SAML 2.0 驗證處理常式

AEM隨附SAML驗證處理常式。 此處理常式支援使用HTTP POST系結的SAML 2.0驗證請求通訊協定(Web-SSO描述檔)。

它支援:

  • 簽署和加密訊息
  • 自動建立使用者
  • 同步群組至AEM中的現有群組
  • 服務提供者和身分提供者啟始的驗證

此處理常式會將加密的SAML回應訊息儲存在使用者節點(usernode/samlResponse)中,以利與協力廠商服務提供者通訊。

注意

請參閱AEM和SAML整合的展示

若要閱讀端對端社群文章,請按一下:將SAML與Adobe Experience Manager整合。

設定SAML 2.0驗證處理常式

Web控制台提供對SAML 2.0驗證處理常式組態的存取,稱為​Adobe Granite SAML 2.0驗證處理常式。 可以設定以下屬性。

注意

SAML 2.0驗證處理常式預設為停用。 您必須至少設定以下屬性之一才能啟用處理程式:

  • 身分提供者POST URL。
  • 服務提供者實體ID。
注意

SAML斷言會經過簽署,並可選擇加密。 為了達到此目的,您必須至少在TrustStore中提供身分提供者的公開憑證。 如需詳細資訊,請參閱將IdP憑證新增至TrustStore區段。

PathRepository 路徑,Sling應使用此驗證處理常式。如果此為空白,則會停用驗證處理常式。

服務 排名OSGi Framework服務排名值,以指出呼叫此服務的順序。這是一個整數值,其中較高的值指定較高的優先順序。

IDP憑證 別名全域信任存放區中IdP憑證的別名。如果此屬性為空,則禁用驗證處理程式。 請參閱下方的「將IdP憑證新增至AEM TrustStore」一章,瞭解如何設定。

SAML驗證 請求應傳送至之IDP的身分提供者URL。如果此屬性為空,則禁用驗證處理程式。

注意

必須將身分提供者主機名稱新增至​Apache Sling Referrer Filter OSGi組態。 有關詳細資訊,請參閱Web控制台部分。

服務提供者實體 IDID,此IDID可唯一識別此服務提供者與身分提供者。如果此屬性為空,則禁用驗證處理程式。

預設重 新導向成功驗證後,要重新導向的預設位置。

注意

此位置僅在未設定request-path Cookie時使用。 如果您要求設定路徑下方的任何頁面,但沒有有效的登入Token,請求的路徑會儲存在Cookie中
成功驗證後,瀏覽器將重新導向至此位置。

User-ID屬 性包含用於在CRX儲存庫中驗證和建立用戶的用戶ID的屬性的名稱。

注意

使用者ID不會從SAML斷言的saml:Subject節點取得,而是從此saml:Attribute取得。

使用 加密此驗證處理常式是否需要加密的SAML斷言。

自動建立CRX 用戶成功驗證後是否在儲存庫中自動建立非現有用戶。

注意

如果禁用了CRX用戶的自動建立,則必須手動建立用戶。

新增至群 組成功驗證後,使用者是否應自動新增至CRX群組。

群組 成員資格包含此使用者應加入之CRX群組清單的saml:Attribute的名稱。

將IdP憑證新增至AEM TrustStore

SAML斷言會經過簽署,並可選擇加密。 為了使此功能發揮作用,您必須至少在儲存庫中提供IdP的公共證書。 為此,您需要:

  1. 前往​http:/serveraddress:serverport/libs/granite/security/content/truststore.html

  2. 按​Create TrustStore連結

  3. 輸入TrustStore的密碼,然後按​Save

  4. 按一下​管理TrustStore

  5. 上傳IdP憑證。

  6. 記下證書別名。 別名為​admin#1436172864930,如下例所示。

    chlimage_1-372

將服務提供者金鑰和憑證鏈新增至AEM金鑰庫

注意

以下步驟為必要步驟,否則會引發下列例外:com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store

  1. 前往:http://localhost:4502/libs/granite/security/content/useradmin.html
  2. 編輯authentication-service使用者。
  3. 按一下「帳戶設定」下的「建立KeyStore」,建立KeyStore。
注意

只有當處理程式應能夠簽署或解密訊息時,才需要下列步驟。

  1. 按一下​選擇私鑰檔案​上載私鑰檔案。 密鑰表示為PKCS#8格式,具有DER編碼。

  2. 按一下​選擇證書鏈檔案​上載證書檔案。

  3. 指定別名,如下所示:

    chlimage_1-373

配置SAML記錄器

您可以設定記錄器,以除錯任何因SAML設定錯誤而可能產生的問題。 您可以透過下列方式執行此動作:

  1. 前往Web控制台,網址為​http://localhost:4502/system/console/configMgr

  2. 搜尋並按一下名為​Apache Sling Logging Logger Configuration​的項目

  3. 使用以下配置建立記錄器:

    • 記錄檔層級:除
    • 日誌檔案: logs/saml.log
    • Logger: com.adobe.granite.auth.saml

本頁內容