Configuración de la configuración del proveedor de servicio SAML

El Lenguaje de marcado de aserción de seguridad (SAML) es una de las opciones que puede seleccionar al configurar la autorización para un dominio híbrido o empresarial. SAML se utiliza principalmente para admitir SSO en varios dominios. Cuando SAML está configurado como proveedor de autenticación, los usuarios inician sesión y se autentican en AEM formularios a través de un proveedor de identidad de terceros (IDP) especificado.

Para obtener una explicación de SAML, consulte Security Assertion Markup Language (SAML) V2.0 Technical Overview.

  1. En la consola de administración, haga clic en Configuración > Administración de usuarios > Configuración > Configuración de Proveedor de servicio de SAML.

  2. En el cuadro Id. de entidad de Proveedor de servicio, escriba un identificador único para utilizarlo como identificador para la implementación de proveedor de servicio de formularios AEM. También debe especificar esta ID única al configurar su IDP (por ejemplo, um.lc.com). También puede utilizar la dirección URL que se utiliza para acceder a AEM formularios (por ejemplo, https://AEMformsserver).

  3. En el cuadro Dirección URL base del Proveedor de servicio, escriba la dirección URL base para el servidor de formularios (por ejemplo, https://AEMformsserver:8080).

  4. (Opcional) Para permitir que los formularios AEM envíen solicitudes de autenticación firmadas al IDP, realice las siguientes tareas:

    • Utilice el Administrador de confianza para importar una credencial en formato PKCS #12 con la credencial de firma de Documento seleccionada como tipo de almacén de confianza. (Consulte Administración de credencialeslocales.)
    • En la lista Alias de clave de credencial de Proveedor de servicio, seleccione el alias asignado a las credenciales en el almacén de confianza.
    • Haga clic en Exportar para guardar el contenido de la URL en un archivo y, a continuación, importe dicho archivo en su IDP.
  5. (Opcional) En la lista de directiva de ID de nombre de Proveedor de servicio, seleccione el formato de nombre que utiliza el IDP para identificar al usuario en una afirmación de SAML. Las opciones son No especificado, Correo electrónico y Nombre cualificado del dominio de Windows.

    Nota

    Los formatos de nombre no distinguen entre mayúsculas y minúsculas.

  6. (Opcional) Seleccione Activar el mensaje de autenticación para los usuarios locales. Cuando se selecciona esta opción, los usuarios verán dos vínculos:

    • vínculo a la página de inicio de sesión del proveedor de identidad SAML de terceros, donde los usuarios que pertenecen a un dominio Enterprise pueden autenticarse.
    • vínculo a la página de inicio de sesión de los formularios AEM, donde los usuarios que pertenecen a un dominio local pueden autenticarse.

    Cuando esta opción no está seleccionada, los usuarios serán llevados directamente a la página de inicio de sesión del proveedor de identidad SAML de terceros, donde los usuarios que pertenecen a un dominio Enterprise pueden autenticarse.

  7. (Opcional) Seleccione Activar enlace de artefacto para activar la compatibilidad con enlace de artefacto. De forma predeterminada, el enlace de POST se utiliza con SAML. Sin embargo, si ha configurado Enlace de artefacto, seleccione esta opción. Cuando se selecciona esta opción, la afirmación del usuario real no se pasa a través de la solicitud del explorador. En su lugar, se pasa un puntero a la afirmación y ésta se recupera mediante una llamada de servicio web back-end.

  8. (Opcional) Seleccione Activar enlace de redirección para admitir enlaces SAML que utilizan redirecciones.

  9. (Opcional) En Propiedades personalizadas, especifique propiedades adicionales. Las propiedades adicionales son pares name=value separados por nuevas líneas.

    • Puede configurar formularios AEM para que emitan una afirmación SAML para un período de validez que coincida con el período de validez de una afirmación de terceros. Para respetar el tiempo de espera de afirmación de SAML de terceros, agregue la línea siguiente en Propiedades personalizadas:

      saml.sp.honour.idp.assertion.expiry=true

    • Añada la siguiente propiedad personalizada para usar RelayState para determinar la dirección URL a la que se redirigirá al usuario tras autenticarse correctamente.

      saml.sp.use.relaystate=true

    • Añada la siguiente propiedad personalizada para configurar la dirección URL de las páginas de servidor Java (JSP) personalizadas, que se utilizarán para representar la lista registrada de los proveedores de identidad. Si no ha implementado una aplicación web personalizada, utilizará la página Administración de usuarios predeterminada para procesar la lista.

    saml.sp.discovery.url=/custom/custom.jsp

  10. Haga clic en Guardar.

En esta página