- 管理ユーザーガイドの概要
- Sites の機能
- 運用
- ダッシュボード
- 操作ダッシュボード
- バックアップと復元
- データストアのガベージコレクション
- JMX コンソールを使用したサーバーリソースの監視
- ログの使用
- リッチテキストエディターの設定
- ビデオコンポーネントの設定
- Bulk Editor
- メール通知の設定
- アクセス可能なサイトを生成するための RTE の設定
- リンクチェッカー
- AEM のトラブルシューティング
- AEM 6 での監査ログのメンテナンス
- 編集者
- ワークフローへのアクセスの管理
- AEM での cURL の使用
- ページ編集のための取り消しの設定
- プロキシサーバーツール(proxy.jar)
- AEM アプリケーション用の設定
- ワークフローの管理
- 検索フォームの設定
- ツールコンソール
- レポート
- ワークフローインスタンスの管理
- レイアウトコンテナおよびレイアウトモードの設定
- クラシック UI へのアクセスの有効化
- ワークフローの開始
- リッチテキストエディタープラグインの設定
- 管理コンソール
- セキュリティ
- ユーザー管理とセキュリティ
- ユーザー、グループおよびアクセス権限の管理
- セキュリティチェックリスト
- OWASP Top 10
- 実稼動準備モードでの AEM の実行
- ID 管理
- AEM Managed Services に対する Adobe IMS 認証およびアドミンコンソールのサポート
- 閉じられたユーザーグループの作成
- AEM でのシリアル化の問題の軽減
- ユーザー同期
- カプセル化されたトークンのサポート
- シングルサインオン
- AEM でのユーザー管理操作を監査する方法
- デフォルトの SSL
- SAML 2.0 認証ハンドラー
- AEM の閉じられたユーザーグループ
- Granite の操作 - ユーザー管理とグループ管理
- AEM での CRXDE Lite の有効化
- AEM 6 での LDAP の設定
- インストール時の admin パスワードの設定
- AEM のサービスユーザー
- 設定プロパティの暗号化サポート
- AEM の基盤での GDPR 要求の処理
- Content Disposition フィルター
- パーソナライズ機能
- e コマース
- 統合
- サードパーティのサービスとの統合
- Salesforce との統合
- Adobe Target との統合
- Adobe Analytics との統合
- Adobe Analytics への接続とフレームワークの作成
- Adobe Analytics のリンクトラッキングの設定
- コンポーネントデータと Adobe Analytics プロパティとのマッピング
- Adobe Analytics のビデオトラッキングの設定
- コンテンツの HTTP/2 配信の FAQ
- Adobe Campaign 統合に関するトラブルシューティング
- SharePoint Connector のライセンス、著作権情報および免責事項
- SharePoint コネクター
- DHTML ビューアのサポート終了に関する FAQ
- Adobe Campaign Classic との統合
- 関連するコミュニティ記事
- Adobe Campaign Standard との統合
- Flash ビューアのサポート終了に関する通知
- Adobe Creative Cloudとの統合
- Adobe Dynamic Tag Management との統合
- Adobe Analytics および Adobe Target との統合のオプトイン
- AEM ポータルとポートレット
- Dynamic Media Classic との統合
- 統合に関する問題のトラブルシューティング
- BrightEdge Content Optimizer との結合
- メールテンプレートのベストプラクティス
- カタログ作成機能
- Silverpop Engage との統合
- Adobe Campaign との統合
- ExactTarget との統合
- Analytics と外部プロバイダー
- Adobe Marketing Cloud との統合
- 手動での Adobe Target との統合の設定
- Adobe Target との統合の前提条件
- Adobe Classifications
- ソリューション統合
- エクスペリエンスフラグメントとの Target 統合
- ベストプラクティス
- コンテンツ管理
カプセル化されたトークンのサポート
はじめに
デフォルトでは、AEMはトークン認証ハンドラーを使用して各要求を認証します。 ただし、認証要求を処理するために、トークン認証ハンドラーは要求ごとにリポジトリにアクセスする必要があります。 これは、認証状態の維持に cookie が使用されるためです。 論理的には、後続のリクエストを検証するために、状態をリポジトリ内に保持する必要があります。 つまり、認証メカニズムはステートフルです。
これは、水平的な拡張性に特に重要です。 以下に示すパブリッシュファームのようなマルチインスタンス設定では、最適な方法でロードバランシングを実現できません。 ステートフル認証では、永続化された認証状態は、ユーザーが最初に認証されたインスタンスでのみ使用できます。
例として、次のシナリオを考えてみましょう。
ユーザーはパブリッシュインスタンス 1 で認証される場合がありますが、後続のリクエストがパブリッシュインスタンス 2 に送られる場合、そのインスタンスはその永続認証状態を持ちません。これは、その状態がパブリッシュ 1 とパブリッシュ 2 に独自のリポジトリがあるからです。
この解決策は、ロードバランサーレベルでスティッキー接続を設定することです。 スティッキー接続を使用すると、ユーザーは常に同じパブリッシュインスタンスに向けられます。 その結果、真に最適なロードバランシングは実現できません。
パブリッシュインスタンスが使用できなくなった場合、そのインスタンスで認証されたすべてのユーザーのセッションが失われます。 これは、認証 cookie を検証するにはリポジトリへのアクセスが必要だからです。
カプセル化されたトークンを使用したステートレス認証
AEM の新しいカプセル化されたトークンサポートを使用したステートレス認証により、水平方向のスケーラビリティを確保できます。
カプセル化されたトークンは、AEM がリポジトリにアクセスすることなく、オフラインで安全に認証情報を作成および検証できるようにするための暗号化技術です。これにより、すべてのパブリッシュインスタンスで認証リクエストが発生し、スティッキー接続が不要になります。 また、リポジトリは認証要求ごとにアクセスする必要がないので、認証パフォーマンスを向上させる利点もあります。
MongoMK オーサーインスタンスと TarMK パブリッシュインスタンスによる地理的に分散したデプロイメントでこれがどのように機能するかを以下に示します。
カプセル化されたトークンは認証に関するものです。 これにより、リポジトリにアクセスしなくても、Cookie を検証できます。 ただし、ユーザーがすべてのインスタンス上に存在し、そのユーザーの下に保存された情報にすべてのインスタンスからアクセスできる必要があります。
例えば、パブリッシュインスタンス番号 1 で新しいユーザーが作成された場合、カプセル化されたトークンの動作の仕組みにより、パブリッシュインスタンス番号 2 で正常に認証されます。 ユーザーが 2 番目のパブリッシュインスタンスに存在しない場合、要求は成功しません。
カプセル化されたトークンの設定
ユーザーを同期し、トークン認証(SAML や OAuth など)に依存するすべての認証ハンドラーは、次の場合、カプセル化されたトークンでのみ機能します。
-
スティッキーセッションが有効になっている、または
-
同期の開始時に、AEM で既にユーザーが作成されている。つまり、同期プロセスの実行中にハンドラーがユーザーを作成するような状況では、暗号化されたトークンはサポートされません。
カプセル化されたトークンを設定する際には、次の点を考慮する必要があります。
- 暗号化が関係するので、すべてのインスタンスに同じ HMAC キーが必要です。 AEM 6.3 以降、キー資料はリポジトリには格納されなくなり、実際のファイルシステムに格納されます。 この点を念頭に置いて、キーをレプリケートする最善の方法は、キーをレプリケート先のターゲットインスタンスのファイルシステムからコピーすることです。 詳しくは、以下の「HMAC キーのレプリケーション」を参照してください。
- カプセル化されたトークンを有効にする必要があります。 これは、Web コンソールを通じておこなえます。
HMAC キーのレプリケート
HMAC 鍵は、/etc/key のバイナリプロパティとしてリポジトリに存在します。その横にある View リンクをクリックすることで別個にダウンロードできます。
インスタンス間で鍵をレプリケーションするには、次の手順に従います。
-
コピーする鍵要素を含む AEM インスタンス(通常はオーサーインスタンス)にアクセスします。
-
ローカルファイルシステム内で、
com.adobe.granite.crypto.fileを見つけます。例えば、次のパスにあります。- <author-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21
各フォルダー内の
bundle.infoファイルは、バンドル名を示します。 -
データフォルダーに移動します。例:
<author-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21/data
-
HMAC ファイルとマスターファイルをコピーします。
-
次に、HMAC キーの複製先のターゲットインスタンスに移動し、データフォルダーにアクセスします。例:
<publish-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21/data
-
前の手順でコピーした 2 つのファイルを貼り付けます。
-
ターゲットインスタンスが既に実行されている場合は、Crypto バンドルを更新します。
-
鍵のレプリケーション先のすべてのインスタンスに対して上記の手順を繰り返します。
カプセル化されたトークンの有効化
HMAC 鍵がレプリケートされたら、Web コンソールを介してカプセル化されたトークンを有効化できます。
- ブラウザーで
https://serveraddress:port/system/console/configMgrを指定します。 - という名前のエントリを探します。 Day CRX Token Authentication Handler をクリックします。
- 次の画面で「Enable encapsulated token support」ボックスにチェックマークを入れて「Save」を押します。
Business.Adobe.com リソース
リソース
アドビアカウント
