如有疑问,请看视频:CAS单点登录(第7版)_在线视频教程-CSDN程序员研修院
1. 密码管理
1.1. 概述
1.1.1. 密码管理
如果身份验证因密码策略被拒绝而失败,CAS 能够拦截该请求并允许用户就地更新账户密码。CAS 的密码管理功能相当适中,或者,如果功能不足以满足您的策略需求,您始终可以将 CAS 重定向为使用单独的独立应用程序,该应用程序完全负责管理账户密码和相关流。
通过在 WAR 覆盖中包含以下依赖项来启用支持:
Apache Maven
Gradle
BOM - Spring
BOM - Gradle
资源
1 2 3 4 5 6 7 8 9 10 11 12 13 | dependencies { /* The following platform references should be included automatically and are listed here for reference only. implementation enforcedPlatform("org.apereo.cas:cas-server-support-bom:${project.'cas.version'}") implementation platform(org.springframework.boot.gradle.plugin.SpringBootPlugin.BOM_COORDINATES) Including this module in the CAS WAR overlay is optional and unnecessary. This module is automatically included and bundled with the CAS server distribution and there are alternative options baked in to allow one to replace this module with another. The entry below is listed for reference only. */ implementation "org.apereo.cas:cas-server-support-pm-webflow" } |
YAGNI
您无需在配置和 overlay 中显式包含此模块。这只是为了告诉你它存在。
1.1.2. 配置
要了解有关可用通知选项的更多信息,请参阅本指南或本指南。
CAS 配置目录中提供了以下设置和属性:
l 必填
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.pm.core.enabled=false 用于指示是否启用了口令管理工具的标志。 org.apereo.cas.configuration.model.support.pm.PasswordManagementCoreProperties. 如何配置此属性? |
· cas.authn.pm.core.password-policy-pattern=^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[$@$!%*?&])[A-Za-z\d$@$!%*?&]{8,10} 一个 String 值,表示密码策略正则表达式模式。最少 8 个字符,最多 10 个字符,至少 1 个大写字母、1 个小写字母、1 个数字和 1 个特殊字符。 此设置支持正则表达式模式。[?]. org.apereo.cas.configuration.model.support.pm.PasswordManagementCoreProperties. 如何配置此属性? |
显示 1 到 2 的 2 个条目
上一页1下一页
l 自选
下面列出的配置设置在CAS配置元数据中标记为可选。该标志表示在最终用户CAS配置中不立即需要设置的存在,因为分配了默认值或功能的激活不受设置值的条件控制。换句话说,只有在需要修改默认值或需要打开由设置控制的功能时,才应在配置中包含此字段。
显示条目
搜索:
· cas.authn.pm.core.auto-login=false 标记,指示成功更改密码是否应自动触发登录。
如何配置此属性? |
· cas.authn.pm.core.password-policy-character-set=abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789![]{}()%&*$#^<>~@| CAS可以用来生成和建议新密码的字符集。
如何配置此属性? |
· cas.authn.pm.core.password-policy-password-length=10 CAS在建议生成密码时使用的密码长度。
如何配置此属性? |
· cas.authn.pm.history.core.enabled=false 标记以指示是否启用了密码历史跟踪。
如何配置此属性? |
· cas.authn.pm.webflow.enabled=true 是否应启用webflow自动配置。
如何配置此属性? |
Showing 1 to 5 of 6 entries
Previous12Next
· cas.authn.pm.webflow.order=0 配置Web流的顺序。
如何配置此属性? |
Showing 6 to 6 of 6 entries
Previous12Next
l 密码策略
Show entries
Search:
· cas.authn.pm.core.password-policy-character-set=abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789![]{}()%&*$#^<>~@| CAS可以用来生成和建议新密码的字符集。
如何配置此属性? |
· cas.authn.pm.core.password-policy-password-length=10 CAS在建议生成密码时使用的密码长度。
如何配置此属性? |
· cas.authn.pm.core.password-policy-pattern=^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[$@$!%*?&])[A-Za-z\d$@$!%*?&]{8,10} 一个表示密码策略正则表达式模式的字符串值。最少8个字符,最多10个字符,至少1个大写字母、1个小写字母、1位数字和1个特殊字符。 此设置支持正则表达式模式。 [?].
如何配置此属性? |
Showing 1 to 3 of 3 entries
Previous1Next
l 笔记
1.1.3. 密码重置
有关更多详细信息,请参阅本指南。
1.1.4. 账户管理
CAS 还可能允许个人最终用户在迷你门户中更新其帐户中与密码管理相关的某些方面,例如重置密码或更新安全问题等。有关更多详细信息,请参阅本指南。
1.1.5. 忘记用户名
要了解更多信息,请参阅本指南。
1.1.6. 密码历史记录
要了解更多信息,请参阅本指南。
1.1.7. 存储
可以通过以下方式找到用户帐户。
存储 | 指示 |
JSON 格式 | 请参阅本指南。 |
Groovy | 请参阅本指南。 |
LDAP 协议 | 请参阅本指南。 |
JDBC | 请参阅本指南。 |
REST | 请参阅本指南。 |
自定义 | 请参阅本指南。 |
1.2. 密码重置
1.2.1. 密码管理 - 密码重置
CAS 可能允许用户自愿重置其密码。忘记帐户密码的用户可能会在其注册的电子邮件地址和/或电话上收到一个带有基于时间的过期策略的安全链接。该链接将允许用户提供他/她预定义的安全问题的答案,如果成功完成,将允许用户下次重置其密码并再次登录。您还可以为接受的密码指定模式。
默认情况下,用户成功更改密码后,他们将被重定向到登录屏幕以输入新密码并登录。CAS 还可以配置为在成功更改后自动将用户登录。可以通过 CAS 设置来更改此行为。
CAS 登录请求还接受一个特殊的 doChangePassword 查询参数,该参数允许强制启动密码重置流程。当已登录的用户想要更改其密码时,在存在现有 Single Sign-On 会话时,将此参数指定为 true 可能特别有用。
1.2.2. 配置
CAS 配置目录中提供了以下设置和属性:
l 必填
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.pm.reset.crypto.encryption.key= 加密密钥是一个 JWT,其长度由加密密钥大小设置定义。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.core.util.EncryptionJwtCryptoProperties. 如何配置此属性? |
· cas.authn.pm.reset.crypto.signing.key= 签名密钥是一个 JWT,其长度由签名密钥大小设置定义。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.core.util.SigningJwtCryptoProperties. 如何配置此属性? |
· cas.authn.pm.reset.mail.attribute-name= 指示此邮件的目标电子邮件地址的主体属性名称。这些属性必须已解析并可供 CAS 主体使用。当指定了多个属性时,将根据可用的 CAS 主体检查每个属性,以查找电子邮件地址值,这可能会导致发送多封电子邮件。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.email.EmailProperties. 如何配置此属性? |
· cas.authn.pm.reset.mail.from= 电子邮件发件人地址。 org.apereo.cas.configuration.model.support.email.EmailProperties. 如何配置此属性? |
· cas.authn.pm.reset.mail.subject= 主题可以定义为 verbaitm,也可以使用语法 #{subject-language-key} 指向语言包中的消息键。此键应指向在相应语言包中定义的有效消息,然后通过活动区域设置选取该消息。如果语言代码无法解析实际主题,则将使用默认主题值。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.email.EmailProperties. 如何配置此属性? |
显示 1 到 5 的 8 个条目
上一页12下一页
· cas.authn.pm.google-recaptcha.enabled=true Whether reCAPTCHA should be enabled. org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. How can I configure this property? |
· cas.authn.pm.google-recaptcha.score=0.5 Google reCAPTCHA v3 returns a score (1.0 is very likely a good interaction, 0.0 is very likely a bot). reCAPTCHA learns by seeing real traffic on your site. For this reason, scores in a staging environment or soon after implementing may differ from production. As reCAPTCHA v3 doesn't ever interrupt the user flow, you can first run reCAPTCHA without taking action and then decide on thresholds by looking at your traffic in the admin console. By default, you can use a threshold of 0.5. org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. How can I configure this property? |
· cas.authn.pm.google-recaptcha.secret= The reCAPTCHA site secret. org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. How can I configure this property? |
· cas.authn.pm.google-recaptcha.site-key= The reCAPTCHA site key. This setting supports the Spring Expression Language. org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. How can I configure this property? |
Showing 1 to 4 of 4 entries
Previous1Next
l 自选
· cas.authn.pm.reset.crypto.alg= The signing/encryption algorithm to use. org.apereo.cas.configuration.model.core.util.EncryptionJwtSigningJwtCryptographyProperties. How can I configure this property? |
· cas.authn.pm.reset.crypto.enabled=true Whether crypto operations are enabled. org.apereo.cas.configuration.model.core.util.EncryptionJwtSigningJwtCryptographyProperties. How can I configure this property? |
· cas.authn.pm.reset.crypto.encryption.key-size=512 The encryption key size. org.apereo.cas.configuration.model.core.util.EncryptionJwtCryptoProperties. How can I configure this property? |
· cas.authn.pm.reset.crypto.signing.key-size=512 The signing key size. org.apereo.cas.configuration.model.core.util.SigningJwtCryptoProperties. How can I configure this property? |
· cas.authn.pm.reset.crypto.strategy-type=ENCRYPT_AND_SIGN Control the cipher sequence of operations. The accepted values are: ENCRYPT_AND_SIGN: Encrypt the value first, and then sign. SIGN_AND_ENCRYPT: Sign the value first, and then encrypt. org.apereo.cas.configuration.model.core.util.EncryptionJwtSigningJwtCryptographyProperties. How can I configure this property? |
Showing 1 to 5 of 18 entries
Previous1234Next
· cas.authn.pm.reset.expiration=PT1M How long in minutes should the password expiration link remain valid. This settings supports the java.time.Duration syntax [?]. org.apereo.cas.configuration.model.support.pm.ResetPasswordManagementProperties. How can I configure this property? |
· cas.authn.pm.reset.include-client-ip-address=true Whether the Password Management Token will contain the client IP Address. org.apereo.cas.configuration.model.support.pm.ResetPasswordManagementProperties. How can I configure this property? |
· cas.authn.pm.reset.include-server-ip-address=true Whether the Password Management Token will contain the server IP Address. org.apereo.cas.configuration.model.support.pm.ResetPasswordManagementProperties. How can I configure this property? |
· cas.authn.pm.reset.mail.bcc= Email BCC address, if any. org.apereo.cas.configuration.model.support.email.EmailProperties. How can I configure this property? |
· cas.authn.pm.reset.mail.cc= Email CC address, if any. org.apereo.cas.configuration.model.support.email.EmailProperties. How can I configure this property? |
Showing 6 to 10 of 18 entries
Previous1234Next
· cas.authn.pm.reset.mail.html=false Indicate whether the message body should be evaluated as HTML text. The application of this setting depends on the email provider implementation and may not be fully supported everywhere. This is typically relevant for the default org.springframework.mail.javamail.JavaMailSender. org.apereo.cas.configuration.model.support.email.EmailProperties. How can I configure this property? |
· cas.authn.pm.reset.mail.priority=1 Set the priority (X-Priority header) of the message. Values: 1 (Highest), 2 (High), 3 (Normal), 4 (Low), 5 (Lowest). The application of this setting depends on the email provider implementation and may not be fully supported everywhere. This is typically relevant for the default org.springframework.mail.javamail.JavaMailSender. org.apereo.cas.configuration.model.support.email.EmailProperties. How can I configure this property? |
· cas.authn.pm.reset.mail.reply-to= Email Reply-To address, if any. org.apereo.cas.configuration.model.support.email.EmailProperties. How can I configure this property? |
· cas.authn.pm.reset.mail.text= 电子邮件正文。可以是纯文本,也可以是对用作模板的外部文件的引用。 如果指定为扩展名为.gtemplate的外部文件的路径,则将使用Groovy模板引擎处理电子邮件正文。模板引擎使用JSP风格的<%%>脚本和<%=%>表达式语法或GString风格的表达式。变量out绑定到模板要写入的写入器。 如果使用纯文本,则使用命名变量处理字符串字幕候选的内容。例如,您可以通过${url}在电子邮件文本中引用预期的url变量,或者使用${token}定位token变量。在某些情况下,会向电子邮件正文处理器传递其他参数,其中可能包括身份验证和/或主体属性、可用区域设置、客户端http信息等。
如何配置此属性? |
· cas.authn.pm.reset.mail.validate-addresses=false Set whether to validate all addresses which get passed to this helper. The application of this setting depends on the email provider implementation and may not be fully supported everywhere. This is typically relevant for the default org.springframework.mail.javamail.JavaMailSender. org.apereo.cas.configuration.model.support.email.EmailProperties. How can I configure this property? |
Showing 11 to 15 of 18 entries
Previous1234Next
· cas.authn.pm.reset.multifactor-authentication-enabled=true Controls whether password reset operations must activate and support a multifactor authentication flow based on the set of available MFA providers that are configured and active, before reset instructions can be shared and sent. org.apereo.cas.configuration.model.support.pm.ResetPasswordManagementProperties. How can I configure this property? |
· cas.authn.pm.reset.number-of-uses=-1 How many times you can use the password reset link. Stricly lower than 1 means infinite. org.apereo.cas.configuration.model.support.pm.ResetPasswordManagementProperties. How can I configure this property? |
· cas.authn.pm.reset.security-questions-enabled=true 重置操作是否需要安全问题,或者是否应将其标记为可选。
如何配置此属性? |
Showing 16 to 18 of 18 entries
Previous1234Next
l 签名和加密
· cas.authn.pm.reset.crypto.strategy-type=ENCRYPT_AND_SIGN Control the cipher sequence of operations. The accepted values are: ENCRYPT_AND_SIGN: Encrypt the value first, and then sign. SIGN_AND_ENCRYPT: Sign the value first, and then encrypt. org.apereo.cas.configuration.model.core.util.EncryptionJwtSigningJwtCryptographyProperties. How can I configure this property? |
· cas.authn.pm.reset.crypto.signing.key= The signing key is a JWT whose length is defined by the signing key size setting. This setting supports the Spring Expression Language. org.apereo.cas.configuration.model.core.util.SigningJwtCryptoProperties. How can I configure this property? |
· cas.authn.pm.reset.crypto.signing.key-size=512 The signing key size. org.apereo.cas.configuration.model.core.util.SigningJwtCryptoProperties. How can I configure this property? |
· cas.authn.pm.reset.crypto.encryption.key= The encryption key is a JWT whose length is defined by the encryption key size setting. This setting supports the Spring Expression Language. org.apereo.cas.configuration.model.core.util.EncryptionJwtCryptoProperties. How can I configure this property? |
· cas.authn.pm.reset.crypto.encryption.key-size=512 The encryption key size. org.apereo.cas.configuration.model.core.util.EncryptionJwtCryptoProperties. How can I configure this property? |
Showing 1 to 5 of 7 entries
Previous12Next
· cas.authn.pm.reset.crypto.enabled=true Whether crypto operations are enabled. org.apereo.cas.configuration.model.core.util.EncryptionJwtSigningJwtCryptographyProperties. How can I configure this property? |
· cas.authn.pm.reset.crypto.alg= The signing/encryption algorithm to use. org.apereo.cas.configuration.model.core.util.EncryptionJwtSigningJwtCryptographyProperties. How can I configure this property? |
Showing 6 to 7 of 7 entries
Previous12Next
l 电子邮件服务器
· spring.mail.default-encoding=UTF-8 默认MimeMessage编码。 如何配置此属性? |
· spring.mail.host= SMTP服务器主机。例如,“smtp.example.com”。 如何配置此属性? |
· spring.mail.jndi-name= Session JNDI name. When set, takes precedence over other Session settings. How can I configure this property? |
· spring.mail.password= SMTP服务器的登录密码。 如何配置此属性? |
· spring.mail.port= SMTP服务器端口。 如何配置此属性? |
Showing 1 to 5 of 9 entries
Previous12Next
· spring.mail.properties= 其他JavaMail会话属性。 如何配置此属性? |
· spring.mail.protocol=smtp SMTP服务器使用的协议。 如何配置此属性? |
· spring.mail.test-connection=false 是否在启动时测试邮件服务器是否可用。 如何配置此属性? |
· spring.mail.username= SMTP服务器的登录用户。 如何配置此属性? |
Showing 6 to 9 of 9 entries
Previous12Next
l 笔记
要了解有关可用通知选项的更多信息,请参阅本指南或本指南。
1.2.2.1. reCAPTCHA 集成
密码重置尝试可以受到保护并与 Google reCAPTCHA 集成。这需要为基本集成提供 reCAPTCHA 设置,并指示密码管理流程通过 reCAPTCHA 打开和验证请求。
CAS 配置目录中提供了以下设置和属性:
必填
自选
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.pm.google-recaptcha.enabled=true 是否应启用 reCAPTCHA。 org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. 如何配置此属性? |
· cas.authn.pm.google-recaptcha.score=0.5 Google reCAPTCHA v3 返回一个分数(1.0 很可能是良好的交互,0.0 很可能是机器人)。reCAPTCHA 通过查看您网站上的真实流量来学习。因此,暂存环境中或实施后不久的分数可能与生产环境不同。由于 reCAPTCHA v3 永远不会中断用户流程,因此您可以先运行 reCAPTCHA 而不执行任何操作,然后通过在 Admin Console 中查看流量来决定阈值。默认情况下,您可以使用阈值 0.5。 org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. 如何配置此属性? |
· cas.authn.pm.google-recaptcha.secret= reCAPTCHA 站点密钥。 org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. 如何配置此属性? |
· cas.authn.pm.google-recaptcha.site-key= reCAPTCHA 站点密钥。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. 如何配置此属性? |
显示 1 到 4 的 4 个条目
上一页1下一页
1.2.3. 执行器端点
CAS 提供以下端点:
POST | /cas/actuator/passwordManagement/reset/{username} |
启动密码重置操作并通知用户。
1.3. 密码同步
1.3.1. 密码同步
CAS 提供了在身份验证事件中同步和更新各种目标中的帐户密码的功能。如果身份验证尝试成功,CAS 将尝试捕获提供的密码并更新在 CAS 设置中指定的目标。未能同步帐户密码通常会在日志中产生错误,并且该事件不被视为灾难性故障。
1.3.2. LDAP 协议
将帐户密码与一个或多个 LDAP 服务器同步。通过在 WAR 覆盖中包含以下依赖项来启用支持:
Apache Maven
Gradle
BOM - Spring
BOM - Gradle
资源
1 2 3 4 5 6 7 8 9 10 | dependencies { /* The following platform references should be included automatically and are listed here for reference only. implementation enforcedPlatform("org.apereo.cas:cas-server-support-bom:${project.'cas.version'}") implementation platform(org.springframework.boot.gradle.plugin.SpringBootPlugin.BOM_COORDINATES) */ implementation "org.apereo.cas:cas-server-support-ldap" } |
CAS 配置目录中提供了以下设置和属性:
必填
自选
LDAP & Active Directory
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.password-sync.ldap[0].base-dn= 要使用的基本 DN。在某些情况下,单个 LDAP 树的不同部分可能被视为 base-dns。可以使用特殊的分隔符指定每个条目并将其连接在一起,而不是为每个单独的 base-dn 复制 LDAP 配置块。用户 DN 按定义的顺序使用所有 base-dn 和 DNresolver 的组合进行检索。如果找到多个 DN,则 DN 解析应失败。否则,将返回找到的第一个 DN。通常的语法是:subtreeA,dc=example,dc=net|subtreeC,dc=example,dc=net。 org.apereo.cas.configuration.model.core.authentication.passwordsync.LdapPasswordSynchronizationProperties. 如何配置此属性? |
· cas.authn.password-sync.ldap[0].bind-credential= 连接到 LDAP 时要使用的绑定凭证。 org.apereo.cas.configuration.model.core.authentication.passwordsync.LdapPasswordSynchronizationProperties. 如何配置此属性? |
· cas.authn.password-sync.ldap[0].bind-dn= 连接到 LDAP 时要使用的绑定 DN。注入 LDAP 连接池的 LDAP 连接配置可以使用以下参数进行初始化: bindDn/bindCredential provided - 在初始化连接时使用提供的凭证进行绑定。 bindDn/bindCredential 设置为 * - 使用快速绑定策略初始化池。 bindDn/bindCredential 设置为空白 - 跳过连接初始化;匿名执行操作。 提供的 SASL 机制 - 初始化连接时使用给定的 SASL 机制进行绑定。 org.apereo.cas.configuration.model.core.authentication.passwordsync.LdapPasswordSynchronizationProperties. 如何配置此属性? |
· cas.authn.password-sync.ldap[0].ldap-url= 服务器的 LDAP URL。可以指定多个,用空格和/或逗号分隔。 org.apereo.cas.configuration.model.core.authentication.passwordsync.LdapPasswordSynchronizationProperties. 如何配置此属性? |
· cas.authn.password-sync.ldap[0].password-attribute=unicodePwd 应保存密码的 LDAP 属性的名称。 org.apereo.cas.configuration.model.core.authentication.passwordsync.LdapPasswordSynchronizationProperties. 如何配置此属性? |
显示 1 到 5 的 6 个条目
上一页12下一页
1.4. 密码历史记录
1.4.1. 密码历史记录 - 密码管理
CAS允许跟踪和存储回收密码的策略。回收的密码保存在用户帐户的存储中,并在密码更新时检查其有效性。
以下设置和属性可从CAS配置曲库获得:
可选
笔记
下面列出的配置设置在CAS配置元数据中被标记为可选。该标志表示在最终用户CAS配置中不需要立即存在该设置,因为分配了默认值或功能的激活不受设置值的有条件控制。换句话说,如果您需要修改默认值或如果您需要打开由设置控制的功能,您应该只在您的配置中包含此字段。
Show entries
搜索:
· cas.authn.pm.history.core.enabled=false 指示是否启用密码历史跟踪的标志。 org.apereo.cas.configuration.model.support.pm.PasswordHistoryCoreProperties. 如何配置此属性? |
显示1到1个条目中的1个
上一个1下一个
启用密码历史记录功能后,可以通过 Groovy 或内存中后端在历史记录中跟踪密码。特定存储选项也可能提供自己的密码历史记录支持。
Groovy
自定义
一旦启用密码历史记录跟踪,就可以将其移交给外部 Groovy 脚本,如下所示:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 | def exists(Object[] args) { def (request,logger) = args return false} def store(Object[] args) { def (request,logger) = args return true} def fetchAll(Object[] args) { def (logger) = args return []} def fetch(Object[] args) { def (username,logger) = args return []} def remove(Object[] args) { def (username,logger) = args} def removeAll(Object[] args) { def (logger) = args} |
request 参数封装了一个 PasswordChangeRequest 对象,带有 username 和 password 字段。
CAS 配置目录中提供了以下设置和属性:
必填
Groovy 脚本
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.pm.history.groovy.location= 在 CAS 能够自动监视底层资源的更改并动态检测更新和修改的情况和场景中,您可以将以下设置指定为环境变量或系统属性,其值为 false,以禁用资源观察程序: org.apereo.cas.configuration.model.SpringResourceProperties. 如何配置此属性? |
显示 1 到 1 的 1 个条目
上一页1下一页
要准备 CAS 以支持 Apache Groovy 并与之集成,请查看本指南。
1.5. 忘记用户名
1.5.1. 忘记用户名 - 密码管理
CAS 提供了检索忘记的用户名的功能。此行为与密码管理功能紧密集成,其中允许每个帐户存储服务使用用户的 suppliedidentifier(通常是电子邮件地址)检索用户记录,并通过电子邮件通知等提供用户名。
CAS 配置目录中提供了以下设置和属性:
l 必填
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.pm.forgot-username.google-recaptcha.enabled=true 是否应启用 reCAPTCHA。 org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. 如何配置此属性? |
· cas.authn.pm.forgot-username.google-recaptcha.score=0.5 Google reCAPTCHA v3 返回一个分数(1.0 很可能是良好的交互,0.0 很可能是机器人)。reCAPTCHA 通过查看您网站上的真实流量来学习。因此,暂存环境中或实施后不久的分数可能与生产环境不同。由于 reCAPTCHA v3 永远不会中断用户流程,因此您可以先运行 reCAPTCHA 而不执行任何操作,然后通过在 Admin Console 中查看流量来决定阈值。默认情况下,您可以使用阈值 0.5。 org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. 如何配置此属性? |
· cas.authn.pm.forgot-username.google-recaptcha.secret= reCAPTCHA 站点密钥。 org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. 如何配置此属性? |
· cas.authn.pm.forgot-username.google-recaptcha.site-key= reCAPTCHA 站点密钥。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. 如何配置此属性? |
· cas.authn.pm.forgot-username.mail.attribute-name= 指示此邮件的目标电子邮件地址的主体属性名称。这些属性必须已解析并可供 CAS 主体使用。当指定了多个属性时,将根据可用的 CAS 主体检查每个属性,以查找电子邮件地址值,这可能会导致发送多封电子邮件。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.email.EmailProperties. 如何配置此属性? |
显示 1 到 5 的 7 个条目
上一页12下一页
· cas.authn.pm.forgot-username.mail.from= 来自地址的电子邮件。
如何配置此属性? |
· cas.authn.pm.forgot-username.mail.subject= 电子邮件主题行。 主题可以定义为verbaitm,也可以使用语法#{subject-language key}指向语言包中的消息键。此键应指向在相应语言包中定义的有效消息,然后通过活动区域设置获取该消息。如果语言代码无法解析真实主题,则将使用默认主题值。 此设置支持Spring表达式语言。
如何配置此属性? |
Showing 6 to 7 of 7 entries
Previous12Next
l 自选
· cas.authn.pm.forgot-username.enabled=true 是否应启用忘记/重置用户名功能。
如何配置此属性? |
· cas.authn.pm.forgot-username.google-recaptcha.activate-for-ip-address-pattern= A regular expression pattern to indicate that captcha should be activated when the remote IP address matches this pattern, and otherwise skipped and disabled. This settings supports regular expression patterns. [?]. org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. How can I configure this property? |
· cas.authn.pm.forgot-username.google-recaptcha.headers= Headers, defined as a Map, to include in the request when making the verification call to the recaptcha API. org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. How can I configure this property? |
· cas.authn.pm.forgot-username.google-recaptcha.invisible=false Whether google reCAPTCHA invisible should be enabled. org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. How can I configure this property? |
· cas.authn.pm.forgot-username.google-recaptcha.position=bottomright The google reCAPTCHA badge position (only if invisible is enabled). Accepted values are: bottomright: bottom right corner, default value. bottomleft: bottom left corner inline: allows to control the CSS. org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. How can I configure this property? |
Showing 1 to 5 of 14 entries
Previous123Next
· cas.authn.pm.forgot-username.google-recaptcha.verify-url=https://www.google.com/recaptcha/api/siteverify The reCAPTCHA endpoint for verification of the reCAPTCHA response. The endpoint is specific to the reCAPTCHA provider: For Google reCAPTCHA, the endpoint is https://www.google.com/recaptcha/api/siteverify. For hCaptcha, the endpoint is https://hcaptcha.com/siteverify. For Turnstile, the endpoint is https://challenges.cloudflare.com/turnstile/v0/siteverify. org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. How can I configure this property? |
· cas.authn.pm.forgot-username.google-recaptcha.version=GOOGLE_RECAPTCHA_V2 Indicate the version of the recaptcha api. Available values are as follows: GOOGLE_RECAPTCHA_V2: V2 version of the recaptcha API. GOOGLE_RECAPTCHA_V3: V3 version of the recaptcha API. HCAPTCHA: hCaptcha is an alternative to reCAPTCHA that requires website visitors to label images as part of its business model. The provider is more focused on manual image recognition challenges. It is a image classification task based CAPTCHA provider employing visual challenges like identifying objects. TURNSTILE: Offers a CAPTCHA alternative by Cloudflare that prioritizes user experience and privacy. Turnstile delivers frustration-free, CAPTCHA-free web experiences to website visitors - with just a simple snippet of free code. Moreover, Turnstile stops abuse and confirms visitors are real without the data privacy concerns or awful user experience of CAPTCHAs. org.apereo.cas.configuration.model.support.captcha.GoogleRecaptchaProperties. How can I configure this property? |
· cas.authn.pm.forgot-username.mail.bcc= Email BCC address, if any. org.apereo.cas.configuration.model.support.email.EmailProperties. How can I configure this property? |
· cas.authn.pm.forgot-username.mail.cc= Email CC address, if any. org.apereo.cas.configuration.model.support.email.EmailProperties. How can I configure this property? |
· cas.authn.pm.forgot-username.mail.html=false Indicate whether the message body should be evaluated as HTML text. The application of this setting depends on the email provider implementation and may not be fully supported everywhere. This is typically relevant for the default org.springframework.mail.javamail.JavaMailSender. org.apereo.cas.configuration.model.support.email.EmailProperties. How can I configure this property? |
Showing 6 to 10 of 14 entries
Previous123Next
· cas.authn.pm.forgot-username.mail.priority=1 Set the priority (X-Priority header) of the message. Values: 1 (Highest), 2 (High), 3 (Normal), 4 (Low), 5 (Lowest). The application of this setting depends on the email provider implementation and may not be fully supported everywhere. This is typically relevant for the default org.springframework.mail.javamail.JavaMailSender. org.apereo.cas.configuration.model.support.email.EmailProperties. How can I configure this property? |
· cas.authn.pm.forgot-username.mail.reply-to= Email Reply-To address, if any. org.apereo.cas.configuration.model.support.email.EmailProperties. How can I configure this property? |
· cas.authn.pm.forgot-username.mail.text= 电子邮件正文。可以是纯文本,也可以是对用作模板的外部文件的引用。 如果指定为扩展名为.gtemplate的外部文件的路径,则将使用Groovy模板引擎处理电子邮件正文。模板引擎使用JSP风格的<%%>脚本和<%=%>表达式语法或GString风格的表达式。变量out绑定到模板要写入的写入器。 如果使用纯文本,则使用命名变量处理字符串字幕候选的内容。例如,您可以通过${url}在电子邮件文本中引用预期的url变量,或者使用${token}定位token变量。在某些情况下,会向电子邮件正文处理器传递其他参数,其中可能包括身份验证和/或主体属性、可用区域设置、客户端http信息等。
如何配置此属性? |
· cas.authn.pm.forgot-username.mail.validate-addresses=false Set whether to validate all addresses which get passed to this helper. The application of this setting depends on the email provider implementation and may not be fully supported everywhere. This is typically relevant for the default org.springframework.mail.javamail.JavaMailSender. org.apereo.cas.configuration.model.support.email.EmailProperties. How can I configure this property? |
Showing 11 to 14 of 14 entries
Previous123Next
l 电子邮件服务器
· spring.mail.username= SMTP服务器的登录用户。 如何配置此属性? |
· spring.mail.test-connection=false 是否在启动时测试邮件服务器是否可用。 如何配置此属性? |
· spring.mail.protocol=smtp SMTP服务器使用的协议。 如何配置此属性? |
· spring.mail.properties= Additional JavaMail Session properties. How can I configure this property? |
· spring.mail.port= SMTP服务器端口。 如何配置此属性? |
Showing 1 to 5 of 9 entries
Previous12Next
· spring.mail.password= SMTP服务器的登录密码。 如何配置此属性? |
· spring.mail.jndi-name= Session JNDI name. When set, takes precedence over other Session settings. How can I configure this property? |
· spring.mail.host= SMTP服务器主机。例如,“smtp.example.com”。 如何配置此属性? |
· spring.mail.default-encoding=UTF-8 默认MimeMessage编码。 如何配置此属性? |
Showing 6 to 9 of 9 entries
Previous12Next
l 笔记
1.6. 账户解锁
1.6.1. 账户解锁 - 密码管理
如果身份验证源已确定帐户状态为锁定或禁用,则 CAS 中的密码管理工具能够自动拦截该流,并允许用户解锁和启用其帐户。帐户解锁流程相当简单和适度,并提供了一种类似 reCAPTCHA 的解锁机制。此流程中的其他修改和步骤将需要进一步的自定义。帐户的解锁最终会传递到帐户存储服务上,并取决于存储服务(JSON、LDAP 等)是否支持此功能。
1.7. 账户概况
1.7.1. 帐户 (配置文件) 管理
CAS 中的帐户(配置文件)管理允许经过身份验证的最终用户在类似迷你门户的环境中浏览和/或更新其帐户的某些方面。此门户允许的典型操作可能包括重置密码或更新安全问题、浏览登录活动、注册设备以进行多因素身份验证等。
记得
如果您正在寻找允许最终用户注册、注册和创建帐户的方法,您应该查看帐户注册功能。
功能激活
要激活此功能,必须打开以下功能开关:
1 | CasFeatureModule.AccountManagement.enabled=true |
要了解有关配置功能切换的更多信息,请参阅此页面。
1.7.2. 密码管理
要允许最终用户自愿重置其密码和/或更新其安全问题,必须按照此处指定的说明在 CAS 中启用密码管理功能。
1.7.3. 审核日志活动
默认情况下,帐户管理仪表板允许您检查他们过去 60 天的登录活动。此信息是从 CAS 审计日志中为经过身份验证的用户获取的,必须将其配置为在专用存储服务(如关系数据库等)中记录可审计的登录活动。
1.7.4. 多因素注册设备
如果在 CAS 中打开了多因素身份验证,则某些多重提供程序可能能够为经过身份验证的用户提供已注册的 MFA 设备列表。Multifactor 提供商还允许用户向 CAS 注册其设备并选择加入注册工作流程。
此功能取决于提供商以及它是否能够支持 Account Profile Management 功能。支持以下提供程序:
Duo 安全
谷歌身份验证器
FIDO2 WebAuthn
1.8. 账户管理
1.8.1. JSON
1.8.1.1. 密码管理 - JSON
帐户和密码可以存储在静态适度的 JSON 资源中,其位置通过设置教给 CAS。此选项在开发、测试和演示期间最有用,不适合用于生产。
JSON 文件的轮廓可能与以下内容匹配:
1 2 3 4 5 6 7 8 9 10 11 12 | { "casuser" : { "email" : "casuser@example.org", "password" : "p@ssw0rd", "phone" : "1234567890", "status": "OK", "securityQuestions" : { "question1" : "answer1", "question2" : "answer2" } } } |
CAS 配置目录中提供了以下设置和属性:
必填
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.pm.json.location= 在 CAS 能够自动监视底层资源的更改并动态检测更新和修改的情况和场景中,您可以将以下设置指定为环境变量或系统属性,其值为 false,以禁用资源观察程序: org.apereo.cas.configuration.model.support.pm.JsonPasswordManagementProperties. 如何配置此属性? |
显示 1 到 1 的 1 个条目
上一页1下一页
1.8.2. Groovy
1.8.2.1. 密码管理 - Groovy
帐户和密码可以使用自定义的 Groovy 脚本来确定和处理。脚本的轮廓可能符合以下内容:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 | import org.apereo.cas.pm.* def change(Object[] args) { def (passwordChangeBean,logger) = args return true} def findEmail(Object[] args) { def (passwordMgmtQuery,logger) = args return "cas@example.org"} def findPhone(Object[] args) { def (passwordMgmtQuery,logger) = args return "1234567890"} def findUsername(Object[] args) { def (passwordMgmtQuery,logger) = args return "casuser"} def getSecurityQuestions(Object[] args) { def (passwordMgmtQuery,logger) = args return [securityQuestion1: "securityAnswer1"]} def updateSecurityQuestions(Object[] args) { def (passwordMgmtQuery,logger) = args // Execute update...} def unlockAccount(Object[] args) { def (credential,logger) = args // Execute unlock... return true} |
CAS 配置目录中提供了以下设置和属性:
必填
Groovy 脚本
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.pm.groovy.location= 在 CAS 能够自动监视底层资源的更改并动态检测更新和修改的情况和场景中,您可以将以下设置指定为环境变量或系统属性,其值为 false,以禁用资源观察程序: org.apereo.cas.configuration.model.support.pm.GroovyPasswordManagementProperties. 如何配置此属性? |
显示 1 到 1 的 1 个条目
上一页1下一页
要准备 CAS 以支持 Apache Groovy 并与之集成,请查看本指南。
1.8.3. LDAP
1.8.3.1. 密码管理 - LDAP
帐户密码和安全问题可能存储在 LDAP 服务器中。
通过在 WAR 覆盖中包含以下依赖项来启用 LDAP 支持:
Apache Maven
Gradle
BOM - Spring
BOM - Gradle
资源
1 2 3 4 5 6 7 8 9 10 | dependencies { /* The following platform references should be included automatically and are listed here for reference only. implementation enforcedPlatform("org.apereo.cas:cas-server-support-bom:${project.'cas.version'}") implementation platform(org.springframework.boot.gradle.plugin.SpringBootPlugin.BOM_COORDINATES) */ implementation "org.apereo.cas:cas-server-support-pm-ldap" } |
CAS 配置目录中提供了以下设置和属性:
必填
自选
LDAP & Active Directory
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.pm.ldap[0].account-locked-attribute=pwdLockout 表示帐户锁定状态的 LDAP 属性的名称。如果帐户已更新以指示锁定状态,则该属性的值通常设置为 "true"”。对于 Active Directory,此属性可能称为 lockoutTime。 org.apereo.cas.configuration.model.support.pm.LdapPasswordManagementProperties. 如何配置此属性? |
· cas.authn.pm.ldap[0].base-dn= 要使用的基本 DN。在某些情况下,单个 LDAP 树的不同部分可能被视为 base-dns。可以使用特殊的分隔符指定每个条目并将其连接在一起,而不是为每个单独的 base-dn 复制 LDAP 配置块。用户 DN 按定义的顺序使用所有 base-dn 和 DNresolver 的组合进行检索。如果找到多个 DN,则 DN 解析应失败。否则,将返回找到的第一个 DN。通常的语法是:subtreeA,dc=example,dc=net|subtreeC,dc=example,dc=net。 org.apereo.cas.configuration.model.support.pm.LdapPasswordManagementProperties. 如何配置此属性? |
· cas.authn.pm.ldap[0].bind-credential= 连接到 LDAP 时要使用的绑定凭证。 org.apereo.cas.configuration.model.support.pm.LdapPasswordManagementProperties. 如何配置此属性? |
· cas.authn.pm.ldap[0].bind-dn= 连接到 LDAP 时要使用的绑定 DN。注入 LDAP 连接池的 LDAP 连接配置可以使用以下参数进行初始化: bindDn/bindCredential provided - 在初始化连接时使用提供的凭证进行绑定。 bindDn/bindCredential 设置为 * - 使用快速绑定策略初始化池。 bindDn/bindCredential 设置为空白 - 跳过连接初始化;匿名执行操作。 提供的 SASL 机制 - 初始化连接时使用给定的 SASL 机制进行绑定。 org.apereo.cas.configuration.model.support.pm.LdapPasswordManagementProperties. 如何配置此属性? |
· cas.authn.pm.ldap[0].ldap-url= 服务器的 LDAP URL。可以指定多个,用空格和/或逗号分隔。 org.apereo.cas.configuration.model.support.pm.LdapPasswordManagementProperties. 如何配置此属性? |
显示 1 到 5 的 8 个条目
一页12下一页
1.8.4. JDBC
1.8.4.1. 密码管理 - JDBC
帐户密码和安全问题可能存储在数据库中。
通过在 WAR 覆盖中包含以下依赖项来启用 JDBC 支持:
Apache Maven
Gradle
BOM - Spring
BOM - Gradle
资源
1 2 3 4 5 6 7 8 9 10 | dependencies { /* The following platform references should be included automatically and are listed here for reference only. implementation enforcedPlatform("org.apereo.cas:cas-server-support-bom:${project.'cas.version'}") implementation platform(org.springframework.boot.gradle.plugin.SpringBootPlugin.BOM_COORDINATES) */ implementation "org.apereo.cas:cas-server-support-pm-jdbc" } |
CAS 配置目录中提供了以下设置和属性:
l 必填
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.pm.jdbc.driver-class=org.hsqldb.jdbcDriver 用于连接到数据库的 JDBC 驱动程序。 org.apereo.cas.configuration.model.support.pm.JdbcPasswordManagementProperties. 如何配置此属性? |
· cas.authn.pm.jdbc.password-encoder.encoding-algorithm= 要使用的编码算法,例如 MD5。当使用的类型为 DEFAULT 或 GLIBC_CRYPT 时相关。当与 PasswordEncoderTypes#PBKDF2 一起使用时,它应该是 PBKDF2WithHmacSHA1、PBKDF2WithHmacSHA256 或 PBKDF2WithHmacSHA512 之一。 org.apereo.cas.configuration.model.core.authentication.PasswordEncoderProperties. 如何配置此属性? |
· cas.authn.pm.jdbc.password-encoder.type=NONE 可以使用以下类型: NONE:不进行密码编码(即纯文本)。 DEFAULT:使用 CAS 的 DefaultPasswordEncoder。对于通过 character-encoding 和 encoding-algorithm 的消息摘要算法。 BCRYPT根据提供的强度和可选密钥使用 BCryptPasswordEncoder。 SCRYPT使用 SCryptPasswordEncoder。 PBKDF2:根据提供的强度和可选的密钥使用 Pbkdf2PasswordEncoder。 STANDARD根据提供的密钥使用 StandardPasswordEncoder。 SSHA使用 LdapShaPasswordEncoder 支持 Ldap SHA 和 SSHA (salted-SHA)。这些值采用 base-64 编码,并在编码的哈希前面加上标签 {SHA} 或 {SSHA}。 GLIBC_CRYPT:根据编码encoding-algorithm、提供的强度和可选的密钥使用 GlibcCryptPasswordEncoder。 org.example.MyEncoder:您自己选择的 PasswordEncoder 实现。
org.apereo.cas.configuration.model.core.authentication.PasswordEncoderProperties. 如何配置此属性? |
· cas.authn.pm.jdbc.password= 数据库连接密码。 org.apereo.cas.configuration.model.support.pm.JdbcPasswordManagementProperties. 如何配置此属性? |
· cas.authn.pm.jdbc.sql-change-password= SQL 查询来更改密码并更新。 org.apereo.cas.configuration.model.support.pm.JdbcPasswordManagementProperties. 如何配置此属性? |
显示 1 到 5 的 10 个条目
......