появилась необходимость реализовать SSO для двух разных приложений - первое написано на Java/Spring а второе на PHP/WordPress.

В данный момент разбираюсь с CAS Jasig и не могу до конца понять принцип его работы. Каждое из моих приложений в данный момент использует собственную базу данных для управления своими пользователями. В случае подключения Jasig к проекту как CAS провайдера где должны располагаться пользователи ? Правильно ли я понимаю, что Jasig должен вести собственную базу абсолютно всех пользователей всех приложений(для осуществления SSO аутентификации) а каждое из приложений(Spring, WordPress) должны иметь собственные копии этих пользователей в своих базах данных во круг которых будет построена уникальная для конкретного приложения бизнесс схема а кореляция между пользователями различных приложений будет осуществляться по некоему так сказать Jasig_ID ?

Petro123,

спасибо за ответ.

авторпервое - да

не совсем понял какому из моих предположений соотвествует это утверждение поэтому уточню на всякий раз, вот этотому ?

авторJasig должен вести собственную базу абсолютно всех пользователей всех приложений(для осуществления SSO аутентификации) а каждое из приложений(Spring, WordPress) должны иметь собственные копии этих пользователей в своих базах данных во круг которых будет построена уникальная для конкретного приложения бизнесс схема

а на счет

авторкореляция между пользователями различных приложений будет осуществляться по некоему так сказать Jasig_ID

так как каждое из приложений ведет собственные базы данных пользователей(фактически копии пользователей из Jasig базы данных) то не исключен случай когда новый пользователь каким-то образом попадет в какуе-то из баз какого-то из приложений минуя Jasig entry point.. В таком случае я предположил, что было б уместно в локальных базах сохранять некий признак для одного и того же пользователя который будет идентичен для всех приложений(например id пользователя из личной Jasig базы данных)... Возможно это излишняя логика.. это было лишь моим предположением.

Petro123,

авторЗачем они в базе нужны, если аутентификацию делает третий сервер.

просто тот же Wordpress имеет в схеме свою таблицу юзеров и скорее всего без нее не стартанет.. думаю хотя бы вот для этого прийдется их дублировать..

Еще один вопрос - насколько я понял после успешной аутентификаии через Jasig последний выдаст Jasig service ticket( это accessToken ?) который я должен буду передать клиенту(пользователю в браузер) и тот в свою очередь все свои запросы к закрытым ресурсам должен будет дополнять этим токеном в том виде в котором он был выдан Jasig CAS ?

Почему спрашиваю - в данный момент в моем Spring приложении используется собственный OAuth2 авторизационный сервер и насколько я понимаю, после перевода системы на Jasig мне прийдется этот OAuth2 напрочь выпилять из приложения и всю аутентификацию строить только на Jasig + Spring Security ? С клиента(AngularJS) на REST API моего приложения теперь будет необходимо слать вместо OAuth2 accessToken - Jasig service ticket ?

Petro123,

какие данные об пользователе я могу передавать от CAS Jasig сервера к клиентам, я так понимаю в так называемые атрибуты https://wiki.jasig.org/display/casum/attributes#Attributes-Attributes я могу всунуть любой набор произвольных данных об аутентифицированном пользователе которые известны CAS серверу ?

Эти атрибуты https://wiki.jasig.org/display/casum/attributes#Attributes-Attributes для этого и предназначены или я их неправильно понимаю ?