CAS单点登录(第7版)10.多因素身份验证
如有疑问,请看视频:CAS单点登录(第7版)_在线视频教程-CSDN程序员研修院
1. 多因素身份验证
1.1. 概述
1.1.1. 多因素身份验证 (MFA)
多因素身份验证(Multifactor Authentication MFA)是一种安全机制,要求用户提供两种或更多种不同类型的验证信息,以增强账户的安全性。将MFA集成到CAS中,可以显著提高系统的安全性,防止未经授权的访问。
MFA 通常涉及以下三种类型的身份验证因素:
1. 你知道的东西:如密码、PIN 码等。
2. 你拥有的东西:如手机、硬件令牌、智能卡等。
3. 你是谁:如指纹、面部识别、虹膜扫描等生物特征。
CAS 支持各种多因素身份验证提供程序和选项,同时允许用户设计自己的身份验证提供程序和选项。辅助身份验证因素始终在主要步骤之后启动,如果请求或触发器需要,将要求现有身份验证会话升级到所需的多因素身份验证因素。满意的身份验证上下文也会传回应用程序,以表示成功的多因素身份验证事件。
您至少需要回答以下问题:
l 我们使用哪些提供商进行多因素身份验证?
l 我们如何以及为谁触发多因素身份验证?
1.1.2. 支持的提供商
CAS 支持以下多因子提供程序。
供应商 | Id | 指示 |
Duo Security | mfa-duo | 请参阅本指南。 |
YubiKey | mfa-yubikey | 请参阅本指南。 |
RSA/RADIUS | mfa-radius | 请参阅本指南。 |
谷歌身份验证器 | mfa-gauth | 请参阅本指南。 |
FIDO2 WebAuthN | mfa-webauthn | 请参阅本指南。 |
CAS Simple | mfa-simple | 请参阅本指南。 |
Inwebo | mfa-inwebo | 请参阅本指南。 |
自定义 | 自定义 | 请参阅本指南。 |
Azure 多重
Microsoft 已删除外部 SSO 服务器使用 Azure MFA 的功能。要使用 Azure MFA,还必须让所有用户使用 Azure AD SSO 进行身份验证。你可能希望使用 CAS 的委托身份验证功能将身份验证请求路由到 Azure AD SSO。
1.1.3. 配置
CAS 配置目录中提供了以下设置和属性:
必填
自选
签名和加密
Groovy 脚本
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.core.provider-selection.cookie.crypto.encryption.key= 加密密钥是一个 JWT,其长度由加密密钥大小设置定义。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.core.util.EncryptionJwtCryptoProperties. 如何配置此属性? |
· cas.authn.mfa.core.provider-selection.cookie.crypto.signing.key= 签名密钥是一个 JWT,其长度由签名密钥大小设置定义。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.core.util.SigningJwtCryptoProperties. 如何配置此属性? |
· cas.authn.mfa.core.provider-selection.provider-selector-groovy-script.location= 在 CAS 能够自动监视底层资源的更改并动态检测更新和修改的情况和场景中,您可以将以下设置指定为环境变量或系统属性,其值为 false,以禁用资源观察程序: org.apereo.cas.configuration.model.SpringResourceProperties. 如何配置此属性? |
显示 1 到 3 个条目中的 3 个
上一页1下一页
1.1.4. 触发器
可以通过多个触发器激活 Multi-Factor Authentication。要了解更多信息,请参阅本指南。
1.1.5. 绕过规则
每个 MultiFactor Provider 都配备了允许 MFA Bypass的选项。要了解更多信息,请参阅本指南。
1.1.6. 故障模式
如果无法访问所请求的提供程序,CAS 将查阅当前配置,以确定如何继续。要了解更多信息,请参阅本指南。
1.1.7. 提供商选择
有一些选项和控件可用于允许 CAS 选择多因素身份验证提供程序,以防多个触发器和条件激活多个提供程序。要了解更多信息,请参阅本指南。
1.2. 供应商
1.2.1. Duo安全
1.2.1.1. 概述
1.2.1.1.1. Duo Security 身份验证
Duo Security 是一项两步验证服务,为访问机构和个人数据提供额外的安全性。
Duo 提供了多种用户身份验证选项:
移动推送通知和一键式身份验证到智能手机(需要免费的 Duo Mobile 应用程序)
在智能手机上生成的一次性代码
由 Duo 生成并通过 SMS 文本消息发送到手机的一次性代码
来自该机构的电话呼叫将提示您验证登录请求
Apache Maven
Gradle
BOM - Spring
BOM - Gradle
资源
1 2 3 4 5 6 7 8 9 10 | dependencies { /* The following platform references should be included automatically and are listed here for reference only. implementation enforcedPlatform("org.apereo.cas:cas-server-support-bom:${project.'cas.version'}") implementation platform(org.springframework.boot.gradle.plugin.SpringBootPlugin.BOM_COORDINATES) */ implementation "org.apereo.cas:cas-server-support-duo"} |
1.2.1.1.2. 配置
CAS 配置目录中提供了以下设置和属性:
必填
自选
签名和加密
Groovy 脚本
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.duo[0].bypass.groovy.location= 在 CAS 能够自动监视底层资源的更改并动态检测更新和修改的情况和场景中,您可以将以下设置指定为环境变量或系统属性,其值为 false,以禁用资源观察程序: org.apereo.cas.configuration.model.SpringResourceProperties. 如何配置此属性? |
· cas.authn.mfa.duo[0].bypass.rest.url= 用于联系和检索属性的终端节点 URL。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.RestEndpointProperties. 如何配置此属性? |
· cas.authn.mfa.duo[0].duo-api-host= Duo API 主机和 URL。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.mfa.duo.DuoSecurityMultifactorAuthenticationProperties. 如何配置此属性? |
· cas.authn.mfa.duo[0].duo-integration-key= Duo 集成密钥。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.mfa.duo.DuoSecurityMultifactorAuthenticationProperties. 如何配置此属性? |
· cas.authn.mfa.duo[0].duo-secret-key= Duo 密钥。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.mfa.duo.DuoSecurityMultifactorAuthenticationProperties. 如何配置此属性? |
显示 1 到 5 的 7 个条目
上一页12下一页
1.2.1.1.2.1. Bypass
CAS 配置目录中提供了以下设置和属性:
必填
自选
Groovy 脚本
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.duo[0].bypass.groovy.location= 在 CAS 能够自动监视底层资源的更改并动态检测更新和修改的情况和场景中,您可以将以下设置指定为环境变量或系统属性,其值为 false,以禁用资源观察程序: org.apereo.cas.configuration.model.SpringResourceProperties. 如何配置此属性? |
· cas.authn.mfa.duo[0].bypass.rest.url= 用于联系和检索属性的终端节点 URL。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.RestEndpointProperties. 如何配置此属性? |
显示 1 到 2 的 2 个条目
上一页1下一页
1.2.1.1.3. 执行器端点
CAS 提供以下端点:
GET | /cas/actuator/duoPing |
Ping Duo Security 给出了提供商 ID。
GET | /cas/actuator/duoAccountStatus/{username} |
GET | /cas/actuator/health |
GET | /cas/actuator/health/{path} |
GET | /cas/actuator/duoAdmin/{username} |
POST | /cas/actuator/duoAdmin/bypassCodes |
PUT | /cas/actuator/duoAdmin/{username} |
1.2.1.1.4. 多个实例
对 Duo Security 的 CAS 多因素身份验证支持允许为多个 Duo 提供程序配置不同的 ID,每个 ID 都可以连接到具有不同配置的单独 Duo Security 实例。此行为允许更敏感的应用程序连接到具有更严格和安全身份验证策略的 Duo 实例。
要使此行为正常运行,需要将您自己选择的单独唯一 ID 分配给每个 Duo Securityprovider。每个提供程序实例都向 CAS 注册,并根据需要在 authenticationflows 中激活。如果只有一个 Duo 实例可用,则无需定义提供程序 ID。
1.2.1.1.5. 帐户配置文件管理
与 Duo Security 的集成能够将用户设备注册信息提供给 CAS 中的账户配置文件管理功能。有关更多详细信息,请参阅本指南。
1.2.1.1.6. 健康状况
CAS 能够按需联系 Duo Security,以便使用 Duo Security 的 ping API 查询服务的运行状况。操作结果使用 CAS 监控终端节点提供的health终端节点进行记录和报告。当然,整个 Duo 身份验证流程中的相同结果也用于确定故障模式。
1.2.1.1.7. 通用提示
通用提示是使用 Duo OIDC 身份验证 API 的 Duo Multifactor Authentication 的变体。这是一个基于 OIDC 标准的 API,用于向 CAS 添加强双重身份验证。此选项不再在 CAS 控制和拥有的 iFrame 中显示 Duo 提示。相反,该提示现在托管在 Duo 的服务器上,并通过浏览器重定向显示。来自 Duo Security 的响应将作为浏览器重定向传递到 CAS,CAS 将开始协商和交换该响应,以支持包含多因素身份验证用户配置文件详细信息的 JWT。
通用提示不再要求您生成和使用 applicationkey 值。相反,它需要客户端 ID 和客户端密钥,这是已知的,并使用集成密钥和密钥配置设置教给 CAS。将 CAS 注册为受保护的应用程序时,您需要从 Duo Security 获取集成密钥、密钥和 APIhostname。
1.2.1.1.8. 非浏览器 MFA
CAS 的 Duo Security 模块还能够支持非基于浏览器的多因素身份验证请求。为了触发此行为,应用程序(即 curl、REST API 等)需要指定一个特殊的Content-Type,以向 CAS 发出请求是从非基于 Web 的环境提交的信号。多因素身份验证请求以auto模式提交给 Duo Security,这实际上可能会转换为 Duo 推荐的带外因素(推送或电话),作为用户设备的最佳选择。
为了成功完成身份验证流程,还必须为 CAS 配置一种主身份验证方法,该方法能够支持非基于 Web 的环境,例如基本身份验证。
下面是一个使用 curl 的示例,它尝试通过首先执行基本身份验证来对服务进行身份验证,同时将请求内容类型标识为 application/cas。假设以下服务在 CAS 中配置了特殊的多因素策略,该策略也强制流通过 Duo Security。
1 | curl --location --header "Content-Type: application/cas" https://apps.example.org/myapp -L -u casuser:Mellon |
1.2.1.1.9. REST 协议凭证提取
如果 CAS REST 协议已打开,则会将特殊凭证提取器注入 REST 身份验证引擎,以便识别凭证并作为 REST 请求的一部分对其进行验证。请求正文中的预期参数名称是passcode,可以从 Duo Security 的移动应用程序中找到或通过 SMS 接收。
1.2.1.1.10. 无密码身份验证
与 Duo Security 的集成还可以充当无密码身份验证的帐户存储。需要在符合条件的 Multifactor Authentication Provider 的 CAS 设置中显式启用此行为。
1.2.1.1.11. 故障排除
要启用其他日志记录,请配置 log4j 配置文件以添加以下级别:
1 2 3 4 5 6 | ... ... |
您还应该使用 NTP 来确保 CAS 服务器的时间正确。此外,CAS 通常通过 TCP 端口 443 与 Duo 的服务通信。Duo Security 不建议使用使用目标 IP 地址或 IP 地址范围的规则来限制对 Duo 服务的出站访问的防火墙配置,因为这些配置可能会随着时间的推移而改变,以保持我们服务的高可用性。
1.2.1.2. 用户注册
1.2.1.2.1. Duo Security 用户注册
如果用户未向 Duo Security 注册或通过直接绕过允许通过,则 CAS 将先验地向 Duo Security 查询用户帐户,以了解用户是否已注册或配置为直接绕过。如果帐户配置为直接绕过,或者用户帐户尚未注册,则新用户注册策略允许用户跳过注册,则 CAS 将完全绕过 Duo Security,不会质询用户,也不会将启用多因素身份验证的上下文报告回应用程序。
YMMV
在最近与 Duo Security 的对话中,事实证明 API 行为发生了变化(出于安全原因),它可能无法再准确报告帐户状态。这意味着,即使上述条件成立,CAS 也可以继续将用户路由到从 API 获得资格状态的 Duo Security。据报道,Duo Security 正在努力修复以更安全的方式恢复 API 行为。与此同时,YMMV.
如果您不想依赖 Duo Security 的内置注册流程,而是拥有自己的允许用户注册和注册 Duo Security 的注册应用程序,则可以指示 CAS重定向到您的注册应用程序(如果用户的账户状态被确定为需要注册)。这通常意味着您必须在 CAS 中打开用户账户状态检查,以便它可以直接使用 Duo Security 验证用户的账户状态。您还必须确保在 Duo Security 的管理仪表板中选择的集成类型是允许 CAS 执行此类请求的正确类型,当然,相关用户之前不得在 Duo Security 的任何地方加入、注册或创建。
指向注册应用程序的重定向 URL 可能包含一个特殊的 principal 参数,该参数包含用户的身份 JWT。必须先在 Duo Security 注册的 CAS 设置中启用密码操作和设置,然后才能构建此参数并将其添加到最终 URL。
CAS 配置目录中提供了以下设置和属性:
必填
自选
签名和加密
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.duo[0].registration.crypto.encryption.key= 加密密钥是一个 JWT,其长度由加密密钥大小设置定义。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.core.util.EncryptionJwtCryptoProperties. 如何配置此属性? |
· cas.authn.mfa.duo[0].registration.crypto.signing.key= 签名密钥是一个 JWT,其长度由签名密钥大小设置定义。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.core.util.SigningJwtCryptoProperties. 如何配置此属性? |
显示 1 到 2 的 2 个条目
上一页1下一页
1.2.1.3. YubiKey
1.2.1.3.1. 概述
1.2.1.3.1.1. YubiKey 身份验证
Yubico 是一项基于云的服务,通过其旗舰产品 YubiKey 使用一次性密码实现强大、易于使用且经济实惠的双因素身份验证。获得 Yubico client-id 和 secret-key 后,即可使用配置 YubiKey 设备作为 CAS 服务器可用于验证用户的主要身份验证源。
要配置 YubiKey 帐户并获取 API 密钥,请参阅文档。
YubiKey 身份验证组件是通过在 WAR 覆盖中包含以下依赖项来启用的:
Apache Maven
Gradle
BOM - Spring
BOM - Gradle
资源
1 2 3 4 5 6 7 8 9 10 | dependencies { /* The following platform references should be included automatically and are listed here for reference only. implementation enforcedPlatform("org.apereo.cas:cas-server-support-bom:${project.'cas.version'}") implementation platform(org.springframework.boot.gradle.plugin.SpringBootPlugin.BOM_COORDINATES) */ implementation "org.apereo.cas:cas-server-support-yubikey"} |
1.2.1.3.1.1.1. 执行器端点
CAS 提供以下端点:
DELETE | /cas/actuator/yubikeyAccountRepository/{username} |
删除 username 的 Yubikey 帐户。
DELETE | /cas/actuator/yubikeyAccountRepository |
GET | /cas/actuator/yubikeyAccountRepository/{username} |
GET | /cas/actuator/yubikeyAccountRepository |
GET | /cas/actuator/yubikeyAccountRepository/export |
POST | /cas/actuator/yubikeyAccountRepository/import |
1.2.1.3.1.1.2. 配置
CAS 配置目录中提供了以下设置和属性:
必填
自选
签名和加密
Hibernate 和 JDBC
Groovy 脚本
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.yubikey.bypass.groovy.location= 在 CAS 能够自动监视底层资源的更改并动态检测更新和修改的情况和场景中,您可以将以下设置指定为环境变量或系统属性,其值为 false,以禁用资源观察程序: org.apereo.cas.configuration.model.support.mfa.GroovyMultifactorAuthenticationProviderBypassProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.bypass.rest.url= 用于联系和检索属性的终端节点 URL。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.mfa.RestfulMultifactorAuthenticationProviderBypassProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.client-id=0 Yubikey 客户端 ID。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyMultifactorAuthenticationProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.crypto.encryption.key= 加密密钥是一个 JWT,其长度由加密密钥大小设置定义。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.core.util.EncryptionJwtCryptoProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.crypto.signing.key= 签名密钥是一个 JWT,其长度由签名密钥大小设置定义。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.core.util.SigningJwtCryptoProperties. 如何配置此属性? |
显示 1 到 5 的 37 个条目
上一页12345...8下一页
默认情况下,允许用户的所有 YubiKey 账户进行身份验证。需要授权进行身份验证的设备需要遵循带外注册过程,其中它们的记录位于以下存储后端之一中。身份验证后,CAS 将开始在配置的注册数据库中搜索已验证的用户和设备的匹配记录,以便成功进行验证事件。
存储 | 描述 |
JSON 格式 | 请参阅本指南。 |
REST | 请参阅本指南。 |
许可的 | 请参阅本指南。 |
JPA | 请参阅本指南。 |
Redis | 请参阅本指南。 |
DynamoDb | 请参阅本指南。 |
MongoDb 数据库 | 请参阅本指南。 |
自定义 | 请参阅本指南。 |
1.2.1.3.1.1.2.1. Bypass
CAS 配置目录中提供了以下设置和属性:
必填
自选
Groovy 脚本
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.yubikey.bypass.groovy.location= 在 CAS 能够自动监视底层资源的更改并动态检测更新和修改的情况和场景中,您可以将以下设置指定为环境变量或系统属性,其值为 false,以禁用资源观察程序: org.apereo.cas.configuration.model.support.mfa.GroovyMultifactorAuthenticationProviderBypassProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.bypass.rest.url= 用于联系和检索属性的终端节点 URL。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.mfa.RestfulMultifactorAuthenticationProviderBypassProperties. 如何配置此属性? |
显示 1 到 2 的 2 个条目
上一页1下一页
1.2.1.3.1.1.3. 设备/账户验证
如果应该注册新的 YubiKey,则可能需要在将帐户注册到底层 store 之前执行额外的验证过程。默认情况下,设备注册步骤仅验证设备令牌。如果您希望扩展此行为,您可以设计自己的验证器,根据替代来源和数据库交叉检查帐户的有效性和授权:
1 2 3 4 5 6 7 8 9 10 11 | package org.apereo.cas.support.yubikey; @AutoConfiguration@EnableConfigurationProperties(CasConfigurationProperties.class)public class MyYubiKeyConfiguration { @Bean public YubiKeyAccountValidator yubiKeyAccountValidator() { ... }} |
请参阅本指南,了解有关如何将配置注册到 CAS 运行时的更多信息。
1.2.1.3.1.1.4. REST 协议凭证提取
如果 CAS REST 协议已打开,则会将特殊凭据提取器注入 REST 身份验证引擎,以便识别 YubiKey 凭据并作为 REST 请求的一部分对其进行身份验证。请求正文中的预期参数名称为 yubikeyotp。
1.2.1.3.2. 设备注册
1.2.1.3.2.1. JSON格式
1.2.1.3.2.1.1. JSON YubiKey 注册
如果在 CAS 设置中指定了文件路径,则可以在 JSON 文件中跟踪注册记录。
JSON 结构是用户 ID 到代表任何特定设备的 yubikey 公共 ID 的映射:
1 2 3 4 | { "uid1": ["yubikeyPublicId1"], "uid2": ["yubikeyPublicId2"]} |
CAS 配置目录中提供了以下设置和属性:
自选
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Optional(可选)。This标志表示在最终用户 CAS 配置中不需要立即存在该设置,因为分配了默认值,或者该功能的激活不受设置值有条件地控制。换句话说,仅当需要修改默认值或需要打开由设置控制的功能时,才应在配置中包含此字段。
Show entries
搜索:
· cas.authn.mfa.yubikey.json= 将设备注册记录保存在静态 JSON 资源中。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyMultifactorAuthenticationProperties. 如何配置此属性? |
显示 1 到 1 的 1 个条目
上一页1下一页
1.2.1.3.3. JPA
1.2.1.3.3.1. JPA YubiKey 注册
通过在 WAR 覆盖中包含以下依赖项来启用支持:
Apache Maven
Gradle
BOM - Spring
BOM - Gradle
资源
1 2 3 4 5 6 7 8 9 10 | dependencies { /* The following platform references should be included automatically and are listed here for reference only. implementation enforcedPlatform("org.apereo.cas:cas-server-support-bom:${project.'cas.version'}") implementation platform(org.springframework.boot.gradle.plugin.SpringBootPlugin.BOM_COORDINATES) */ implementation "org.apereo.cas:cas-server-support-yubikey-jpa"} |
CAS 配置目录中提供了以下设置和属性:
必填
自选
Hibernate 和 JDBC
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.yubikey.jpa.driver-class=org.hsqldb.jdbcDriver 用于连接到数据库的 JDBC 驱动程序。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyJpaMultifactorProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.jpa.password= 数据库连接密码。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyJpaMultifactorProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.jpa.url=jdbc:hsqldb:mem:cas-hsql-database 数据库连接 URL。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyJpaMultifactorProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.jpa.user=sa 数据库用户必须具有足够的权限,才能在需要时处理架构更改和更新。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyJpaMultifactorProperties. 如何配置此属性? |
显示 1 到 4 的 4 个条目
上一页1下一页
由 CAS 自动创建和配置的预期数据库架构包含一个作为 YubiKeyAccount 的表,其中包含以下字段:
田 | 描述 |
id | 唯一记录标识符,充当主键。 |
publicId | 用于身份验证的设备的公共标识符/密钥。 |
username | 设备已注册的用户名。 |
1.2.1.3.4. DynamoDb
1.2.1.3.4.1. DynamoDb YubiKey 注册
通过在 WAR 覆盖中包含以下依赖项来启用支持:
Apache Maven
Gradle
BOM - Spring
BOM - Gradle
资源
1 2 3 4 5 6 7 8 9 10 | dependencies { /* The following platform references should be included automatically and are listed here for reference only. implementation enforcedPlatform("org.apereo.cas:cas-server-support-bom:${project.'cas.version'}") implementation platform(org.springframework.boot.gradle.plugin.SpringBootPlugin.BOM_COORDINATES) */ implementation "org.apereo.cas:cas-server-support-yubikey-dynamodb"} |
CAS 配置目录中提供了以下设置和属性:
必填
自选
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.yubikey.dynamo-db.credential-access-key= 使用 AWS 提供的访问密钥进行身份验证。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyDynamoDbMultifactorProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.dynamo-db.credential-secret-key= 使用 AWS 提供的密钥进行身份验证。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyDynamoDbMultifactorProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.dynamo-db.dax.url= Cluster url 的 URL 中。例如, org.apereo.cas.configuration.model.support.dynamodb.DynamoDbDaxProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.dynamo-db.endpoint= AWS 自定义终端节点。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyDynamoDbMultifactorProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.dynamo-db.region= 使用的 AWS 区域。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyDynamoDbMultifactorProperties. 如何配置此属性? |
显示 1 到 5 个条目中的 5 个
上一页1下一页
1.2.1.3.5. MongoDb 数据库
1.2.1.3.5.1. MongoDb YubiKey 注册
通过在 WAR 覆盖中包含以下依赖项来启用支持:
Apache Maven
Gradle
BOM - Spring
BOM - Gradle
资源
1 2 3 4 5 6 7 8 9 10 | dependencies { /* The following platform references should be included automatically and are listed here for reference only. implementation enforcedPlatform("org.apereo.cas:cas-server-support-bom:${project.'cas.version'}") implementation platform(org.springframework.boot.gradle.plugin.SpringBootPlugin.BOM_COORDINATES) */ implementation "org.apereo.cas:cas-server-support-yubikey-mongo"} |
CAS 配置目录中提供了以下设置和属性:
必填
自选
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.yubikey.mongo.client-uri= mongodb 实例的连接 URI。这通常采用 mongodb://user:psw@ org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyMongoDbMultifactorProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.mongo.collection= 要获取和/或创建的 MongoDb 数据库集合名称。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyMongoDbMultifactorProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.mongo.database-name= MongoDb 数据库实例名称。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyMongoDbMultifactorProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.mongo.host=localhost 用于身份验证的 MongoDb 数据库主机。可以定义多个主机地址,用逗号分隔。如果定义了多个主机,则假定每个主机也包含端口(如果有)。否则,配置可能会回退到定义的端口。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyMongoDbMultifactorProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.mongo.password= 用于身份验证的 MongoDb 数据库密码。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyMongoDbMultifactorProperties. 如何配置此属性? |
显示 1 到 5 的 7 个条目
上一页12下一页
注册记录保存在您选择的单个 MongoDb 集合中,该集合将由 CAS 自动创建。此集合的结构如下:
田 | 描述 |
id | 唯一记录标识符,充当主键。 |
publicId | 用于身份验证的设备的公共标识符/密钥。 |
username | 设备已注册的用户名。 |
1.2.1.3.6. 许可的
1.2.1.3.6.1. 宽容的 YubiKey 注册
注册记录可以通过 CAS 设置以映射的形式静态指定,该映射将注册的用户名与 YubiKey 设备的公共 ID 链接起来。
CAS 配置目录中提供了以下设置和属性:
自选
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Optional(可选)。This标志表示在最终用户 CAS 配置中不需要立即存在该设置,因为分配了默认值,或者该功能的激活不受设置值有条件地控制。换句话说,仅当需要修改默认值或需要打开由设置控制的功能时,才应在配置中包含此字段。
Show entries
搜索:
· cas.authn.mfa.yubikey.allowed-devices= 每个用户允许的允许设备的集合。这是使用键值结构完成的,其中键是用户,值是允许的 yubikey 设备 ID 集合。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyMultifactorAuthenticationProperties. 如何配置此属性? |
显示 1 到 1 的 1 个条目
上一页1下一页
1.2.1.3.7. Redis
1.2.1.3.7.1. Redis YubiKey 注册
通过在 WAR 覆盖中包含以下依赖项来启用支持:
Apache Maven
Gradle
BOM - Spring
BOM - Gradle
资源
1 2 3 4 5 6 7 8 9 10 | dependencies { /* The following platform references should be included automatically and are listed here for reference only. implementation enforcedPlatform("org.apereo.cas:cas-server-support-bom:${project.'cas.version'}") implementation platform(org.springframework.boot.gradle.plugin.SpringBootPlugin.BOM_COORDINATES) */ implementation "org.apereo.cas:cas-server-support-yubikey-redis"} |
CAS 配置目录中提供了以下设置和属性:
必填
自选
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.yubikey.redis.cluster.nodes[0].host= 服务器的主机地址。 org.apereo.cas.configuration.model.support.redis.RedisClusterNodeProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.redis.cluster.nodes[0].port= 服务器的端口号。 org.apereo.cas.configuration.model.support.redis.RedisClusterNodeProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.redis.cluster.nodes[0].replica-of= 设置 master 节点的 id。 org.apereo.cas.configuration.model.support.redis.RedisClusterNodeProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.redis.cluster.nodes[0].type= 指示此节点的类型/角色。接受的值为 MASTER, REPLICA 。 org.apereo.cas.configuration.model.support.redis.RedisClusterNodeProperties. 如何配置此属性? |
· cas.authn.mfa.yubikey.redis.cluster.password= 集群连接的密码。 org.apereo.cas.configuration.model.support.redis.RedisClusterProperties. 如何配置此属性? |
显示 1 到 5 个条目,共 14 个条目
上一页123下一页
1.2.1.3.8. REST
1.2.1.3.8.1. REST YubiKey 注册
可以使用外部 REST API 跟踪注册记录。
CAS 配置目录中提供了以下设置和属性:
必填
自选
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.yubikey.rest.url= 用于联系和检索属性的终端节点 URL。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.mfa.yubikey.YubiKeyRestfulMultifactorProperties. 如何配置此属性? |
显示 1 到 1 的 1 个条目
上一页1下一页
以下端点应由 REST API 提供和实施:
方法 | 端点 | 描述 |
GET | / | 获取所有已注册的记录。 |
GET | /{user} | 获取用户的所有已注册记录。 |
DELETE | / | 删除所有已注册的记录。 |
DELETE | /{user} | 删除用户的所有已注册记录。 |
DELETE | /{user}/{id} | 从用户的注册记录中按其 ID 删除已注册的设备。 |
POST | / | 存储作为请求正文传递的注册记录。 |
1.2.1.3.9. 自定义
1.2.1.3.9.1. 自定义 YubiKey 注册
如果您希望插入一个自定义注册表实现来确定允许哪些用户使用他们的 YubiKey 帐户进行身份验证,您可以插入 YubiKeyAccountRegistry 的自定义实现,该实现允许您提供用户名和 YubiKey 公钥之间的映射。
1 2 3 4 5 6 7 8 9 10 11 | package org.apereo.cas.support.yubikey; @AutoConfiguration@EnableConfigurationProperties(CasConfigurationProperties.class)public class MyYubiKeyConfiguration { @Bean public YubiKeyAccountRegistry yubiKeyAccountRegistry() { ... }} |
1.2.1.4. RSA/半径
1.2.1.4.1. RADIUS 身份验证
RADIUS 支持仅通过在覆盖中包括以下依赖项来启用:
Apache Maven
Gradle
BOM - Spring
BOM - Gradle
资源
1 | implementation "org.apereo.cas:cas-server-support-radius:${project.'cas.version'}" |
1.2.1.4.2. 配置
CAS 配置目录中提供了以下设置和属性:
必填
自选
Groovy 脚本
密码编码
主体转换
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.radius.client.inet-address=localhost 用于连接和建立会话的服务器地址。 org.apereo.cas.configuration.model.support.radius.RadiusClientProperties. 如何配置此属性? |
· cas.authn.radius.client.shared-secret=N0Sh@ar3d$ecReT 用于初始绑定的密钥/密码。 org.apereo.cas.configuration.model.support.radius.RadiusClientProperties. 如何配置此属性? |
· cas.authn.radius.password-encoder.encoding-algorithm= 要使用的编码算法,例如 MD5。当使用的类型为 DEFAULT 或 GLIBC_CRYPT 时相关。当与 PasswordEncoderTypes#PBKDF2 一起使用时,它应该是 PBKDF2WithHmacSHA1、PBKDF2WithHmacSHA256 或 PBKDF2WithHmacSHA512 之一。 org.apereo.cas.configuration.model.core.authentication.PasswordEncoderProperties. 如何配置此属性? |
· cas.authn.radius.password-encoder.type=NONE 可以使用以下类型: NONE:不进行密码编码(即纯文本)。 DEFAULT:使用 CAS 的 DefaultPasswordEncoder。对于通过 character-encoding 和 encoding-algorithm 的消息摘要算法。 BCRYPT根据提供的强度和可选密钥使用 BCryptPasswordEncoder。 SCRYPT使用 SCryptPasswordEncoder。 PBKDF2:根据提供的强度和可选的密钥使用 Pbkdf2PasswordEncoder。 STANDARD根据提供的密钥使用 StandardPasswordEncoder。 SSHA使用 LdapShaPasswordEncoder 支持 Ldap SHA 和 SSHA (salted-SHA)。这些值采用 base-64 编码,并在编码的哈希前面加上标签 {SHA} 或 {SSHA}。 GLIBC_CRYPT:根据编码encoding-algorithm、提供的强度和可选的密钥使用 GlibcCryptPasswordEncoder。 org.example.MyEncoder:您自己选择的 PasswordEncoder 实现。
org.apereo.cas.configuration.model.core.authentication.PasswordEncoderProperties. 如何配置此属性? |
· cas.authn.radius.principal-transformation.groovy.location= 在 CAS 能够自动监视底层资源的更改并动态检测更新和修改的情况和场景中,您可以将以下设置指定为环境变量或系统属性,其值为 false,以禁用资源观察程序: org.apereo.cas.configuration.model.core.authentication.GroovyPrincipalTransformationProperties. 如何配置此属性? |
显示 1 到 5 个条目中的 5 个
上一页1下一页
1.2.1.4.3. RSA 半径 MFA
RSA RADIUS OTP 对 MFA 的支持是通过仅在覆盖中包含以下依赖项来启用的:
Apache Maven
Gradle
BOM - Spring
BOM - Gradle
资源
1 2 3 4 5 6 7 8 9 10 | dependencies { /* The following platform references should be included automatically and are listed here for reference only. implementation enforcedPlatform("org.apereo.cas:cas-server-support-bom:${project.'cas.version'}") implementation platform(org.springframework.boot.gradle.plugin.SpringBootPlugin.BOM_COORDINATES) */ implementation "org.apereo.cas:cas-server-support-radius-mfa"} |
CAS 配置目录中提供了以下设置和属性:
必填
自选
Groovy 脚本
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.radius.bypass.groovy.location= 在 CAS 能够自动监视底层资源的更改并动态检测更新和修改的情况和场景中,您可以将以下设置指定为环境变量或系统属性,其值为 false,以禁用资源观察程序: org.apereo.cas.configuration.model.support.mfa.GroovyMultifactorAuthenticationProviderBypassProperties. 如何配置此属性? |
· cas.authn.mfa.radius.bypass.rest.url= 用于联系和检索属性的终端节点 URL。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.mfa.RestfulMultifactorAuthenticationProviderBypassProperties. 如何配置此属性? |
· cas.authn.mfa.radius.client.inet-address=localhost 用于连接和建立会话的服务器地址。 org.apereo.cas.configuration.model.support.radius.RadiusClientProperties. 如何配置此属性? |
· cas.authn.mfa.radius.client.shared-secret=N0Sh@ar3d$ecReT 用于初始绑定的密钥/密码。 org.apereo.cas.configuration.model.support.radius.RadiusClientProperties. 如何配置此属性? |
显示 1 到 4 的 4 个条目
上一页1下一页
1.2.1.4.4. Bypass
CAS 配置目录中提供了以下设置和属性:
必填
自选
Groovy 脚本
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.radius.bypass.groovy.location= 在 CAS 能够自动监视底层资源的更改并动态检测更新和修改的情况和场景中,您可以将以下设置指定为环境变量或系统属性,其值为 false,以禁用资源观察程序: org.apereo.cas.configuration.model.support.mfa.GroovyMultifactorAuthenticationProviderBypassProperties. 如何配置此属性? |
· cas.authn.mfa.radius.bypass.rest.url= 用于联系和检索属性的终端节点 URL。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.mfa.RestfulMultifactorAuthenticationProviderBypassProperties. 如何配置此属性? |
显示 1 到 2 的 2 个条目
上一页1下一页
1.2.1.5. 谷歌身份验证器
1.2.1.5.1. 概述
1.2.1.5.1.1. Google Authenticator 身份验证
Google Authenticator 会在您的手机上生成两步验证码。使用两步验证时,除了主要身份验证外,登录还需要 Google Authenticator 应用程序生成的验证码。在此处了解有关该主题的更多信息。
请注意,此处介绍的功能还应与 LastPass Authenticator 等兼容。
1.2.1.5.1.2. 配置
通过在覆盖中包含以下模块来启用支持:
Apache Maven
Gradle
BOM - Spring
BOM - Gradle
资源
1 2 3 4 5 6 7 8 9 10 | dependencies { /* The following platform references should be included automatically and are listed here for reference only. implementation enforcedPlatform("org.apereo.cas:cas-server-support-bom:${project.'cas.version'}") implementation platform(org.springframework.boot.gradle.plugin.SpringBootPlugin.BOM_COORDINATES) */ implementation "org.apereo.cas:cas-server-support-gauth"} |
CAS 配置目录中提供了以下设置和属性:
必填
自选
签名和加密
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.gauth.core.issuer=CASIssuer 处理设备注册事件时在条形码中使用的颁发者。在注册 URL 中用于标识 CAS。 org.apereo.cas.configuration.model.support.mfa.gauth.CoreGoogleAuthenticatorMultifactorProperties. 如何配置此属性? |
· cas.authn.mfa.gauth.core.label=CASLabel 处理设备注册事件时条形码中使用的标签。在注册 URL 中用于标识 CAS。 org.apereo.cas.configuration.model.support.mfa.gauth.CoreGoogleAuthenticatorMultifactorProperties. 如何配置此属性? |
· cas.authn.mfa.gauth.core.scratch-codes.encryption.key= 加密密钥。默认情况下,除非另有指定,否则加密密钥必须是随机生成的字符串,其长度由加密密钥大小设置定义。 org.apereo.cas.configuration.model.core.util.EncryptionRandomizedCryptoProperties. 如何配置此属性? |
· cas.authn.mfa.gauth.crypto.encryption.key= 加密密钥是一个 JWT,其长度由加密密钥大小设置定义。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.core.util.EncryptionJwtCryptoProperties. 如何配置此属性? |
· cas.authn.mfa.gauth.crypto.signing.key= 签名密钥是一个 JWT,其长度由签名密钥大小设置定义。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.core.util.SigningJwtCryptoProperties. 如何配置此属性? |
显示 1 到 5 个条目中的 5 个
上一页1下一页
1.2.1.5.1.2.1. Bypass
CAS 配置目录中提供了以下设置和属性:
必填
自选
Groovy 脚本
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Required。此标志表示可能需要该设置的存在才能激活或影响 CAS 功能的行为,并且通常应进行审查、可能拥有和调整。如果为该设置分配了默认值,则无需严格将该设置放在配置副本中,但仍应对其进行检查以确保它符合您的部署预期。
Show entries
搜索:
· cas.authn.mfa.gauth.bypass.groovy.location= 在 CAS 能够自动监视底层资源的更改并动态检测更新和修改的情况和场景中,您可以将以下设置指定为环境变量或系统属性,其值为 false,以禁用资源观察程序: org.apereo.cas.configuration.model.support.mfa.GroovyMultifactorAuthenticationProviderBypassProperties. 如何配置此属性? |
· cas.authn.mfa.gauth.bypass.rest.url= 用于联系和检索属性的终端节点 URL。 此设置支持 Spring 表达式语言。 org.apereo.cas.configuration.model.support.mfa.RestfulMultifactorAuthenticationProviderBypassProperties. 如何配置此属性? |
显示 1 到 2 的 2 个条目
上一页1下一页
1.2.1.5.1.3. 执行器端点
CAS 提供以下端点:
DELETE | /cas/actuator/gauthCredentialRepository/{username} |
删除用户的帐户。
DELETE | /cas/actuator/gauthCredentialRepository |
GET | /cas/actuator/gauthCredentialRepository/export |
GET | /cas/actuator/gauthCredentialRepository/{username} |
GET | /cas/actuator/gauthCredentialRepository |
POST | /cas/actuator/gauthCredentialRepository/import |
1.2.1.5.1.4. Token 存储库
为了防止重复使用颁发的令牌,CAS 将尝试跟踪成功用于验证用户的令牌。定期扫描和清理保存注册记录和令牌的存储库,以便可以删除过期和以前使用的令牌。
CAS 配置目录中提供了以下设置和属性:
自选
笔记
下面列出的配置设置在 CAS 配置元数据中标记为 Optional(可选)。This标志表示在最终用户 CAS 配置中不需要立即存在该设置,因为分配了默认值,或者该功能的激活不受设置值有条件地控制。换句话说,仅当需要修改默认值或需要打开由设置控制的功能时,才应在配置中包含此字段。
Show entries
搜索:
· cas.authn.mfa.gauth.cleaner.schedule.cron-expression= 一个类似 cron 的表达式,扩展了通常的 UN*X 定义,以包括秒、分钟、小时、月日、月和星期几的触发器。例如,0 * * * * MON-FRI 表示工作日每分钟一次(在分钟的顶部 - 第 0 秒),或 0 0 0 * * * 表示每天午夜。* 请注意,定义 cron 表达式时,必须删除 start delay 和 repeat interval 设置并将其设置为空白。 org.apereo.cas.configuration.model.support.quartz.SchedulingProperties. 如何配置此属性? |
· cas.authn.mfa.gauth.cleaner.schedule.cron-time-zone= 将解析 cron 表达式的时区。默认情况下,此属性为空(即将使用调度程序的时区)。 org.apereo.cas.configuration.model.support.quartz.SchedulingProperties. 如何配置此属性? |
· cas.authn.mfa.gauth.cleaner.schedule.enabled-on-host=.* 如果此属性与 CAS 服务器的主机名不匹配,则覆盖 SchedulingProperties#enabled 属性值 true。如果在 statefulset 中部署带有镜像的 CAS,其中所有名称都是可预测的,但很难为不同的服务器使用不同的配置,那么这可能很有用。该值可以是确切的主机名,也可以是将用于匹配主机名的正则表达式。 此设置支持正则表达式模式。[?]. org.apereo.cas.configuration.model.support.quartz.SchedulingProperties. 如何配置此属性? |
· cas.authn.mfa.gauth.cleaner.schedule.enabled=true 是否应启用计划程序来计划作业运行。 org.apereo.cas.configuration.model.support.quartz.SchedulingProperties. 如何配置此属性? |
· cas.authn.mfa.gauth.cleaner.schedule.repeat-interval=PT2M 为数据存储实施重新加载数据的重复间隔的字符串表示形式。这是连续任务执行之间的超时。 此设置支持java.time.Duration 语法 [?]。 org.apereo.cas.configuration.model.support.quartz.SchedulingProperties. 如何配置此属性? |
显示 1 到 5 的 6 个条目
上一页12下一页
1.2.1.5.1.5. 注册
默认情况下,包含一个账户注册表实现,用于收集用户设备注册并将其保存到内存中。颁发的令牌也会被捕获到自清理缓存中,以防止令牌在可配置的时间段内重复使用。此选项应仅用于演示和测试目的。此功能的生产部署将需要单独实现能够将账户注册到持久存储的注册表。
请注意,允许每个个人账户注册多个设备,以便稍后用于多因素身份验证。在鉴权流程中,如果找到多条设备注册记录,系统会要求用户选择合适的设备进行鉴权。可以通过 CAS 设置来控制处理多个设备注册记录的能力。
存储 | 描述 |
JPA | 请参阅本指南。 |
MongoDb 数据库 | 请参阅本指南。 |
DynamoDb | 请参阅本指南。 |
Redis | 请参阅本指南。 |
LDAP 协议 | 请参阅本指南。 |
REST | 请参阅本指南。 |
JSON 格式 | 请参阅本指南。 |
......
