Configurazione dei provider di autenticazione

I domini ibridi richiedono almeno un provider di autenticazione e i domini aziendali richiedono almeno un provider di autenticazione o di directory.

Se si abilita SSO utilizzando SPNEGO, aggiungere un provider di autenticazione Kerberos con SPNEGO abilitato e un provider LDAP come backup. Questa configurazione abilita l'autenticazione utente con un ID utente e una password se SPNEGO non funziona. (Vedere Abilitare SSO utilizzando SPNEGO.)

Aggiungi un provider di autenticazione

  1. Nella console di amministrazione, fai clic su Impostazioni > Gestione utente > Gestione dominio.
  2. Fai clic su un dominio esistente nell’elenco. Se stai aggiungendo l'autenticazione per un nuovo dominio, consulta Aggiungi un dominio enterprise o Aggiungi un dominio ibrido.
  3. Fare clic su Aggiungi autenticazione e, nell'elenco Provider di autenticazione, selezionare un provider, a seconda del meccanismo di autenticazione utilizzato dall'organizzazione.
  4. Fornisci eventuali informazioni aggiuntive richieste sulla pagina. (Vedere Impostazioni di autenticazione.)
  5. (Facoltativo) Fai clic su Prova per testare la configurazione.
  6. Fare clic su OK, quindi di nuovo su OK.

Modificare un provider di autenticazione esistente

  1. Nella console di amministrazione, fai clic su Impostazioni > Gestione utente > Gestione dominio.
  2. Fai clic sul dominio appropriato nell’elenco.
  3. Nella pagina visualizzata, seleziona il provider di autenticazione appropriato dall’elenco e apporta le modifiche necessarie. (Vedere Impostazioni di autenticazione.)
  4. Fai clic su OK.

Eliminare un provider di autenticazione

  1. Nella console di amministrazione, fai clic su Impostazioni > Gestione utente > Gestione dominio.
  2. Fai clic sul dominio appropriato nell’elenco.
  3. Selezionare le caselle di controllo per i provider di autenticazione da eliminare e fare clic su Elimina.
  4. Fare clic su OK nella pagina di conferma visualizzata e fare di nuovo clic su OK.

Impostazioni di autenticazione

Sono disponibili le seguenti impostazioni, a seconda del tipo di dominio e del tipo di autenticazione scelto.

Impostazioni LDAP

Se si configura l'autenticazione per un dominio enterprise o ibrido e si seleziona l'autenticazione LDAP, è possibile scegliere di utilizzare il server LDAP specificato nella configurazione della directory oppure scegliere un altro server LDAP da utilizzare per l'autenticazione. Se scegli un server diverso, gli utenti devono esistere su entrambi i server LDAP.

Per utilizzare il server LDAP specificato nella configurazione della directory, selezionare LDAP come provider di autenticazione e fare clic su OK.

Per utilizzare un server LDAP diverso per eseguire l'autenticazione, selezionare LDAP come provider di autenticazione e selezionare la casella di controllo Autenticazione LDAP personalizzata. Vengono visualizzate le seguenti impostazioni di configurazione.

Server: (obbligatorio) nome di dominio completo (FQDN) del server delle directory. Ad esempio, per un computer chiamato x sulla rete example.com, l'FQDN è x.example.com. Un indirizzo IP può essere utilizzato al posto del nome del server FQDN.

Porta: (obbligatoria) la porta utilizzata dal server delle directory. In genere 389 o 636 se il protocollo SSL (Secure Sockets Layer) viene utilizzato per l'invio di informazioni di autenticazione sulla rete.

SSL: (obbligatorio) Specifica se il server di directory utilizza SSL quando invia dati sulla rete. Il valore predefinito è No. Se è impostato su Sì, il certificato del server LDAP corrispondente deve essere considerato attendibile dall'ambiente di runtime Java™ (JRE) del server dell'applicazione.

Binding (obbligatorio) Specifica come accedere alla directory.

Anonimo: non è richiesto alcun nome utente o password.

Utente: l'autenticazione è obbligatoria. Nella casella Nome specificare il nome del record utente che può accedere alla directory. È consigliabile inserire il nome distinto completo (DN) dell’account utente, ad esempio cn=Jane Doe, ou=user, dc=can, dc=com. Nella casella Password specificare la password associata. Queste impostazioni sono necessarie quando si seleziona Utente come opzione Binding.

Recupera DN di base: (non obbligatorio) Recupera i DN di base e li visualizza nell'elenco a discesa. Questa impostazione è utile quando disponi di più DN di base e devi selezionare un valore.

Base DN: (obbligatorio) utilizzato come punto iniziale per la sincronizzazione di utenti e gruppi dalla gerarchia LDAP. È consigliabile specificare un DN di base al livello più basso della gerarchia che includa tutti gli utenti e i gruppi che devono essere sincronizzati per i servizi. Non includere il DN dell’utente in questa impostazione. Per sincronizzare un particolare utente, utilizza l’impostazione Filtro di ricerca .

Compila la pagina con: (Non obbligatorio) Se selezionato, compila gli attributi nelle pagine delle impostazioni Utente e Gruppo con i corrispondenti valori LDAP predefiniti.

Filtro di ricerca: (obbligatorio) il filtro di ricerca da utilizzare per trovare il record associato all’utente. Consulta la sezione sulla sintassi del filtro di ricerca.

Impostazioni Kerberos

Se si configura l'autenticazione per un dominio enterprise o ibrido e si seleziona l'autenticazione Kerberos, sono disponibili le seguenti impostazioni.

IP DNS: l’indirizzo IP DNS del server in cui è in esecuzione AEM moduli. In Windows, è possibile determinare questo indirizzo IP eseguendo ipconfig /all alla riga di comando.

Host KDC: nome host o indirizzo IP completo del server Active Directory utilizzato per l'autenticazione.

Utente del servizio: se si utilizza Active Directory 2003, questo valore corrisponde al mapping creato per l'entità del servizio nel modulo HTTP/<server name>. Se si utilizza Active Directory 2008, questo valore corrisponde all'ID di accesso dell'entità del servizio. Ad esempio, si supponga che l’entità servizio sia denominata um spnego, che l’ID utente sia sptrading demo e che la mappatura sia HTTP/example.yourcompany.com. Con Active Directory 2003, è possibile impostare l'utente del servizio su HTTP/example.yourcompany.com. Con Active Directory 2008, è possibile impostare l'utente del servizio su sptrading demo. (Consultare Abilitare SSO utilizzando SPNEGO.)

Realm del servizio: nome di dominio per Active Directory

Password del servizio: password dell'utente del servizio

Abilita SPNEGO: abilita l'uso di SPNEGO per single sign-on (SSO). (Consultare Abilitare SSO utilizzando SPNEGO.)

Impostazioni SAML

Se si configura l'autenticazione per un dominio enterprise o ibrido e si seleziona l'autenticazione SAML, sono disponibili le seguenti impostazioni. Per informazioni sulle impostazioni SAML aggiuntive, vedere Configurare le impostazioni del provider di servizi SAML.

Selezionare un file di metadati del provider di identità SAML da importare: fare clic su Sfoglia per selezionare un file di metadati del provider di identità SAML generato dal tuo IDP, quindi fare clic su Importa. Vengono visualizzati i dettagli dell’IDP.

Titolo: alias all’URL indicato da EntityID. Il titolo viene inoltre visualizzato nella pagina di accesso per gli utenti aziendali e locali.

Il provider di identità supporta l’autenticazione di base del client: l’autenticazione di base del client viene utilizzata quando l’IDP utilizza un profilo di risoluzione degli artefatti SAML. In questo profilo, User Management si connette a un servizio Web in esecuzione all'IDP per recuperare l'asserzione SAML effettiva. L'IDP potrebbe richiedere l'autenticazione. Se l’IDP richiede l’autenticazione, seleziona questa opzione e specifica un nome utente e una password nelle caselle fornite.

Proprietà personalizzate: consente di specificare proprietà aggiuntive. Le proprietà aggiuntive sono coppie nome=valore separate da nuove righe.

Se si utilizza il binding degli artefatti, sono necessarie le seguenti proprietà personalizzate.

  • Aggiungi la seguente proprietà personalizzata per specificare un nome utente che rappresenta il provider di servizi AEM forms, che verrà utilizzato per l’autenticazione al servizio IDP di risoluzione degli artefatti.
    saml.idp.resolve.username=<username>

  • Aggiungi la seguente proprietà personalizzata per specificare la password per l'utente specificato in saml.idp.resolve.username.
    saml.idp.resolve.password=<password>

  • Aggiungi la seguente proprietà personalizzata per consentire al provider di servizi di ignorare la convalida del certificato durante la determinazione della connessione con il servizio di risoluzione degli artefatti su SSL.
    saml.idp.resolve.ignorecert=true

Impostazioni personalizzate

Se si configura l'autenticazione per un dominio enterprise o ibrido e si seleziona Autenticazione personalizzata, selezionare il nome del provider di autenticazione personalizzato.

Provisioning in tempo reale degli utenti

Il provisioning in tempo reale crea automaticamente un utente nel database User Management dopo che l'utente è stato autenticato correttamente tramite un provider di autenticazione. Anche i ruoli e i gruppi rilevanti vengono assegnati in modo dinamico al nuovo utente. Puoi abilitare il provisioning in tempo per i domini enterprise e ibridi.

Questa procedura descrive il funzionamento dell’autenticazione tradizionale nei moduli AEM:

  1. Quando un utente tenta di accedere AEM moduli, Gestione utente trasmette le credenziali in sequenza a tutti i provider di autenticazione disponibili. (Le credenziali di accesso includono combinazione nome utente/password, ticket Kerberos, firma PKCS7 e così via.)

  2. Il provider di autenticazione convalida le credenziali.

  3. Il provider di autenticazione controlla quindi se l'utente esiste nel database User Management. Sono possibili i seguenti stati:

    ​ExistsSe l'utente è corrente e sbloccato, User Management restituisce l'autenticazione riuscita. Tuttavia, se l'utente non è corrente o è bloccato, Gestione utente restituisce un errore di autenticazione.

    Non esisteUser Management restituisce un errore di autenticazione.

    ​InvalidUser Management restituisce un errore di autenticazione.

  4. Viene valutato il risultato restituito dal provider di autenticazione. Se il provider di autenticazione ha restituito l'autenticazione, l'utente può effettuare l'accesso. In caso contrario, User Management controlla con il provider di autenticazione successivo (passaggi 2-3).

  5. Se le credenziali utente non vengono convalidate da alcun provider di autenticazione disponibile, viene restituito un errore di autenticazione.

Quando il provisioning in tempo reale è abilitato, i nuovi utenti vengono creati in modo dinamico in Gestione utente se uno dei provider di autenticazione convalida le proprie credenziali. (Dopo la fase 3 della procedura precedente.)

Senza il provisioning in tempo reale, quando un utente viene autenticato correttamente ma non viene trovato nel database di Gestione utente, l'autenticazione non riesce. Il provisioning in tempo reale aggiunge un passaggio nella procedura di autenticazione per creare l’utente e assegnare ruoli e gruppi all’utente.

Abilitare il provisioning just-in-time per un dominio

  1. Scrivere un contenitore di servizi che implementa le interfacce IdentityCreator e AssignmentProvider. (Vedere Programmazione con moduli AEM.)

  2. Distribuire il contenitore di servizio al server dei moduli.

  3. Nella console di amministrazione, fai clic su Impostazioni > Gestione utente > Gestione dominio.

    Selezionare un dominio esistente o fare clic su Nuovo dominio organizzazione.

  4. Per creare un dominio, fare clic su Nuovo dominio Enterprise o Nuovo dominio ibrido. Per modificare un dominio esistente, fai clic sul nome del dominio.

  5. Selezionare Abilita solo in provisioning tempo.

    nota ​: Se la casella di controllo Abilita provisioning in tempo è mancante, fare clic su Home > Impostazioni > Gestione utente > Configurazione > Attributi di sistema avanzati, quindi fare clic su Ricarica.

  6. Aggiungi provider di autenticazione. Durante l’aggiunta di provider di autenticazione, nella schermata Nuova autenticazione , seleziona un creatore di identità registrato e un fornitore di assegnazione. (Consulta Configurazione dei provider di autenticazione.)

  7. Salva il dominio.

In questa pagina