Dokumentation

Beheben von Authentifizierungsfehlern mit mehreren Identitätsanbietern in Adobe Experience Manager

Last update: Fri May 09 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Bei der Integration mehrerer Identitätsanbieter (IDPs) in Adobe Experience Manager (AEM) treten Authentifizierungsfehler auf. Diese Probleme entstehen durch die Verwendung nicht eindeutiger Prinzipalnamen in verschiedenen IDPs, was zu Konflikten in AEM führt. Um diese Anmeldeprobleme zu beheben, stellen Sie sicher, dass jeder IDP eindeutige Prinzipalnamen verwendet und verwalten Sie den Benutzerstatus entsprechend.

Beschreibung description

Umgebung

Adobe Experience Manager (AEM)

Problem/Symptome

  • Das Problem tritt auf, weil der rep:principalName bei verschiedenen IDPs identisch bleibt, sodass AEM nicht zwischen Benutzern unterscheiden kann, die sich über verschiedene OAuth-Anbieter anmelden. Dieser Mangel an Differenzierung führt zu Anmeldeproblemen.

Technische Details

  • Wenn sich ein Benutzer in AEM mit einem IDP anmeldet, wird ein Benutzereintrag mit Attributen wie rep:principalName und rep:externalId erstellt. Der rep:principalName stellt die lokale Benutzer-ID in AEM dar, während rep:externalId den Benutzer mit dem externen IDP verknüpft.
    • Beispiel für einen Benutzerknoten in AEM:
{
  "jcr:primaryType": "rep:User",
  "jcr:mixinTypes": [ "rep:AccessControllable"] ,
  "jcr:createdBy": "",
  "jcr:created": "Date and Time",
  "rep:principalName": "unique_principal_name",
  "rep:lastSynced": "Date and Time",
  "jcr:uuid": "unique-identifier",
  "rep:externalId": "user@domain.com;idp_identifier",
  "rep:authorizableId": "unique_principal_name"
}

Auflösung resolution

So beheben Sie dieses Problem:

  • Ändern Sie die mapUserId-Methode in der Implementierung Ihres OAuth-Providers, um eine eindeutige Kennung oder ein eindeutiges Präfix für jeden OAuth-Provider anzuhängen. Dadurch wird sichergestellt, dass rep:principalName für jeden Anbieter eindeutig ist, wodurch Konflikte vermieden werden.
  • Wenn sich ein(e) Benutzende® mit einem zweiten IDP anmeldet und der Synchronisierungs-Handler nicht übereinstimmt, kann der/die Benutzende in AEM deaktiviert werden. Dies wird durch das Attribut rep:disabled angezeigt:
{  "rep:disabled": "No longer exists on external identity provider 'idp_identifier'"}
  • Führen Sie nach der Implementierung der Änderungen gründliche Tests durch, um eine erfolgreiche Anmeldung bei verschiedenen IDPs sicherzustellen. Wenn die Probleme weiterhin bestehen, überprüfen Sie die Implementierung und erwägen Sie, das Support-Ticket erneut zu öffnen, um weitere Untersuchungen durchzuführen.

Wenden Sie sich bei weiteren Fragen an den Adobe-Support.

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f