¿El Servicio Central de Autenticación (CAS) puede hacer la autorización?

No, CAS es solo un Servicio de autenticación , pero seguramente puede imponer la Autorización utilizando el mecanismo , que es la base para realizar la autenticación de su CAS.

Diga, si está utilizando LDAP para autenticar las Cuentas para CAS. Entonces, para el requisito como el tuyo ...

Puede crear grupos de usuarios en LDAP y asignar las respectivas ID de usuario a sus grupos.

Ahora, en la aplicación web, mantiene el inicio de sesión a través de CAS que, en caso de éxito, se pone en contacto con LDAP (o con el Mecanismo de autenticación que tenga) y obtiene los Grupos de usuarios asignados al Usuario.

Ahora, sobre la base de los Grupos de Usuarios recuperados, puede permitir / rechazar el acceso a las características de la aplicación web.

En primer lugar: CAS - enlace :

  

Proyecto de servicio de autenticación central, más conocido como CAS. CAS es un sistema de autenticación creado originalmente por la Universidad de Yale para proporcionar una forma confiable para que una aplicación autentique a un usuario. CAS se convirtió en un proyecto Jasig en diciembre de 2004.

Segundo: no, no creo que pueda hacer la autorización. Lo usamos aquí y tenemos un sistema diferente para hacer la autorización después de que CAS haya autenticado a algún usuario.

La respuesta corta es No, no es el trabajo de CAS hacer Autorización, se supone que solo debe ser Autenticación.

Dicho esto, hay muchas maneras de usar CAS en un escenario de Autenticación / Autorización. Estoy trabajando en una solución tan personalizada ahora mismo. Creo que hay maneras de hacer algo de seguridad de Spring Spring para lograrlo, pero la forma en que lo he implementado ahora es simplemente proteger mis aplicaciones mediante un filtro de roles personalizado, que verifica la presencia de los roles existentes que se pasan al aplicación utilizando el cliente CAS lib para java. Así que todo lo que debo hacer para proteger mis aplicaciones en Tomcat es incluir el contenedor del cliente CAS, mi filtro personalizado y especificar qué recursos proteger en mi web.xml.

No dude en preguntar si necesita más orientación.

CAS simplemente realiza la autenticación. La autorización depende del proveedor de servicios. Con versiones anteriores de CAS, podría usar el punto final SAML validate para obtener los atributos de CAS. Con el nuevo servidor jasig-CAS 4.0, puede obtener atributos del protocolo CAS 3.0.

Esto todavía significa que la autorización depende del servicio, pero el servicio puede solicitar atributos de CAS, por lo que nunca necesita tocar su almacén de back-end LDAP, la base de datos, etc. Es posible que no pueda impedir el acceso directo a su servicio de directorio interno como un gran negocio en su red interna, pero considere el caso en el que el proveedor de servicios es un tercero. CAS le permite a sus usuarios autenticarse con usted, y usted elige permitir atributos relevantes al proveedor de servicios (por ejemplo, membresías de grupos). El servicio es responsable de hacer cumplir esas funciones, pero en última instancia, usted controla el acceso.