SAML 2.0 身份验证处理程序

AEM随SAML身份验证处理程序提供。 此处理函数使用HTTP POST绑定支持 SAML 2.0身份验证请求协议(Web-SSO用户档案)。

它支持:

  • 消息签名和加密
  • 自动创建用户
  • 将组同步到AEM中的现有组
  • 服务提供商和标识提供者启动的身份验证

此处理函数将加密的SAML响应消息存储在用户节点(usernode/samlResponse)中,以便于与第三方服务提供商进行通信。

注意

请参阅AEM和SAML集成的演示

要阅读端到端社区文章,请单击:将SAML与Adobe Experience Manager集成。

配置SAML 2.0身份验证处理程序

Web控制台提供对SAML 2.0身份验证处理程序配置(称为​AdobeGranite SAML 2.0身份验证处理程序)的访问。 可以设置以下属性。

注意

默认情况下,SAML 2.0身份验证处理程序处于禁用状态。 要启用该处理函数,必须至少设置以下属性之一:

  • 标识提供者POSTURL。
  • 服务提供商实体ID。
注意

SAML声明已签名,并可以选择进行加密。 为使此工作正常,您必须至少在TrustStore中提供标识提供者的公共证书。 有关详细信息,请参阅将IdP证书添加到TrustStore部分。

Path Repository路径,Sling应使用此身份验证处理程序。如果此为空,则将禁用身份验证处理程序。

服务 排名OSGi框架服务排名值用于指示调用此服务的顺序。这是一个整数值,其中值越高,表示优先级越高。

IDP证 书别名全局信任存储中IdP证书的别名。如果此属性为空,则会禁用身份验证处理程序。 请参见下面的“将IdP证书添加到AEM TrustStore”一章,了解如何设置它。

应将SAML 身份验证请求发送到的IDP的标识提供者URL。如果此属性为空,则会禁用身份验证处理程序。

注意

必须将标识提供者主机名添加到​Apache Sling推荐人过滤器 OSGi配置。 有关详细信息,请参阅Web控制台部分。

服务提供商实 体IDID,它以标识提供者唯一标识此服务提供商。如果此属性为空,则会禁用身份验证处理程序。

默认重 定向成功验证后要重定向到的默认位置。

注意

此位置仅在未设置request-path cookie时使用。 如果您请求配置路径下的任何页面时没有有效的登录令牌,则请求的路径将存储在cookie中
并且,成功验证后,浏览器将再次重定向到此位置。

User-ID属 性包含用于在CRX存储库中验证和创建用户的用户ID的属性的名称。

注意

用户ID不会从SAML断言的saml:Subject节点获取,而是从此saml:Attribute获取。

使用 加密无论此身份验证处理程序是否需要加密的SAML声明。

自动创建 CRX用户成功验证后,是否在存储库中自动创建非现有用户。

注意

如果禁用了CRX用户的自动创建,则用户必须手动创建。

添加到 组是否应在成功验证后自动将用户添加到CRX组。

成员关系包含此用户应添加到的CRX组列表的saml:属性的名称。

将IdP证书添加到AEM TrustStore

SAML声明已签名,并可以选择进行加密。 要使此功能正常工作,您必须至少在存储库中提供IdP的公共证书。 为此,您需要:

  1. 转到​http:/serveraddress:serverport/libs/granite/security/content/truststore.html

  2. 按​创建TrustStore链接

  3. 输入TrustStore的口令,然后按​保存

  4. 单击​管理TrustStore

  5. 上传IdP证书。

  6. 记下证书别名。 在以下示例中,别名为​admin#1436172864930

    chlimage_1-372

将服务提供商密钥和证书链添加到AEM密钥库

注意

以下步骤是必需的,否则将引发以下异常:com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store

  1. 转到:http://localhost:4502/libs/granite/security/content/useradmin.html
  2. 编辑authentication-service用户。
  3. 通过单击​帐户设置​下的​创建KeyStore​创建KeyStore。
注意

仅当处理程序应能对消息进行签名或解密时,才需要以下步骤。

  1. 通过单击​选择私钥文件​上载私钥文件。 PKCS#8格式的密钥需要DER编码。

  2. 单击​选择证书链文件​上载证书文件。

  3. 分配别名,如下所示:

    chlimage_1-373

为SAML配置记录器

您可以设置记录器以调试因错误配置SAML而可能出现的任何问题。 可通过以下方式执行此操作:

  1. 转至Web控制台,位于​http://localhost:4502/system/console/configMgr

  2. 搜索并单击名为​Apache Sling Logger Configuration​的条目

  3. 使用以下配置创建记录器:

    • 日志级别:调
    • 日志文件: logs/saml.log
    • Logger: com.adobe.granite.auth.saml

On this page

Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now