录的策略,并点击编辑
步骤四:在「编辑策略」页面,选择基础设置
步骤五:配置CAS三方登录
在您进行CAS三方登录配置前,若您未开启Quick BI账号,建议开启,原因为:1)防止三方登录设置错误后,无法登录Quick BI;2)自定义账号配置成功且能正常登录后,可根据需要关闭Quick BI账号。
Quick BI账号配置页面如下(相关配置项请参见登录方式及说明-Quick BI账号):
开启CAS登录
在弹出窗口填写CAS的配置信息。
其中,CAS 协议相关的配置项及说明如下:
配置项 | 说明 | 是否必填 | 参考值 |
对接的系统名称 | 对接的系统名称 | 是 | cas认证中心 |
对接的系统图标 | 对接的系统图标,用于在登录项中的显示图标,最大32K | 否 | |
cas认证服务器地址 | cas认证服务器地址 | 是 | http://example.cas.com/cas5 |
cas认证服务器登录地址 | cas登录地址 | 是 | http://example.cas.com/cas5/login |
cas认证服务器登出地址 | cas登出地址 | 是 | http://example.cas.com/cas5/logout |
登录session过期时间(秒) | 登录session过期时间(秒) | 是 | 86400 |
登录cookie过期时间(秒) | 登录cookie过期时间(秒) | 是 | 86400 |
自定义传入的accountId key值 | 自定义传入的accountId key值(选填) | 否 | uid |
自定义传入的账户名 key值 | 自定义传入的账户名 key值(选填) | 否 | accountName |
自定义传入的昵称 key值 | 自定义传入的昵称 key值(选填) | 否 | nick |
自定义传入的手机号 key值 | 自定义传入的手机号 key值(选填) | 否 | phone |
自定义传入的邮箱 key值 | 自定义传入的邮箱 key值(选填) | 否 |
步骤六: 保存并发布策略
保存发布后立即生效,请慎重操作。
推荐新建无痕模式窗口或者打开其他浏览器测试登录配置是否成功,以防退出登录后由于登录配置错误导致无法登录。
3. 登录验证
在您完成CAS登录对接配置后,请访问Quick BI服务地址,并点击CAS登录,进行登录验证。
为了防止其他因素干扰,推荐新建无痕窗口用来测试登录。
需要注意的是所有的无痕窗口共用cookies,通过关闭窗口清空登录态时需要保证所有无痕窗口被关闭。
登录对接成功效果:当您登录后,出现以下页面,则说明已对接成功。 抛错原因是您当前登录的三方账号还未同步到Quick BI组织中,鉴权不通过,此时,您需要进行三方账号同步,请参见独立部署:三方账号同步方案。
4. 登录常见问题
4.1. AE0580800018 权限不足禁止访问,请联系组织管理员添加到具体组织
无组织用户默认无法访问Quick BI,需要先将三方账号添加到Quick BI,请参见独立部署:三方账号同步方案。
协议对接说明
流程图
- 本页导读 (0)