Same-Site-Cookie-Unterstützung für AEM 6.5 same-site-cookie-support-for-aem-65

Seit Version 80 ist in Chrome und Safari ein neues Modell für die Sicherheit von Cookies enthalten. Dieser Modus führt mittels der Einstellung SameSite Sicherheitskontrollen für Cookies auf Drittanbieter-Sites ein. Weitere Informationen finden Sie in diesem web.dev-Artikel, wo SameSite-Cookies erklärt werden.

Der Standardwert dieser Einstellung (SameSite=Lax) kann dazu führen, dass die Authentifizierung zwischen AEM-Instanzen oder -Services nicht funktioniert. Dies liegt daran, dass die Domains oder URL-Strukturen dieser Services möglicherweise nicht unter die Beschränkungen dieser Cookie-Richtlinie fallen.

Um dies zu umgehen, müssen Sie das Cookie-Attribut SameSite für das Login-Token auf None setzen.

CAUTION
Die Einstellung SameSite=None wird nur angewendet, wenn das Protokoll sicher ist (HTTPS).
Wenn das Protokoll nicht sicher (HTTP) ist, wird die Einstellung ignoriert und der Server zeigt diese Warnmeldung:
WARN com.day.crx.security.token.TokenCookie Skip 'SameSite=None'

Sie können die Einstellung mit den nachfolgenden hinzufügen:

  1. Wechseln Sie zur Web-Konsole unter http://serveraddress:serverport/system/console/configMgr
  2. Suchen Sie nach dem Adobe Granite Token Authentication Handler und klicken Sie darauf.
  3. Legen Sie das SameSite-Attribut für das Cookie des Anmelde-Tokens auf None fest, wie in der Abbildung unten dargestellt.
    samesite
  4. Klicken Sie auf „Speichern“.
  5. Sobald diese Einstellung aktualisiert wurde und Benutzer sich abgemeldet und erneut angemeldet haben, ist für login-token-Cookies das None-Attribut festgelegt und sie sind in den Site-übergreifenden Anforderungen enthalten.
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2