雷池WAF支持身份认证 - CAS

雷池 WAF 现已支持与 CAS 3.0 (Central Authentication Service) 单点登录协议对接，为雷池保护的应用提供统一、安全的身份认证服务。通过此方式，企业可以利用现有的 CAS 身份管理体系，建立一套覆盖所有应用的单点登录(SSO)解决方案。

雷池 8.5.0 版本对接 CAS ，仅作认证，需使用雷池身份认证功能进行应用授权。官方建议启用统一认证使用此功能。

工作原理

雷池对接 CAS 3.0 协议采用标准的票据验证流程：

1. 用户访问应用时，系统检测到未登录状态，将用户重定向至企业 CAS 服务器
2. 用户在 CAS 界面完成身份验证
3. CAS 服务器生成 Service Ticket 并将用户重定向回应用
4. 雷池通过后台服务验证 Ticket 有效性
5. 验证通过后，接入雷池身份认证用户体系进行应用授权

准备工作

• 功能正常的 CAS 3.0 服务器
• 雷池 WAF 版本大于等于 8.5.0
• 使用雷池商业版授权
• CAS 服务器的访问权限与配置权限
• 雷池超级管理员/系统管理员权限
• 确保部署雷池的服务器能够访问 CAS 服务器（网络连通性）

配置流程

1. CAS 服务器配置

1.1 注册雷池服务

在 CAS 服务管理界面中添加雷池作为服务：

1. 登录 CAS 管理控制台

2. 导航至"服务管理"或"Services Management"

3. 点击"添加服务"或"Add Service"

4. 填写基本信息：

   • 服务名称：Safeline（可自定义，建议使用易识别的名称）
   • 服务 URL：授权回调 URL，需要在应用 URL 后拼接 /.safeline/auth/api/callback/cas，例如：https://a.com/.safeline/auth/api/callback/cas ，如启用统一认证，则在统一认证中心的 URL 后进行拼接即可

1.3 保存并激活服务

完成配置后，保存并确保服务状态为"激活"。

2. 雷池控制台配置

2.1 登录管理员账户

使用超级管理员/系统管理员账户登录雷池控制台。

2.2 进行第三方登录配置

前往雷池控制台 身份认证 -> 配置 页面，点击第三方登录配置，选择 CAS。

填写相关配置字段。

字段	描述
CAS 服务器 URL	您的 CAS 服务器地址（例如：https://cas.example.com）

配置完成后，点击提交按钮完成绑定。

接入使用

1. 应用开启 身份认证 功能后，可自主选择 CAS 登录方式。

2. 当用户访问应用时，会提示认证，新用户认证授权后需要雷池管理员在控制台进行 审核确认。

   • 通过审核的用户即获得此应用授权，后续访问无需审核，认证通过即可成功登录
   • 未通过审核的用户访问应用将会被拦截，无法访问