シングルサインオン

シングルサインオン（SSO）は、ユーザーが認証の資格情報（ユーザー名、パスワードなど）を一度入力すれば、その後は複数のシステムにアクセスできるようにするものです。個別のシステム（信頼された認証として知られる）が認証を実行し、Adobe Experience Manager に対してユーザーの資格情報を提供します。Adobe Experience Manager がそのユーザーのアクセス権を確認し、適用します（つまり、ユーザーがアクセスを許可されているリソースを決定します）。

SSO 認証ハンドラーサービス（com.adobe.granite.auth.sso.impl.SsoAuthenticationHandler）は、信頼された認証が提供する認証結果を処理します。 SSO 認証ハンドラーは、次の順序で特別な属性の値として ssid（SSO 識別子）を検索します。

1. 要求ヘッダー
2. cookie
3. 要求パラメーター

値が見つかった場合は、検索を終了し、その値を使用します。

以下の 2 つのサービスについて、この ssid が格納された属性の名前を認識できるように設定します。

• ログインモジュール
• SSO 認証サービス

両方のサービスに同じ属性名を指定する必要があります。 属性は Repository.login に提供される SimpleCredentials が含められます。属性の値は無関係で無視されます。単に存在していることが重要で検証されます。

SSO の設定

AEM インスタンス用に SSO を設定するには、SSO Authentication Handler を設定する必要があります。

1. AEM を操作しているときは、このようなサービスの設定を管理する方法がいくつかあります。詳細および推奨事項については、OSGi の設定を参照してください。

   例えば、NTLM の場合は以下のように設定します。

   • パス：​必要に応じて設定します（/ など）。

   • ヘッダー名：LOGON_USER

   • ID 形式：^<DOMAIN>\\(.+)$

     <*DOMAIN*> を独自のドメイン名に置き換えてください。
     CoSign の場合：

   • パス：​必要に応じて設定します（/ など）。

   • ヘッダー名：remote_user

   • ID 形式：AsIs

   SiteMinder の場合：

   • パス：必要に応じて設定します（/ など）。
   • ヘッダー名：SM_USER
   • ID 形式：AsIs

2. 認証を含め、シングルサインオンが要求どおりに動作していることを確認します。

Felix コンソールの「Authenticator」オプションを使用すると、コンテンツツリーのすべてのセクションに適用される認証ハンドラーを確認できます。次に例を示します。

http://localhost:4502/system/console/slingauth

パスに最適なハンドラーが最初に照会されます。例えば、パス / に handler-A を設定し、パス /content に handler-B を設定すると、/content/mypage.html へのリクエストに対して handler-B が最初に照会されます。

例

cookie リクエスト（URL http://localhost:4502/libs/wcm/content/siteadmin.html を使用）の例を次に示します。

GET /libs/cq/core/content/welcome.html HTTP/1.1
Host: localhost:4502
Cookie: TestCookie=admin

次の設定を使用します。

• パス：/

• ヘッダー名：TestHeader

• cookie 名：TestCookie

• パラメーター名：TestParameter

• ID 形式：AsIs

応答は次のようになります。

HTTP/1.1 200 OK
Connection: Keep-Alive
Server: Day-Servlet-Engine/4.1.24
Content-Type: text/html;charset=utf-8
Date: Thu, 23 Aug 2012 09:58:39 GMT
Transfer-Encoding: chunked

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "https://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
    <title>Welcome to Adobe&reg; CQ5</title>
....

これは、次をリクエストした場合にも機能します。

http://localhost:4502/libs/cq/core/content/welcome.html?TestParameter=admin

または、次の curl コマンドを使用して、TestHeader ヘッダーを admin: に送信します

curl -D - -H "TestHeader: admin" http://localhost:4502/libs/cq/core/content/welcome.html

AEM サインアウトリンクの削除

SSO を使用する場合、サインインとサインアウトは外部で処理されるので、AEM 独自のサインアウトリンクは不要であり、削除する必要があります。

ようこそ画面のサインアウトリンクは以下の手順で削除できます。

1. /libs/cq/core/components/welcome/welcome.jsp を /apps/cq/core/components/welcome/welcome.jsp にオーバーレイします

2. jsp の以下の部分を削除します。

   <a href="#" onclick="signout('<%= request.getContextPath() %>');" class="signout"><%= i18n.get("sign out", "welcome screen") %>

右上隅にあるユーザーの個人メニューのサインアウトリンクを削除するには、以下の手順を実行します。

1. /libs/cq/ui/widgets/source/widgets/UserInfo.js を /apps/cq/ui/widgets/source/widgets/UserInfo.js にオーバーレイします

2. ファイルの以下の部分を削除します。

   menu.addMenuItem({
       "text":CQ.I18n.getMessage("Sign out"),
       "cls": "cq-userinfo-logout",
       "handler": this.logout
   });
   menu.addSeparator();