在AEM表單中啟用單一登入

AEM表格提供兩種啟用單一登入(SSO)的方式- HTTP標題和SPNEGO。

實作SSO時,AEM表單使用者登入頁面不是必要項目,如果使用者已透過其公司入口網站進行驗證,則不會顯示。

如果AEM表單無法使用其中任一方法來驗證使用者,則會將使用者重新導向至登入頁面。

使用HTTP標題啟用SSO

您可以使用「入口設定」頁面,在應用程式和任何支援透過HTTP標題傳送身分的應用程式之間啟用單一登入(SSO)。 實作SSO時,AEM表單使用者登入頁面不是必要項目,如果使用者已透過其公司入口網站進行驗證,則不會顯示。

您也可以使用SPNEGO啟用SSO。 (請參閱使用SPNEGO啟用SSO。)

  1. 在管理控制台中,按一下「設定>使用者管理>設定>設定入口屬性」。

  2. 選擇是以啟用SSO。 如果您選取「否」,頁面上的其餘設定將無法使用。

  3. 視需要設定頁面上的其餘選項,然後按一下「確定」:

    • SSO類型: (必要)選取「HTTP標題」,以使用HTTP標題啟用SSO。

    • 使用者識別碼的HTTP標題: (必要)其值包含登入使用者唯一識別碼的標題名稱。用戶管理使用此值在用戶管理資料庫中查找用戶。 從此標題獲取的值應與從LDAP目錄同步的用戶的唯一標識符匹配。 (請參閱使用者設定。)

    • 識別碼值會對應至使用者的使用者ID,而非使用者的唯一識別碼: 將使用者的唯一識別碼值對應至使用者ID。如果使用者的唯一識別碼是無法輕鬆透過HTTP標題傳播的二進位值(例如,如果您要從Active Directory同步使用者,請選取此選項)。

    • 網域的HTTP標題: (非必要)其值包含網域名稱的標題名稱。只有在沒有單一HTTP標題可唯一識別使用者時,才使用此設定。 若有多個網域且唯一識別碼僅在網域內為唯一,請使用此設定。 在這種情況下,請在此文本框中指定標題名稱,並在「域映射」框中為多個域指定域映射。 (請參閱編輯和轉換現有網域)。

    • 網域映射: (必要)指定以標頭值=網域名 稱格式映射多個網域

      例如,假設某個網域的HTTP標題為domainName,且其值可以是domain1、domain2或domain3。 在這種情況下,請使用域映射將domainName值映射到用戶管理域名。 每個映射必須位於不同的行上:

      domain1=UMdomain1

      domain2=UMdomain2

      domain3=UMdomain3

配置允許的引用器

有關配置允許引用的步驟,請參見配置允許的引用

使用SPNEGO啟用SSO

在Windows環境中使用Active Directory作為LDAP伺服器時,可以使用簡單和受保護的GSSAPI協商機制(SPNEGO)啟用單一登錄(SSO)。 啟用SSO時,AEM表單使用者登入頁面不是必要項目,也不會顯示。

您也可以使用HTTP標題來啟用SSO。 (請參閱使用HTTP標題啟用SSO)。

注意

JEE上的AEM Forms不支援在多個子網域環境中使用Kerberos/SPNEGO來設定SSO。

  1. 決定要使用哪個網域來啟用SSO。 AEM Forms伺服器和使用者必須屬於相同的Windows網域或受信任網域。

  2. 在Active Directory中,建立代表AEM表單伺服器的使用者。 (請參閱建立使用者帳戶。) 如果要配置多個域以使用SPNEGO,請確保每個用戶的口令不同。 如果密碼不同,SPNEGO SSO將不起作用。

  3. 映射服務承擔者名稱。 (請參閱映射服務主體名稱(SPN)。)

  4. 配置域控制器。 (請參見防止Kerberos完整性檢查失敗。)

  5. 添加域編輯和轉換現有域中所述添加或編輯企業域。 建立或編輯企業域時,請執行以下任務:

    • 添加或編輯包含Active Directory資訊的目錄。

    • 將LDAP添加為驗證提供程式。

    • 將Kerberos添加為身份驗證提供程式。 在Kerberos的「新建」或「編輯驗證」頁上提供以下資訊:

      • 驗證提供程式: Kerberos
      • DNS IP:執 行AEM表單之伺服器的DNS IP位址。通過在命令行上運行ipconfig/all,可以確定此IP地址。
      • KDC主機: 用於驗證的Active Directory伺服器的完全限定主機名或IP地址
      • 服務用戶: 傳遞給KtPass工具的服務主體名稱(SPN)。在先前使用的示例中,服務用戶為HTTP/lcserver.um.lc.com
      • 服務領域: Active Directory的域名。在先前使用的範例中,網域名稱為UM.LC.COM.
      • 服務密碼: 服務使用者的密碼。在先前使用的示例中,服務口令為password
      • 啟用SPNEGO: 啟用SPNEGO進行單一登入(SSO)。選取此選項。
  6. 配置SPNEGO客戶端瀏覽器設定。 (請參閱配置SPNEGO客戶端瀏覽器設定。)

建立使用者帳戶

  1. 在SPNEGO中,以使用者身分在網域控制器的Active Directory中註冊服務,以代表AEM表單。 在域控制器上,轉至「開始菜單」>「管理工具」>「Active Directory用戶和電腦」。 如果「管理工具」不在「開始」菜單中,請使用「控制面板」。

  2. 按一下「使用者」檔案夾以顯示使用者清單。

  3. 按一下右鍵用戶資料夾,然後選擇「新建」>「用戶」。

  4. 鍵入名字/姓氏和用戶登錄名,然後按一下下一步。 例如,設定下列值:

    • 名字:umspnego
    • 用戶登錄名:spnegodemo
  5. 輸入密碼。 例如,將其設定為​password。 請確定已選取「密碼永不過期」且未選取其他選項。

  6. 按一下「Next(下一步)」 ,然後按一下「Finish(完成)」。

映射服務主體名稱(SPN)

  1. 獲取KtPass實用程式。 該實用程式用於將SPN映射到領域。 您可以獲得KtPass實用程式作為Windows伺服器工具包或資源工具包的一部分。 (請參閱Windows Server 2003 Service Pack 1支援工具)。

  2. 在命令提示符下,使用以下參數運行ktpass :

    ktpass -princ HTTP/@ -mapuserhostREALMuser

    例如,鍵入以下文本:

    ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo

    您必須提供的值說明如下:

    host:表 單伺服器或任何唯一URL的完全限定名稱。在此範例中,它會設為lcserver.um.lc.com。

    REALM:域控 制器的Active Directory領域。在此範例中,它會設為UM.LC.COM。 請確定您以大寫字元輸入領域。 要確定Windows 2003的領域,請完成以下步驟:

    • 按一下右鍵「My Computer(我的電腦)」 ,然後選擇「Properties(屬性)」
    • 按一下「Computer Name(電腦名稱)」頁籤。 域名值是領域名。

    user:您 在上一項工作中建立的使用者帳戶登入名稱。在此示例中,它設定為spnegodemo。

如果您遇到此錯誤:

DsCrackNames returned 0x2 in the name entry for spnegodemo.  
ktpass:failed getting target domain for specified user.

請嘗試將使用者指定為spnegodemo@um.lc.com:

ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo

防止Kerberos完整性檢查失敗

  1. 在域控制器上,轉至「開始菜單」>「管理工具」>「Active Directory用戶和電腦」。 如果「管理工具」不在「開始」菜單中,請使用「控制面板」。
  2. 按一下「使用者」檔案夾以顯示使用者清單。
  3. 按一下右鍵在上一任務中建立的用戶帳戶。 在此範例中,使用者帳戶為spnegodemo
  4. 按一下「重設密碼」。
  5. 輸入並確認您先前輸入的相同密碼。 在此範例中,它設為password
  6. 取消選擇「Change Password At Next Logon(下次登錄時更改密碼)」 ,然後按一下「OK(確定)」。

配置SPNEGO客戶端瀏覽器設定

要使基於SPNEGO的驗證工作,客戶端電腦必須是建立用戶帳戶的域的一部分。 您還必須配置客戶端瀏覽器以允許基於SPNEGO的驗證。 此外,需要基於SPNEGO的驗證的站點必須是受信任的站點。

如果使用電腦名稱訪問伺服器,例如https://lcserver:8080*,*,則Internet Explorer不需要設定。 如果您輸入不含點("。")的URL,Internet Explorer會將該網站視為本機內部網路網站。 如果您使用完全限定的網站名稱,則必須將網站新增為受信任的網站。

設定Internet Explorer 6.x

  1. 前往「工具>網際網路選項」,然後按一下「安全性」標籤。
  2. 按一下本地內部網表徵圖,然後按一下站點。
  3. 按一下「進階」,然後在「將此網站新增至區域」方塊中,輸入表單伺服器的URL。 例如,鍵入https://lcserver.um.lc.com
  4. 按一下「確定」,直到關閉所有對話方塊。
  5. 存取AEM表單伺服器的URL,以測試設定。 例如,在瀏覽器URL方塊中,輸入https://lcserver.um.lc.com:8080/um/login?um_no_redirect=true

設定Mozilla Firefox

  1. 在瀏覽器URL方塊中,輸入about:config

    出現about:config - Mozilla Firefox對話框。

  2. 在「篩選」方塊中,輸入negotiate

  3. 在顯示的清單中,按一下network.negotiate-auth.trusted-uri ,並鍵入以下任一命令,以適合您的環境:

    .um.lc.com-將Firefox配置為允許SPNEGO訪問以um.lc.com結尾的任何URL。請確定您包含點("。") 開始時。

    lcserver.um.lc.com -將Firefox配置為僅允許對特定伺服器使用SPNEGO。請勿以點("。")開頭此值。

  4. 存取應用程式以測試設定。 目標應用程式的歡迎頁面應該會出現。

本頁內容