Connecteur - CAS - SSO et SLO
- Rafik Djedjig
- Abner Evane
Configurer le connecteur en console
Champs spécifique CAS : coché
Type de CAS : Permet de choisir une enveloppe d'attribut qui sera transmise au service tiers pour qu'il identifie l'utilisateur connecté à l'ENT
Pattern CAS : Définit un modèle d'URL à associer avec un type de réponse (Type de CAS)
URL : URL de service
Logo
Transmettre à l'éditeur les informations connecteur
l'URL de login CAS : https://domaine.ent/cas/login
l'URL de validation de service CAS : https://domaine.ent/cas/serviceValidate ou https://domaine.ent/cas/samlValidate
Demander à l'éditeur les informations
URL de service ( à renseigner dans le champs "URL")
Procédures SSO (Single Sign-On)
1 - Demander au serveur CAS d'authentifier l'utilisateur (/cas/login)
Entrer l'URL de login CAS avec en paramètre "service", l'URL du connecteur qui se conforme aux champs "Pattern CAS" pour récupérer un ticket CAS
https://domaine.ent/cas/login?service=http://duckduckgo.comEn cas de succès le navigateur redirige vers l'URL du connecteur avec en paramètre "ticket" : le ticket CAS à utiliser pour récupérer les attributs utilisateurs
https://duckduckgo.com/?ticket=ST-aec6e039-85ff-47fb-93aa-7d2da8d70716En cas d'erreur (principalement si l'URL du connecteur n'est pas reconnu) le serveur CAS de l'ENT répond :
INVALID_SERVICE2 - Collecter les attributs d'authentification /cas/serviceValidate
Entrer l'URL de "validation de service" CAS avec en paramètre "service" l'URL du connecteur et en paramètre "ticket" le ticket récupérer en 1. Pour récupérer les attributs de l'utilisateur
En cas de succès le serveur CAS de l'ENT répond :
En cas d'erreur le serveur CAS de l'ENT répond avec un code d'erreur et un messsage qui explicite l'erreur
2 bis - Collecter les attributs d'authentification (/cas/samlValidate)
Poster avec un client HTTP (ci-dessous cURL) le ticket dans une enveloppe SAML comme dans l'exemple suivant
En cas de succès le serveur CAS de l'ENT répond :
Procédure de SLO (Single Log Out)
La déconnexion générale de la plateforme via l’appel GET https://domaine.ent/auth/logout déclenche une procédure de SLO CAS. Les opérations suivantes sont déclenchées :
Destruction de session générale de l’utilisateur
Récupération des sessions CAS actives de l’utilisateur (sous forme de ticket CAS)
Destruction des sessions CAS actives de l’utilisateur
Envoie d’un message serveur à serveur sur l’URL de service CAS de chaque ticket CAS)
POST <ServiceTicket.serviceURI>
Le client CAS doit détruire sa session utilisateur en réaction à l’appel POST de la procédure de SLO