Konfigurieren der SAML-Dienstanbietereinstellungen configure-saml-service-provider-settings

Security Assertion Markup Language (SAML) ist eine der Optionen, die Sie beim Konfigurieren der Autorisierung für eine Unternehmens- oder Hybrid-Domain auswählen können. SAML wird hauptsächlich zum Unterstützen der einmaligen Anmeldung in mehreren Domains verwendet. Wenn SAML als Ihr Authentifizierungsanbieter konfiguriert ist, melden sich Benutzer an und authentifizieren sich über einen angegebenen Identitäts-Provider (IDP) AEM Formularen.

Eine Erläuterung von SAML finden Sie unter Security Assertion Markup Language (SAML) V2.0 - Technische Übersicht.

  1. Klicken Sie in Administration Console auf "Einstellungen"> "User Management"> "Konfiguration"> "SAML-Dienstanbietereinstellungen".

  2. Geben Sie in das Feld "Service Provider Entity ID"eine eindeutige ID ein, die als Kennung für die Implementierung des AEM Forms-Dienstanbieters verwendet werden soll. Sie müssen diese eindeutige ID auch beim Konfigurieren Ihres Identitätsanbieters (IDP) (z. B. um.lc.com angeben.) Sie können außerdem die URL verwenden, die zum Zugreifen auf AEM Forms verwendet wird (z. B. https://AEMformsserver).

  3. Geben Sie in das Feld "Service Provider Base URL"die Basis-URL für Ihren Forms-Server ein (z. B. https://AEMformsserver:8080).

  4. (Optional) Führen Sie die folgenden Aufgaben aus, damit AEM Formulare signierte Authentifizierungsanfragen an den IDP senden können:

    • Verwenden Sie Trust Manager, um eine Berechtigung im PKCS #12-Format zu importieren, wobei "Document Signing Credential"als Trust Store-Typ ausgewählt ist. (Siehe Lokale Berechtigungen verwalten.
    • Wählen Sie in der Liste "Schlüsselalias für Dienstanbieterberechtigungen"den Alias aus, den Sie der Berechtigung in Trust Store zugewiesen haben.
    • Klicken Sie auf Exportieren , um den URL-Inhalt in einer Datei zu speichern und diese Datei dann in Ihren IDP zu importieren.
  5. (Optional) Wählen Sie in der Liste "Service Provider Name ID Policy"das Namensformat aus, das der IDP verwendet, um den Benutzer in einer SAML-Assertion zu identifizieren. Die Optionen sind Nicht angegeben, E-Mail und Windows Domain Qualified Name.

    note note
    NOTE
    Bei Namensformaten wird nicht zwischen Groß- und Kleinschreibung unterschieden.
  6. (Optional) Wählen Sie Authentifizierungspflicht für lokale Benutzer aktivieren aus. Wenn diese Option ausgewählt ist, sehen Benutzer zwei Links:

    • eine Verknüpfung zur Anmeldeseite eines dritten SAML-Identitätsanbieters, wo sich Benutzer authentifizieren können, die zu einer Unternehmens-Domain gehören.
    • eine Verknüpfung zur AEM Forms-Anmeldeseite, wo sich Benutzer identifizieren können, die zu einer lokalen Domain gehören.

    Wenn diese Option nicht ausgewählt ist, werden Benutzer direkt zur Anmeldeseite des dritten SAML-Identitätsanbieters geleitet, wo sich Benutzer authentifizieren können, die zu einer Unternehmensdomäne gehören.

  7. (Optional) Wählen Sie "Artefaktbindung aktivieren", um die Unterstützung für die Artefaktbindung zu aktivieren. Standardmäßig wird die POST-Bindung mit SAML verwendet. Wenn Sie jedoch die Artefaktbindung konfiguriert haben, wählen Sie diese Option aus. Wenn diese Option ausgewählt ist, wird die tatsächliche Benutzerassertion nicht über die Browser-Anforderung weitergeleitet. Stattdessen wird ein Verweis auf die Assertion übergeben und die Assertion mithilfe eines Backend-Webdienstaufrufs abgerufen.

  8. (Optional) Wählen Sie "Redirect Binding aktivieren", um SAML-Bindungen zu unterstützen, die Umleitungen verwenden.

  9. (Optional) Geben Sie unter "Benutzerdefinierte Eigenschaften"zusätzliche Eigenschaften an. Die zusätzlichen Eigenschaften sind Name=Wert-Paare, getrennt durch neue Zeilen.

    • Sie können AEM Formulare so konfigurieren, dass eine SAML-Bestätigung für einen Gültigkeitszeitraum ausgegeben wird, der dem Gültigkeitszeitraum einer Bestätigung eines Drittanbieters entspricht. Um das Zeitlimit für die SAML-Assertion eines Drittanbieters zu berücksichtigen, fügen Sie die folgende Zeile in den benutzerdefinierten Eigenschaften hinzu:

      saml.sp.honour.idp.assertion.expiry=true

    • Fügen Sie die folgende benutzerdefinierte Eigenschaft für die Verwendung von RelayState hinzu, um die URL zu bestimmen, an die der Benutzer nach erfolgreicher Authentifizierung weitergeleitet wird.

      saml.sp.use.relaystate=true

    • Fügen Sie die folgende benutzerdefinierte Eigenschaft hinzu, damit Sie die URL für die benutzerdefinierten Java™ Server Pages (JSP) konfigurieren können, die zum Rendern der registrierten Liste von Identitätsanbietern verwendet wird. Wenn Sie keine benutzerdefinierte Webanwendung bereitgestellt haben, wird die Liste auf der standardmäßigen User Management-Seite gerendert.

    saml.sp.discovery.url=/custom/custom.jsp

  10. Klicken Sie auf „Speichern“.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2