CAS 集成

CAS 集成可以通过集成 CAS(CAS2.0/CAS3.0)连接企业 CAS 身份验证服务,实现单点登录。

适用版本

专属版

创建范围外用户

站点管理员可以在站点管理 > 第三方集成中配置和管理 CAS 集成。如果需要创建不在 CAS 中的用户,可以勾选支持内建用户,可以创建同步范围外的用户

image

配置 CAS

步骤一 配置 CAS 连接

为了建立云效 SP(Service Provider,服务提供方)对企业 IdP(Identity Provider,CAS 身份源)的连接,需要配置以下信息:

  • CAS 登录端点

  • CAS 登出端点

  • Service Ticket 验证端点

image

填写完成后,单击下一步

步骤二 账号绑定与属性映射

目前提供 4 种账号识别和绑定方式:

  • 自动绑定邮箱相同的账号:按照同步策略,自动将云效、CAS 中邮箱账号相同的用户绑定在一起。

  • 自动绑定登录账号相同的账号:按照同步策略,自动将云效、CAS 中登录账号相同的用户绑定在一起。

  • 自动绑定手机号相同的账号:按照同步策略,自动将云效、CAS 中手机号相同的用户绑定在一起。

  • 自动绑定工号相同的账号:按照同步策略,自动将云效、CAS 中工号相同的用户绑定在一起。

无论选择哪一种账号识别和绑定方式,均需要保证其对应的属性字段的唯一性和存在性,因为云效将按照选择的方式进行账号的一一匹配,如下图为选择自动绑定邮箱相同的账号的绑定过程:

image

接下来需配置用户属性映射的字段,云效将按照下图中设置的用户属性字段映射关系进行信息映射。

image

步骤三 开启服务

在配置过程中,单点登录的功能默认不开启,开启后,可进行 CAS 单点登录相关配置:

  • 配置登录回调地址:复制下方的登录回调地址,并在 CAS Idp 中配置。

  • 自定义配置:可修改 CAS 显示名称和显示图标,修改后云效系统将按照修改的内容显示 CAS 的信息。

  • 允许开启首次登录时创建云效账号:

    • 默认不勾选:登录时仅允许 CAS 账号与云效账号进行绑定,匹配不到云效账号时,云效不会根据 CAS 账号创建云效账号。

    • 勾选后:允许在 CAS 账号登录云效且 CAS 账号无法匹配到云效账号时,云效创建新的云效账号与之绑定。

image

如果选择不开启单点登录,也可保存配置,后续可以在 CAS 集成详情页面中开启服务。 当完成所有配置后,单击保存配置按钮即可完成 CAS 集成的配置。

通过 CAS 登录云效

开启单点登录后,云效登录页面将会出现 CAS 登录入口,单击 CAS 登录入口,将跳转到 CAS 登录页面,已绑定 CAS 账号的用户可以通过 CAS 账号登录。

退出登录

用户需要在云效退出登录,云效退出登录时,会同时退出 CAS IdP 的登录态。

修改 CAS 配置

在 CAS 集成详情页中,可以看到查看/修改配置入口,单击后即可在抽屉中修改非必填的用户属性映射信息,其他配置信息不允许修改。

关闭单点登录服务

在 CAS 集成详情页中,已经开启单点登录的情况下,可单击修改服务配置,在打开的修改配置的抽屉中可以关闭单点登录服务,关闭单点登录后:

  • 不会解除云效账号与 CAS 账号的绑定关系。

  • 不支持通过 CAS 账号登录云效,用户若需要登录云效,可使用云效的登录账号和密码进行登录。

移除 CAS 集成

在 CAS 集成详情页中,可单击移除集成按钮,二次确认后即可移除 CAS 集成,移除集成后:

  • 解除云效账号和 CAS 账号的绑定关系。

  • 不支持通过 CAS 登录云效,用户若需要登录云效,可使用云效的登录账号和密码进行登录。