- Administering用户指南概述
- 站点功能
- 操作
- 安全
- 用户管理和安全
- 用户、组和访问权限管理
- 安全检查列表
- OWASP前10
- 在生产就绪模式下运行AEM
- 身份管理
- AdobeAEM Managed Services的IMS身份验证和Admin Console支持
- 创建封闭用户组
- 在AEM中缓解序列化问题
- 用户同步
- 封装的令牌支持
- 单点登录
- 如何在AEM中审核用户管理操作
- 默认情况下为SSL
- SAML 2.0 身份验证处理程序
- AEM中的已关闭用户组
- Granite操作 — 用户和组管理
- 在AEM中启用CRXDE Lite
- 使用AEM 6配置LDAP
- 在安装时配置管理员密码
- AEM中的服务用户
- 对配置属性的加密支持
- 为AEM Foundation处理GDPR请求
- 内容处置过滤器
- 个性化
- 电子商务
- 集成
- 与第三方服务集成
- 与 Salesforce 集成
- 与 Adobe Target 集成
- 与 Livefyre 集成
- 与 Adobe Analytics 集成
- 连接到Adobe Analytics和创建框架
- 为Adobe Analytics配置链接跟踪
- 使用Adobe Analytics属性映射组件数据
- 为Adobe Analytics配置视频跟踪
- HTTP2 内容交付常见问题解答
- Adobe Campaign集成故障诊断
- SharePoint连接器许可证、版权声明和免责声明
- SharePoint Connector
- DHTML 查看器生命周期结束常见问题解答
- 与Adobe Campaign Classic集成
- 相关社区文章
- 与Adobe Campaign Standard集成
- Flash 查看器生命周期终止通知
- 与Adobe Creative Cloud集成
- 产品信息源
- 与Adobe动态标签管理集成
- 选择加入Adobe Analytics和Adobe Target
- AEM门户和Portlet
- 与Dynamic Media Classic集成
- AEM Livefyre 指南
- 集成问题疑难解答
- 与BrightEdge Content Optimizer集成
- 电子邮件模板最佳实践
- 目录制作者
- 与Silverpop Engage集成
- 与Adobe Campaign集成
- 与ExactTarget集成
- Analytics与外部提供程序
- 与Adobe Marketing Cloud集成
- 手动配置与Adobe Target的集成
- 与Adobe Target集成的先决条件
- Adobe分类
- 与AdobeSearch&Promote集成
- 解决方案集成
- Target与体验片段集成
- 最佳实践
- 内容管理
SAML 2.0 身份验证处理程序
AEM随SAML身份验证处理程序一起提供。 此处理程序支持使用HTTP POST绑定的SAML 2.0身份验证请求协议(Web-SSO配置文件)。
它支持:
- 消息的签名和加密
- 自动创建用户
- 将组同步到AEM中的现有组
- 服务提供商和身份提供商启动了身份验证
此处理程序将加密的SAML响应消息存储在用户节点(usernode/samlResponse)中,以便于与第三方服务提供商进行通信。
请参阅AEM与SAML集成的演示。
要阅读端到端社区文章,请单击:将SAML与Adobe Experience Manager集成。
配置SAML 2.0身份验证处理程序
Web控制台提供对SAML 2.0身份验证处理程序配置(称为AdobeGranite SAML 2.0身份验证处理程序)的访问。 可以设置以下属性。
默认情况下,SAML 2.0身份验证处理程序处于禁用状态。 要启用处理程序,必须至少设置以下属性之一:
- 身份提供程序POSTURL。
- 服务提供商实体ID。
SAML断言已签名,并且可以选择进行加密。 要使此功能正常工作,您必须在TrustStore中至少提供身份提供者的公共证书。 有关更多信息,请参阅将IdP证书添加到TrustStore部分。
Sling应使用此身份验证处理程序的PathRepository路径。如果为空,则将禁用身份验证处理程序。
服务 排名OSGi框架服务排名值,指示调用此服务的顺序。这是一个整数值,其中较高的值指定较高的优先级。
IDP证 书别名全局信任存储中IdP证书的别名。如果此属性为空,则禁用身份验证处理程序。 有关如何设置IdP证书的信息,请参阅下面的“将IdP证书添加到AEM TrustStore”一章。
应将 SAML身份验证请求发送到的IDP的身份提供程序URL。如果此属性为空,则禁用身份验证处理程序。
必须将身份提供程序主机名添加到Apache Sling反向链接过滤器 OSGi配置中。 有关更多信息,请参阅Web控制台部分。
服务提供商实 体IDID,用标识提供商唯一标识此服务提供商。如果此属性为空,则禁用身份验证处理程序。
默认重 定向成功身份验证后要重定向到的默认位置。
仅当未设置request-path Cookie时,才使用此位置。 如果您请求配置路径下的任何页面时没有有效的登录令牌,则请求的路径将存储在Cookie中
并且,成功身份验证后,浏览器将再次重定向到此位置。
用户ID属 性包含用于在CRX存储库中验证和创建用户的用户ID的属性的名称。
用户ID不会从SAML断言的saml:Subject节点获取,而是从此saml:Attribute获取。
使用加 密此身份验证处理程序是否需要加密的SAML断言。
自动创建CRX 用户成功身份验证后,是否在存储库中自动创建非现有用户。
如果禁用了CRX用户的自动创建,则必须手动创建用户。
添加到 组成功身份验证后是否应自动将用户添加到CRX组。
群组 成员资格saml:Attribute的名称,其中包含应将此用户添加到的CRX群组列表。
将IdP证书添加到AEM TrustStore
SAML断言已签名,并且可以选择进行加密。 要使其正常工作,您必须在存储库中至少提供IdP的公共证书。 为此,您需要:
-
转到http:/serveraddress:serverport/libs/granite/security/content/truststore.html
-
按Create TrustStore链接
-
输入TrustStore的密码,然后按Save。
-
单击管理TrustStore。
-
上载IdP证书。
-
请注意证书别名。 以下示例中的别名为admin#1436172864930。
将服务提供商密钥和证书链添加到AEM密钥库
必须执行以下步骤,否则将引发以下异常:com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
- 转到:http://localhost:4502/libs/granite/security/content/useradmin.html
- 编辑
authentication-service用户。 - 单击帐户设置下的创建KeyStore以创建KeyStore。
只有在处理程序应能对消息进行签名或解密时,才需要执行以下步骤。
-
单击选择私钥文件上传私钥文件。 密钥要求采用PKCS#8格式,且采用DER编码。
-
单击选择证书链文件上传证书文件。
-
分配别名,如下所示:
为SAML配置日志记录器
您可以设置一个记录器,以调试因错误配置SAML而可能引发的任何问题。 您可以通过以下方式执行此操作:
-
转到Web控制台,位于http://localhost:4502/system/console/configMgr
-
搜索并单击名为Apache Sling日志记录记录器配置的条目
-
使用以下配置创建日志记录器:
- 日志级别: 调试
- 日志文件: logs/saml.log
- 记录器: com.adobe.granite.auth.saml
