Same-Site-Cookie-Unterstützung für AEM 6.5 same-site-cookie-support-for-aem-65
Seit Version 80 ist in Chrome und Safari ein neues Modell für die Sicherheit von Cookies enthalten. Dieser Modus führt mittels der Einstellung SameSite
Sicherheitskontrollen für Cookies auf Drittanbieter-Sites ein. Weitere Informationen finden Sie in diesem web.dev-Artikel, wo SameSite-Cookies erklärt werden.
Der Standardwert dieser Einstellung (SameSite=Lax
) kann dazu führen, dass die Authentifizierung zwischen AEM-Instanzen oder -Services nicht funktioniert. Dies liegt daran, dass die Domains oder URL-Strukturen dieser Services möglicherweise nicht unter die Beschränkungen dieser Cookie-Richtlinie fallen.
Um dies zu umgehen, müssen Sie das Cookie-Attribut SameSite
für das Login-Token auf None
setzen.
SameSite=None
wird nur angewendet, wenn das Protokoll sicher ist (HTTPS).WARN com.day.crx.security.token.TokenCookie Skip 'SameSite=None'
Sie können die Einstellung mit den nachfolgenden hinzufügen:
- Wechseln Sie zur Web-Konsole unter
http://serveraddress:serverport/system/console/configMgr
- Suchen Sie nach dem Adobe Granite Token Authentication Handler und klicken Sie darauf.
- Legen Sie das SameSite-Attribut für das Cookie des Anmelde-Tokens auf
None
fest, wie in der Abbildung unten dargestellt.
- Klicken Sie auf „Speichern“.
- Sobald diese Einstellung aktualisiert wurde und Benutzer sich abgemeldet und erneut angemeldet haben, ist für
login-token
-Cookies dasNone
-Attribut festgelegt und sie sind in den Site-übergreifenden Anforderungen enthalten.