GitLab使用CAS服务进行单点登录配置

1.配置gitlab使用CAS服务登录

需要配置的相关参数如下：

启用Omniauth登录。设置Omniauth_enable 参数为true，在版本11.4以后是默认开启的。
只使用cas服务进行登录。设置omniauth_auto_sign_in_with_provider参数为cas3。
配置omniauth_allow_single_sign_on参数控制第三方登录的用户自动创建。为true的时候，所有的第三方登录都会自动创建用户，为false的时候，所有的第三方登录都不会自动创建用户。还可以是list，比如[‘cas3’]，只为列表里有的第三方登录的自动创建用户。
配置omniauth_block_auto_created_users参数控制自动创建的用户是否被锁定，为true的时候，自动创建的用户全部被锁定，需要管理员操作解锁后才能使用。为false的时候，自动创建的用户可正常使用，因此当设置为false的时候，就需要保证，对于第三方登录的用户完全可控。
配置omniauth_providers参数确定具体的cas的协议的相关链接。

根据安装方式不同，配置文档的路径不同，配置文档的格式也不同。

使用安装包安装，配置文档的路径：/etc/gitlab/gitlab.rb
使用源代码安装，配置文档的路径：GITPATH/config/gitlab.yml

使用安装包安装的需要新增的配置代码如下：

gitlab_rails['omniauth_allow_single_sign_on'] = false
gitlab_rails['omniauth_block_auto_created_users'] = false
gitlab_rails['omniauth_auto_sign_in_with_provider'] = 'cas3'
gitlab_rails['omniauth_providers'] = [{"name"=> "cas3","label"=> "cas-wenba","args"=> {"url"=> 'http://localhost:8091',"login_url"=> '/sso/login',"service_validate_url"=> '/sso/p3/serviceValidate',"logout_url"=> '/sso/logout'}}
]

1.1 配置注销登录的接口

经测试，在注销登录时，gitlab不会自动调用配置的cas的注销接口，这是gitlab目前的一个bug。我们可以采用登录root账号，然后配置After sign out path为cas的注销接口来解决。配置方式如下：

登录root账号，进入admin area，选择settings ，选择general，选择sign-in retrictions。
配置After sign out path 为cas服务的注销接口。然后点击“save changes”保存修改。

PS：After sign out path 中的url必须带service参数，该service参数是cas注销登录后的重定向地址，所以service的值为gitlab的登录url。

2. gitlab账号与CAS账号之间的关系

gitlab自己本身维护一套用户系统，cas服务也一套用户系统，gitlab可以将两者关联起来，然后用户可以选择其中一种方式进行登录就可以了。

根据用户是否有gitlab账号，可以分为两种情况：

已有gitlab账号的，用户可按原来的登录方式进行登录，然后在用户设置里关联cas账号，也可以由root账号进行统一的关联。
没有gitlab账号的，在直接使用cas服务登录的时候，根据参数的配置，分为以下几种情况：
2.1 自动创建同名的gitlab账号，锁定该账号。需要登录root账号，解锁该账号，然后完善个人信息以后，可以使用。配置如下

gitlab_rails['omniauth_allow_single_sign_on'] = ['cas3']
gitlab_rails['omniauth_block_auto_created_users'] = true

2.2 自动创建同名的gitlab账号，不锁定该账号。完善个人信息以后，就可以使用。

gitlab_rails['omniauth_allow_single_sign_on'] = ['cas3']
gitlab_rails['omniauth_block_auto_created_users'] = false

2.3 不创建账号，直接提示”需要绑定已有的账号"。

gitlab_rails['omniauth_allow_single_sign_on'] = false

3. 使用Root账号将普通gitlab账号和CAS账号关联和解除关联

除了用户自己可以进行gitlab账号和cas账号的关联外，root账号可以为所有的gitlab账号关联cas账号。具体步骤如下：

登录root账号，进入admin area，选择Users。
点击需要关联cas账号的用户。选择identities。点击new identity，为该用户新增一个identity
选择一个provider，也就是前面配置的cas服务，输入identifier，点击”save changes",即可完成gitlab账号与cas账号的绑定。
PS：这里的identifier，是gitlab向cas服务器端发送验证请求的时候，验证成功后，cas服务器返回给gitlab的值。我们的cas服务返回的是用户的用户名，因此，我们的identifier需要填用户名。

3.2 普通gitlab账号和CAS账号关联的解除和修改

与前面关联账号的步骤一样，登录root账号，进入admin area，选择Users，点击需要解除关联cas账号的用户，选择identities。delete相应的identifier，即可解除关联，选择edit进行identifier的编辑修改。

相关链接

gitlab接入cas官方文档
注销url不起作用的bug