- 管理ユーザーガイドの概要
- Sites の機能
- 運用
- ダッシュボード
- 操作ダッシュボード
- バックアップと復元
- データストアのガベージコレクション
- JMX コンソールを使用したサーバーリソースの監視
- ログの使用
- リッチテキストエディターの設定
- ビデオコンポーネントの設定
- Bulk Editor
- 電子メール通知の設定
- アクセス可能なサイトを生成するための RTE の設定
- リンクチェック
- AEM のトラブルシューティング
- AEM 6 での監査ログのメンテナンス
- 編集者
- ワークフローへのアクセスの管理
- AEM での cURL の使用
- ページ編集のための取り消しの設定
- プロキシサーバーツール(proxy.jar)
- AEM アプリケーション用の設定
- ワークフローの管理
- 検索フォームの設定
- ツールコンソール
- レポート
- ワークフローインスタンスの管理
- レイアウトコンテナおよびレイアウトモードの設定
- クラシック UI へのアクセスの有効化
- ワークフローの開始
- リッチテキストエディタープラグインの設定
- 管理コンソール
- セキュリティ
- ユーザー管理とセキュリティ
- ユーザー、グループおよびアクセス権限の管理
- セキュリティチェックリスト
- OWASP Top 10
- 実稼動準備モードでの AEM の実行
- ID 管理
- AEM Managed Services に対する Adobe IMS 認証およびアドミンコンソールのサポート
- 閉じられたユーザーグループの作成
- AEM でのシリアル化の問題の軽減
- ユーザー同期
- カプセル化されたトークンのサポート
- シングルサインオン
- AEM でのユーザー管理操作を監査する方法
- デフォルトの SSL
- SAML 2.0 認証ハンドラー
- AEM の閉じられたユーザーグループ
- Granite の操作 - ユーザー管理とグループ管理
- AEM での CRXDE Lite の有効化
- AEM 6 での LDAP の設定
- インストール時の admin パスワードの設定
- AEM のサービスユーザー
- 設定プロパティの暗号化サポート
- AEM の基盤での GDPR 要求の処理
- Content Disposition フィルター
- パーソナライズ機能
- e コマース
- 統合
- サードパーティのサービスとの統合
- Salesforce との統合
- Adobe Target との統合
- Livefyre との統合
- Adobe Analytics との統合
- Adobe Analytics への接続とフレームワークの作成
- Adobe Analytics のリンクトラッキングの設定
- コンポーネントデータと Adobe Analytics プロパティとのマッピング
- Adobe Analytics のビデオトラッキングの設定
- コンテンツの HTTP/2 配信の FAQ
- Adobe Campaign 統合に関するトラブルシューティング
- SharePoint Connector のライセンス、著作権情報および免責事項
- SharePoint コネクター
- DHTML ビューアのサポート終了に関する FAQ
- Adobe Campaign Classic との統合
- 関連するコミュニティ記事
- Adobe Campaign Standard との統合
- Flash ビューアのサポート終了に関する通知
- Adobe Creative Cloud との統合
- 製品フィード
- Adobe Dynamic Tag Management との統合
- Adobe Analytics および Adobe Target との統合のオプトイン
- AEM ポータルとポートレット
- Dynamic Media Classicとの統合
- AEM Livefyre のレシピ
- 統合に関する問題のトラブルシューティング
- BrightEdge Content Optimizer との結合
- 電子メールテンプレートのベストプラクティス
- カタログ作成機能
- Silverpop Engage との統合
- Adobe Campaign との統合
- ExactTarget との統合
- Analytics と外部プロバイダー
- Adobe Marketing Cloud との統合
- 手動での Adobe Target との統合の設定
- Adobe Target との統合の前提条件
- Adobe Classifications
- Adobe Search&Promote との統合
- ソリューション統合
- エクスペリエンスフラグメントとのTarget 統合
- ベストプラクティス
- コンテンツ管理
カプセル化されたトークンのサポート
はじめに
デフォルトでは、AEM は各リクエストの認証にトークン認証ハンドラーを使用します。ただし、認証リクエストに対応するために、トークン認証ハンドラーはリクエストごとにリポジトリにアクセスする必要があります。これは、認証の状態を維持するのに cookie が使用されるからです。理論上、後続のリクエストを検証するには、リポジトリに状態が保持される必要があります。要するに、認証メカニズムがステートフルであるということです。
これは、水平方向のスケーラビリティを確保するために特に重要です。以下のパブリッシュファームのようなマルチインスタンスの設定では、最適なロードバランシングは実現できません。ステートフル認証では、保持された認証状態はユーザーが最初に認証されたインスタンスでのみ使用できます。
次のシナリオを例として使用します。
ユーザーはパブリッシュインスタンス 1 で認証できますが、後続のリクエストがパブリッシュインスタンス 2 に送られても、状態はパブリッシュ 1 のリポジトリに保持されており、パブリッシュ 2 には独自のリポジトリがあるのでその保持された認証状態を持ちません。
これを解決するには、ロードバランサーレベルで定着接続を設定します。定着接続を使用すると、ユーザーは常に同じパブリッシュインスタンスに送られます。その結果、真に最適なロードバランシングは実現しません。
あるパブリッシュインスタンスが使用できなくなると、そのインスタンスで認証されているすべてのユーザーのセッションが失われます。これは、認証の cookie の検証にはリポジトリへのアクセスが必要なためです。
カプセル化されたトークンを使用したステートレス認証
AEM の新しいカプセル化されたトークンサポートを使用したステートレス認証により、水平方向のスケーラビリティを確保できます。
カプセル化されたトークンは、AEMがリポジトリにアクセスすることなく、認証情報をオフラインで安全に作成および検証できる暗号化機能です。 この方法により、認証リクエストがすべてのパブリッシュインスタンスでおこなわれるようになるので、定着接続は不要です。また、認証リクエストごとにリポジトリにアクセスする必要がなくなるので、認証のパフォーマンスが向上するというメリットもあります。
MongoMK オーサーインスタンスと TarMK パブリッシュインスタンスによる地理的に分散したデプロイメントでこれがどのように機能するかを以下に示します。
カプセル化されたトークンは認証に使用されます。これにより、リポジトリにアクセスすることなく cookie を確実に検証できます。ただし、すべてのインスタンスにユーザーが存在し、そのユーザーの下に保存された情報にすべてのインスタンスがアクセスできる必要があります。
例えば、パブリッシュインスタンス 1 に新しく作成されたユーザーは、カプセル化されたトークンにより、パブリッシュインスタンス 2 でも正常に認証されます。ユーザーがパブリッシュインスタンス 2 に存在しない場合、リクエストは失敗します。
カプセル化されたトークンの設定
ユーザーを同期し、トークン認証(SAMLやOAuthなど)に依存するすべての認証ハンドラーは、カプセル化されたトークンでのみ機能します。
-
スティッキーセッションが有効になっている。
-
同期の開始時に、AEMで既にユーザーが作成されています。 つまり、同期処理中にハンドラーcreateユーザーが発生する状況では、カプセル化されたトークンはサポートされません。
カプセル化されたトークンを設定する際には、いくつかの点を考慮する必要があります。
- 関与する暗号作成技術により、すべてのインスタンスに同じ HMAC 鍵が必要です。AEM 6.3 以降、鍵要素はリポジトリではなく、実際のファイルシステムに保存されます。したがって、鍵をレプリケーションするのに最適な方法は、ソースインスタンスのファイルシステムから、鍵のレプリケーション先となるターゲットインスタンスのファイルシステムに鍵要素をコピーすることです。詳しくは、次の「HMAC 鍵のレプリケーション」を参照してください。
- カプセル化されたトークンを有効にする必要があります。これは Web コンソールで実行できます。
HMAC 鍵のレプリケーション
HMACキーは、リポジトリ内に/etc/keyのバイナリプロパティとして存在します。 その横にある View リンクをクリックすることで別個にダウンロードできます。
インスタンス間で鍵をレプリケーションするには、次の手順に従います。
-
コピーする鍵要素を含む AEM インスタンス(通常はオーサーインスタンス)にアクセスします。
-
ローカルファイルシステム内で、
com.adobe.granite.crypto.fileを見つけます。例えば、次のパスにあります。- <author-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21
各フォルダー内の
bundle.infoファイルは、バンドル名を示します。 -
データフォルダーに移動します。次に例を示します。
<author-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21/data
-
HMAC とマスターファイルをコピーします。
-
次に、HMAC 鍵の複製先となるターゲットインスタンスにアクセスし、データフォルダーに移動します。次に例を示します。
<publish-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21/data
-
前の手順でコピーした 2 つのファイルを貼り付けます。
-
ターゲットインスタンスが既に実行されている場合は、Crypto バンドルを更新します。
-
鍵のレプリケーション先のすべてのインスタンスに対して上記の手順を繰り返します。
カプセル化されたトークンの有効化
HMAC 鍵がレプリケートされたら、Web コンソールを介してカプセル化されたトークンを有効化できます。
- ブラウザーで
https://serveraddress:port/system/console/configMgrを参照します。 - Day CRX Token Authentication Handler というエントリを探し、クリックします。
- 次の画面で「Enable encapsulated token support」ボックスにチェックマークを入れて「Save」を押します。
アドビアカウント
