FineReport怎么集成CAS SSO？

cas的实现思想是过滤器的设置，当你登录服务器下面任意工程时，都会跳转到相应的页面，之后会一直采用这个ticket进行访问。FineReport也是也个工程，你在相应的webxml文件里面配置过滤器就行了，很简单，这个过程是不需要FineReport收到的，因为验证根本就是cas在验证，当然，如果你还想在这个基础上在此配置FR的权限，则肯定要传递相应的用户的。

CAS协议是专门为CAS开发的一种简单而强大的基于票据的协议。

CAS涉及到一个或多个客户端与一个服务端，客户端嵌入CASified应用程序(称为“CAS服务”)，而CAS服务器是一个独立组件:

1CAS服务器负责对用户进行身份验证并授予对应用程序的访问权

2CAS客户端保护CAS应用程序，并从CAS服务器检索被授予用户的标识。

关键概念：

1存储在CASTGC cookie中的 TGT (票据授予票据)表示用户的一个SSO session。

2 ST (服务票证)作为url中的GET参数传输，表示由CAS服务器为特定用户授予认证应用程序的访问权限。

WEB流程：

1用户访问目标应用程序，通过浏览器发送GET请求到目标应用

2目标应用检测到用户未认证，则转发请求到CAS服务端，带上查询参数service，值为目标应用地址。

3CAS服务端检测用户发现没有SSO session 则返回CAS登录页面。

4用户在CAS登录页面填写登录表单，提交进行认证。

5认证成功后CAS服务端创建SSO session,并创建TGT票据到Cookie中 （Set-Cookie:CASTGC=TGT-xxxxxx），并重定向到目标应用程序带上查询参数ticket=ST-xxxxx。

6目标应用发送请求向CAS服务器验证ST票据，验证成功后目标应用创建用户访问session,并把sessionID放入cookie中。

7用户访问目标应用通过sessionID获取到session,登陆成功。

8用户访问其他CAS客户端应用，其他CAS客户端重定向请求到CAS服务器，同步骤2。

9CAS服务器检测到用户TGT这个cookie,获取到SSO session，直接认证成功，并重定向到目标应用程序带上查询参数ticket=ST-xxxxx。

10同步骤6，7，成功登陆其他CAS客户端应用。

CAS（Central Authentication Service，中央认证服务）令牌的过期时间可以在 CAS 服务器的配置文件中设置。默认情况下，CAS 令牌的过期时间为 2 小时。如果您的 CAS 令牌已经过期，那么您需要重新进行登录认证，重新获取有效令牌。
您可以按照以下步骤进行 CAS 登录认证和获取新令牌：
1 打开需要进行认证的应用程序或网站，并点击登录按钮。
2 该应用程序会自动跳转到 CAS 服务器的登录页面。
3 输入您的用户名和密码，进行身份认证。
4 CAS 服务器将验证您的身份，并自动生成一个新的令牌。
5 点击“继续”或“确认”按钮，将新令牌发送给应用程序进行验证。
6 您将被重定向回应用程序的主页或者您之前所浏览的页面。
如果您在使用 CAS 服务时遇到任何问题，建议您联系相关技术人员或者 CAS 服务提供商以获取更详细的帮助和支持。

H3C CAS（云管理平台）介绍

Technorati 标签: 虚拟化,云计算

H3C CAS为H3C基于KVM开发的云管理平台，主要用于计算虚拟化，本文根据H3C公开资料整理，主要介绍CAS相关技术。

第一章 CAS是什么

CAS是H3C基于KVM开发的云管理平台，那么KVM是什么？CAS相对于KVM又有什么改进。

11 为什么需要计算虚拟化？

如果物理机上只部署一种业务，资源利用率太低，不利于节约成本。如果说生产区域需要使用物理机来保证稳定性，对于开发测试区使用虚拟机不但可以节约有限的物理机资源，还可以快速上线。

12 KVM是什么

我们知道KVM（Kernel-based Virtual Machine）是基于Linux内核的虚拟化架构，可将内核直接充当hypervisor来使用。KVM需要处理器硬件本身支持虚拟化扩展，如intel VT 和AMD AMD-V技术。
KVM的构成：

内核模块kvmko：实现核心虚拟化功能

kvm-intelko或者kvm-amdko：与处理器强相关的模块。

KVM本身不实现任何模拟，仅仅是暴露了一个/dev/kvm接口，这个接口可被宿主机用来实现CPU虚拟化、内存虚拟化，对于IO虚拟化等还需要结合QEMU来实现。在QEMU-KVM中，KVM运行在内核空间，QEMU运行在用户空间，实际模拟创建、管理各种虚拟硬件。

如下图所示，调用/dev/kvm将CPU指令交给内核模块来做，QEMU负责模拟IO设备。

综上所述，QEMU-KVM具有两大作用：

提供对cpu，内存，IO设备的虚拟化

对各种虚拟设备的创建，调用进行管理

13 CAS的构成

CVK：Cloud Virtualization Kernel，虚拟化内核平台，主要用于计算虚拟化的实现。

CVM：Cloud Virtualization Manager，虚拟化管理系统，主要用于高级功能，如HA，动态资源调度等。

CIC：Cloud Intelligence Center，云业务管理中心，提供自助式服务门户，兼容NOVA接口。

第二章 CAS主要功能

KVM只实现基本的虚拟化功能，H3C在原生的虚拟化功能基础上加上了虚拟机集群资源管理、资源监控、高可靠性等特性。

21 系统资源管理

H3C CAS可以将物理机和虚拟机都组织到集群中进行统一的管理，同时可以监控集群下的主机，一旦发生故障，可以将物理机上的虚拟机迁移到其他的机器上，保证了高可用性。

同时CAS平台还可以自动化的监测每台物理机的业务负载，当某台物理机上的资源不够的时候，可以自动将虚拟机迁移到其他物理机上。

可以分析统计虚拟机、物理机、集群的资源利用情况，自定义告警条件等。

22 高可靠性

所谓高可靠性指的是当服务器发生故障的时候，受影响的虚拟机将在集群中留有备用容量的其它主机上自动重启。

221 应用HA

应用HA指运行在虚拟机的OS中的应用的高可靠性，一般方法都是在 *** 作系统安装代理软件的方式来实现。CVM虚拟化管理平台的方法也是这样，利用CAStools工具来监控业务进程，通过虚拟串口保持与CVM的通信，如果在3个时间周期里面监测到应用为非运行状态，则重启该飞鼠。

222 *** 作系统HA

*** 作系统HA主要是针对Windows蓝屏和Linux崩溃的情况。同样需要在虚拟机OS里面安装CASTools，不过此时CASTools需要和CVK进行通信，以判断虚拟机的存活状态。
如果已经能断定 *** 作系统蓝屏可以

不处理

重启系统

故障迁移：迁移到其他的主机上。

223 集群HA

所有的物理主机都连到共享存储上，可以把主机合并为集群。一旦某台主机发生故障，通过集群HA可以进行虚拟机的迁移。

224 数据高可用

2241 虚机快照

虚拟机本质上是一堆保存在共享存储的文件，可以通过快照功能保存某个时刻的元数据。当虚拟机 *** 作系统崩溃或者应用软件异常的时候，可以通过快照来还原。

2242 虚拟机备份

虚拟机备份指的是对虚拟机镜像文件进行磁盘级的复制。

23 云业务管理

231 动态资源扩展

动态资源扩展（DRX）可以实时监控虚拟机的CPU、内存负载，自动对虚拟机进行克隆和删除。比较适合于存在突发峰值的应用系统比如学校的选课系统等。

232 云彩虹

云彩虹主要是联通两个虚拟化的池子，当一个池子资源不足了，可以将虚拟机迁移到另一个虚拟化资源池。

233 无代理杀毒

无代理杀毒可以不在每个虚拟机安装代理程序，降低了资源的消耗。

第三章 部署注意事项

CPU：必须支持硬件辅助虚拟化，

31 整合比

CPU性能：核数越多，主频越高，所能支持的虚拟机数量越多。

内存大小：内存容量越大，所能支持的虚拟机数量越多。

本地磁盘：内置的本地磁盘可用性和I/O吞吐能力都较弱，不建议在其上存放虚拟机，推荐使用外置高性能磁盘阵列。

考虑到HA和DRS所要求的资源冗余，总体资源使用率不超过2/3较合适。

· 经验数据：双路4核10VM/服务器，四路4核15-30VM/服务器。

属于多种虚拟化技术，包括KVM、Xen、VMware等。
CAS是一种开源的单点登录解决方案，可以方便地实现用户的认证和授权。在易优云上安装CAS可以采用多种虚拟化方式，具体取决于用户的需求和易优云平台的支持情况。一般来说，如果用户需要在易优云上安装CAS，可以选择使用KVM虚拟化技术，这是易优云默认支持的一种虚拟化方式。在KVM虚拟化环境下，用户可以创建一个虚拟机，并在其中安装CAS。
此外，如果用户需要更高的性能和可用性，也可以选择使用其他虚拟化技术，如VMware等。总之，易优云提供了多种虚拟化技术，用户可以根据自己的需求选择适合的虚拟化方式，安装CAS等应用程序。

一，业务分析

在分布式系统架构中，假设把上述的三个子系统部署在三个不同的服务器上。前提是用户登录之后才能访问这些子系统。那么使用传统方式，可能会存在这样的问题：

1当访问用户中心，需要用户登录帐号

2当访问购物车，还需要用户登录帐号

3当访问商品结算，又一次需要用户登录帐号

访问每一个子系统都需要用户登录帐号，这样的体验对于用户来说是极差。而使用单点登录就可以很好地解决上述的问题。

二，单点登录

单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

我们目前的系统存在诸多子系统，而这些子系统是分别部署在不同的服务器中，那么使用传统方式的 session 是无法解决的，我们需要使用相关的单点登录技术来解决。

第一步 ：用户访问应用系统1。过滤器判断用户是否登录，没有登录，则重定向（302）到认证系统去进行认证 *** 作。

第二步 ：重定向到认证系统，显示登录界面，用户输入用户名密码。认证系统将用户登录的信息记录到服务器的session中。

第三步 ：认证系统给浏览器发送一个特殊的凭证ticket，浏览器将凭证交给应用系统1，应用系统1则拿着浏览器交给他的凭证ticket去认证系统验证凭证ticket是否有效。凭证ticket若是有效，将用户信息保存到应用系统1的session中一份，并告知应用系统1，用户通过认证。

第四步 ：用户通过认证，浏览器与网站之间进行正常的访问。

第五步 ：当用户再次访问应用系统1，由于应用系统1的session中有用户信息，所以就不用经过认证系统认证，就可以直接访问应用系统1了。

第六步 ：当用户再去访问其他应用系统时，浏览器会带着凭证ticket过去，其他应用系统到认证系统验证凭证，凭证ticket若是有效，将用户信息保存到其他应用系统的session中一份，并告知其他应用系统，用户通过认证。

第七步 ：用户通过认证，浏览器与网站之间进行正常的访问。

第八步 ：当用户再次访问其他应用系统，由于其他应用系统的session中有用户信息，所以就不用经过认证系统认证，就可以直接访问其他应用系统了。

三、Yelu大学研发的CAS(Central Authentication Server)

1什么是CAS？

CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法，CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点：

1开源的企业级单点登录解决方案。

2CAS Server 为需要独立部署的 Web 应用。这个CAS框架已经提供

3CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用)，包括Java, Net, PHP, Perl, Apache, uPortal, Ruby 等。

从结构上看，CAS 包含两个部分： CAS Server 和 CAS Client。CAS Server 需要独立部署，主要负责对用户的认证工作；CAS Client 负责处理对客户端受保护资源的访问请求，需要登录时，重定向到 CAS Server。下图是 CAS 最基本的协议过程：

2CAS的详细登录流程

该图主要描述

1第一次访问>