CAS 验证提供程序类型
中央认证服务 (CAS) 是最常见的集中式 Web 验证单点登录 (SSO) 协议,适用于组织内部的验证。
SunGardHE Luminis 5 支持 CAS,将 Luminis 简化为 Blackboard 单点登录。
创建 CAS 类型的提供程序时,提供程序设置链接文本和图标会显示在登录页面的使用帐户登录部分。
若要了解如何创建身份验证提供程序,请参阅创建身份验证提供程序。
身份验证提供程序设置
所有验证提供程序均提供可由您自定义的一组常见设置。
名称(必填):键入提供程序名称,以轻松地与其他提供程序区分开来。
描述(可选):键入可轻松地与其他提供程序区分开来的描述,尤其是在创建同一类型的提供程序或在将提供程序映射到特定主机名时。
验证提供程序可用性(活动/非活动):在创建新的提供程序时,使该提供程序一直处于非活动状态,直到配置和测试完成。
用户查找方法 (用户名/Batch Uid):用于选择徽标名称字段映射。如果提供程序的登录名未映射到 Blackboard 用户名,则可以使用数据集成框架或快照将登录名传播到批_Uid字段。
按主机名限制:使用此选项可将提供程序映射到一个或多个主机名。选择将此提供程序用于任何主机名或仅将此提供程序用于指定主机名。
受限主机名:在文本框中键入一个或多个主机名,每行一个主机名。
了解注销选项背后的行为和推理
CAS 注销选项对用户行为的影响方式可能超出了单点登录 (SSO) 的意图。
具体而言,当全局注销设置为否时,需要凭据设置为是。虽然这似乎超出了单点登录的便利性和范围,但出于安全目的,Blackboard CAS 以这种方式实现。
当全局注销设置为关闭时,注销 Blackboard 只会销毁 Blackboard 会话,并为浏览器保留当前已验证用户的有效 CAS 票证。如果用户离开计算机时未关闭浏览器(这表示 CAS 通行证处于活动状态),则使用这台计算机的下一个用户将可以访问最初通过验证的用户帐户。因此,需要凭据通过在重新建立 Blackboard 会话时强制重新进行身份验证,防止未经授权的用户意外访问 Blackboard 帐户。请注意,此设置并不能保护利用 CAS SSO 的其他用户服务,因为 CAS 通行证仍是完整的。
将全局注销设置为开将销毁 Blackboard 会话,并将用户定向到 CAS 注销页面以注销 CAS 服务。这允许配置需要凭据启用预期的单点登录行为,即不必为现有 CAS 票证持有者提供凭据 (需要凭据 = 否) 或强制重新认证登录 Blackboard 以满足机构安全策略 (需要凭据 = 是)。
这些设置提供了一定程度的功能灵活性,同时保护您的 Blackboard 安装免受由于用户对注销过程的误解而导致的潜在和无法追踪的滥用。
配置 CAS 提供程序
提供CAS 服务器 URL 前缀例如,
https://cas.example.edu/cas(可选)设置以下内容:
全局注销作为No。默认值为是。选择否表示用户在注销 Blackboard 后不应重定向到 CAS 服务器的注销页面,例如,
https://cas.example.edu/cas/logout将要求凭证设置为是。默认值为 No。选择是表示 CAS 服务器应始终提示用户输入其用户名和密码,并在 CAS 会话已存在时允许单点登录。如果将全局注销设置为否,则此项设置会自动启用。
选择提交以保存配置。
注意
如果 CAS 服务器使用的是 TLS,则您需要商业签名证书,否则验证可能会失败。