认证源-CAS协议

概述

CAS（Central Authentication Service）是一种专为 Web 应用设计的单点登录（SSO）协议，由耶鲁大学开发并广泛应用。其核心思想是通过一个独立的 CAS Server 集中管理用户认证，各应用（CAS Client）不再自行维护用户登录状态。

专属集成平台支持作为 CAS Client 对接已有的 CAS Server，实现统一的 Web SSO 体验。平台默认使用 CAS 3.0 协议进行 ticket 校验，确保认证安全性。

序号	条件	说明
1	拥有 CAS Server	已部署 CAS Server 并正常运行，支持 CAS 3.0 协议
2	CAS Server URL	CAS 服务的访问地址，包括登录、校验等标准路径
3	Service URL	专属集成平台作为 CAS Client 的服务地址，即平台访问域名
4	网络可达	专属集成平台能够与 CAS Server 互相通信
5	用户账号	CAS Server 中已存在待登录用户账号，或在平台启用 JIT

添加认证源

登录专属集成平台管理后台。

在左侧导航栏依次点击 用户中心 → 认证源管理。

点击页面右上角的 添加认证源 按钮。

在弹出的选择框中，选择 CAS 协议 类型。

提示：CAS 协议适用于高校、科研机构或企业内网中已部署 CAS Server 的场景，是传统的 SSO 解决方案之一。

配置基本信息

在认证源配置表单中填写以下参数：

参数	必填	说明	示例
认证源名称	是	在登录页显示的认证源名称	`统一认证（CAS）`
CAS Server URL	是	CAS Server 的根地址，平台将自动拼接 `/login`、`/serviceValidate` 等标准路径	`https://cas.example.com/cas`
Service URL	是	专属集成平台自身的回调服务地址	`https://platform.example.com`
认证源图标	否	上传图标文件，支持 PNG/JPG，建议 64×64px	—

重要：CAS Server URL 只需填写至 CAS 上下文路径（如 /cas），无需包含 /login 或 /serviceValidate。Service URL 填写平台自身的访问域名，平台将自动拼接回调路径。

注意：CAS 协议本身不传递用户属性信息。如需获取用户名之外的属性（如邮箱、姓名），CAS Server 需开启 SAML 1.1 验证服务（/samlValidate）或配置返回自定义属性。

配置属性映射

CAS 协议默认仅返回用户名。如 CAS Server 配置了额外的属性返回，可按以下映射关系配置：

CAS 属性	平台字段	必填	说明
`user` 或 `uid`	`username`	是	CAS Server 返回的用户名，映射为平台登录用户名
`email`	`email`	否	用户邮箱（需 CAS Server 额外返回）
`displayName`	`display_name`	否	用户显示名称（需 CAS Server 额外返回）

提示：如果 CAS Server 返回的属性名称采用 XML 命名约定（如驼峰式），请按实际返回的 key 名称填写。不同 CAS 版本的属性名可能不同，建议测试登录后核对返回属性。

完成配置

确认所有参数填写无误。

点击保存按钮。

系统将尝试验证 CAS Server 连通性（请求 /login 页面），验证通过后认证源创建成功。

认证源将出现在列表中，状态为 已启用。

提示：CAS 协议中用户登录的完整生命周期由 CAS Server 管理。平台仅负责接收并校验 CAS Ticket，不会维护用户密码或会话密钥。

Q1：点击 CAS 认证源后跳转到 CAS 登录页，但登录后跳回平台显示"Ticket 校验失败"？

Q2：CAS 登录成功后用户显示名称为空？

Q3：如何实现 CAS 单点登出？

Q4：CAS Server 使用 HTTPS 自签名证书，平台无法连接？