CAS là gì ?
Central Authenticate Service (dịch vụ chứng thực trung tâm) là một dịch vụ đƣợc ủy thác để quản lý việc đăng nhập/đăng xuất của ngƣời dùng. Từ nay, sẽ gọi các dịch vụ CAS là Tầng Xác Thực
Hình 8: Người dùng tru p v o UD khi đ hứng thự với C S server
đƣợc gọi là TGT Cookie (Ticket Granting Cookie) chứa một id duy nhất và thời gian hết hạn. Thời gian hết hạn là 8 giờ.
CAS cung cấp nhiều trình quản lý xác thực (authenticate handler) khác nhau. CAS xác thực nhiều loại thông tin ngƣời dùng nhƣ username/password, X509 Certificate,. ..để xác thực những thông tin ngƣời dùng khác nhau này, CAS sử dụng những trình quản lý xác thực tƣơng ứng.
CAS còn cung cấp tính năng “Remember Me”. Developer có thể cấu hình tính năng này trong nhiều file cấu hình khác nhau và khi ngƣời dùng chọn “Remember me” trên khung đăng nhập, thì thông tin đăng nhập sẽ đƣợc ghi nhớ với thời gian đƣợc cấu hình (mặc định là 3 tháng) và khi ngƣời dùng mở trình duyệt thì CAS sẽ chuyển để service url tƣơng ứng mà không cần hiển thị khung đăng nhập.
Các phiên bản của CAS: CAS 1.0, CAS 2.0, JA-SIG CAS 3.0,..
CAS URIs là CAS thực hiện Single Sign On thông qua những URI và sinh ra những ticket khác nhau. CAS sẽ sử dụng những URI sau: URI - Uniform Resource
Identifier- tạm dịch là định danh tài nguyên. URI dùng để xác định một resource
nào đó trên web :
URI Mô tả
/login Hiển thị khung đăng nhập yêu cầu ngƣời dùng xác
thực
/logout Hủy Single Sign On session và ticket granting cookie
/validate Kiểm tra tính hợp lệ của Service Ticket. Nếu nó
không sử dụng proxy authentication
/serviceValidate Kiểm tra tính hợp lệ của Service Ticket và trả vể một
XML-fragment và sinh ra proxy-granting ticket khi đƣợc yêu cầu
/proxyValidate Thực thi giống nhƣ /serviceValidate và ngoài ra còn
kiểm tra tính hợp của proxy ticket
/services/add.html Một tính năng admin. Thêm những service đến danh sách Registered Services.
/services/edit.html Chỉnh sửa những service đ đăng ký
/services/manage.html Quản lý những service đ đăng ký nhƣ: thêm, xóa,
sửa.
/services/logout.html Đăng xuất từ trang admin service
/services
/deleteRegisteredServic e.html
Xóa service bởi tham số “id” đƣợc cung cấp
ng 1:Mô t thu tính URI
CAS Tickets
Ticket đơn giản là một chuỗi ký tự ngẫu nhiên và bắt đầu với một tiền tố nhƣ
(ST-,TGC-,…) và nó là id duy nhất cho một thao tác nào đó.
Trong quá trình xác thực của CAS, một số ticket đƣợc tạo ra với mục đích lƣu trữ
thông tin và bảo mật. Sau đây là khái niệm một số ticket đƣợc sử dụng trong CAS.
Chứng thực ngƣời dùng với CAS server.
Ngƣời dùng nhập UserId / Password vào khung đăng nhập. Các thông tin này đƣợc truyền cho CAS server thông qua giao thức HTTPS là một giao thức bảo đảm dữ liệu đƣợc m hóa trƣớc truyền đi.
Xác thực thành công, TGC đƣợc sinh ra và thêm vào trình duyệt dƣới hình thức là cookie.TGC này sẽ đƣợc sử dụng để Single Sign On với tất cả các ứng dụng
Truy cập vào ứng dụng.
Ngƣời dùng truy cập vào ứng dụng khi đ chứng thực với CAS server. Ngƣời dùng truy xuất ứng dụng thông qua trình duyệt.
Ứng dụng lấy TGC từ trình duyệt và chuyển nó cho CAS server thông qua giao thức HTTPS.
Nếu TGC này là hợp lệ, CAS server trả về một Service Ticket cho trình duyệt, trình duyệt truyền ST vừa nhận cho ứng dụng.
Ứng dụng sử dụng ST nhận đƣợc từ trình duyệt và sau đó chuyển nó cho CAS server.
CAS server sẽ trả về ID của ngƣời dùng cho ứng dụng, mục đích là để thông báo với ứng dụng ngƣời dùng này đ đƣợc chứng thực bởi CAS server.
Ứng dụng đăng nhập cho ngƣời dùng và bắt đầu phục vụ ngƣời dùng. Ngƣời dùng truy cập vào ứng dụng mà chƣa chứng thực với CAS server. Ngƣời dùng truy xuất ứng dụng thông qua trình duyệt. Vì chƣa nhận đƣợc TGC nên ứng dụng sẽ chuyển hƣớng ngƣời dùng cho CAS server.
Ngƣời dùng cung cấp usename/ Password của mình thông qua khung đăng nhập để CAS xác thực. Thông tin đƣợc truyền đi thông qua giao thức HTTPS.
Xác thực thành công, CAS server sẽ trả về cho trình duyệt đồng thời TGC và ST.
Ứng dụng sẽ giữ lại TGC để sử dụng cho các ứng dụng khác (nếu có) và truyền ST cho ứng dụng.
Ứng dụng chuyển ST cho CAS server và nhận về ID của ngƣời dùng. Ứng dụng đăng nhập cho ngƣời dùng và bắt đầu phục vụ ngƣời dùng.
Hình 9: Người dùng tru p v o UD m hư hứng thự với C S server
Những điểm cần lƣu ý:
- Username dùng để đăng nhập trên tầng xác thực nếu tồn tại trong CSDL của ứng dụng nào thì ứng dụng đó mới công nhận username đó đ đăng nhập trên trang mình. Cho nên các ứng dụng hỗ trợ single sign-on sẽ có cơ chế đề đồng bộ hóa dữ liệu đăng nhập của mình với tầng xác thực. Cụ thể là ở các cổng thông tin sẽ có cơ chế kích hoạt CAS để đồng bộ CSDL từ LDAP ngƣợc lại khi bất kì có sự thay đổi
nào từ LDAP cũng đƣợc đồng bộ vào cổng thông tin.
- Cũng có nhƣợc điểm khi một 1 username/password bị mất cắp thì tất các trang thông tin của ngƣời dùng cũng bị đánh cắp do đ dùng SSO - Khi Server của tầng xác thực bị down, thì ngƣời dùng sẽ không thể đăng nhập vào bất kỳ ứng dụng nào. May thay hầu nhƣ tất cả các cổng thông tin đều có có cơ chế là ngƣời dùng với quyền admin có thể đăng nhập vào CSDL.
- Có nhiều cách để CAS xác thực ngƣời dùng chứ không chỉ có username/password (vd: X509 Certificate,...)
Cơ chế xác thực mà CAS hỗ trợ là: - LDAP - JDBC - RAIDUS - Trusted - X.509 Certificates - Active Directory,….
CHƢƠNG III: GIẢI PHÁP XÂY DỰNG HỆ THỐNG SỬ DỤNG LIFERAY PORTAL
