配置驗證提供器

混合網域需要至少一個驗證提供者,而企業網域則需要至少一個驗證提供者或目錄提供者。

如果使用SPNEGO啟用SSO,請添加啟用SPNEGO的Kerberos驗證提供程式和LDAP提供程式作為備份。 如果SPNEGO不工作,此配置將啟用用戶ID和口令的用戶驗證。 (請參閱使用SPNEGO啟用SSO。)

添加驗證提供程式

  1. 在管理控制台中,按一下「設定>使用者管理>網域管理」。
  2. 按一下清單中的現有域。 如果要為新域添加身份驗證,請參閱添加企業域添加混合域
  3. 按一下「新增驗證」,然後在「驗證提供者」清單中,根據貴組織使用的驗證機制,選取提供者。
  4. 提供頁面所需的其他資訊。 (請參閱驗證設定。)
  5. (可選)按一下「測試」以測試設定。
  6. 按一下「OK(確定)」 ,然後再次按一下「OK(確定)」。

編輯現有的驗證提供程式

  1. 在管理控制台中,按一下「設定>使用者管理>網域管理」。
  2. 在清單中按一下適當的網域。
  3. 在顯示的頁面上,從清單中選擇適當的驗證提供方,並根據需要進行更改。 (請參閱驗證設定。)
  4. 按一下「確定」。

刪除驗證提供程式

  1. 在管理控制台中,按一下「設定>使用者管理>網域管理」。
  2. 在清單中按一下適當的網域。
  3. 選擇要刪除的驗證提供者的複選框,然後按一下刪除。
  4. 在顯示的確認頁面上按一下「確定」,然後再按一下「確定」。

驗證設定

下列設定可供使用,視您選擇的網域類型和驗證類型而定。

LDAP設定

如果要為企業或混合域配置身份驗證並選擇LDAP身份驗證,您可以選擇使用目錄配置中指定的LDAP伺服器,也可以選擇其他LDAP伺服器進行身份驗證。 如果您選擇不同的伺服器,則用戶必須同時存在於兩個LDAP伺服器上。

要使用在目錄配置中指定的LDAP伺服器,請選擇LDAP作為驗證提供程式,然後按一下確定。

要使用不同的LDAP伺服器來執行驗證,請選擇LDAP作為驗證提供程式,然後選擇「自定義LDAP驗證」複選框。 將顯示以下配置設定。

伺服器: (強制)目錄伺服器的完全限定域名(FQDN)。例如,對於corp.example.com網路上名為x的電腦,FQDN為x.corp.example.com。 IP地址可用來代替FQDN伺服器名。

埠: (強制)目錄伺服器使用的埠。通常為389或636(如果安全通訊端層(SSL)通訊協定用於透過網路傳送驗證資訊)。

SSL: (必要)指定在通過網路發送資料時目錄伺服器是否使用SSL。預設值為「否」。 當設定為「是」時,應用程式伺服器的Java™運行時環境(JRE)必須信任相應的LDAP伺服器證書。

綁定 (強制)指定如何訪問目錄。

匿名: 不需要使用者名稱或密碼。

使用者:需 要驗證。在「名稱」框中,指定可以訪問目錄的用戶記錄的名稱。 最好輸入用戶帳戶的完整唯一判別名(DN),如cn=Jane Doe、ou=user、dc=can、dc=com。 在「密碼」方塊中,指定相關的密碼。 當您選取「使用者」作為「系結」選項時,就需要這些設定。

檢索基本DN: (非必需)檢索基本DN並在下拉清單中顯示它們。當您有多個基本DN且需要選擇值時,此設定非常有用。

基本DN: (必要)用作從LDAP階層同步使用者和群組的起點。最好在層次結構的最低級別指定基本DN,該DN包括所有需要同步服務的用戶和組。 請勿在此設定中包含使用者的DN。 若要同步特定使用者,請使用「搜尋篩選」設定。

在頁面中填入: (非必填)選中此選項時,使用相應的預設LDAP值填充「用戶」和「組」設定頁面上的屬性。

搜尋篩選: (必要)用於尋找與使用者關聯之記錄的搜尋篩選。請參閱搜尋篩選語法。

Kerberos設定

如果您正在為企業或混合域配置身份驗證並選擇Kerberos身份驗證,則可使用以下設定。

DNS IP:執 行AEM表單之伺服器的DNS IP位址。在Windows上,可以通過在命令行運行ipconfig /all來確定此IP地址。

KDC主機: 用於驗證的Active Directory伺服器的完全限定主機名或IP地址。

服務用 戶:如果使用Active Directory 2003,則此值是為表單中的服務承擔者建立的映射 HTTP/<server name>。如果您使用Active Directory 2008,此值是服務承擔者的登錄ID。 例如,假設服務承擔者名為um spnego,用戶ID為spnegodemo,映射為HTTP/example.corp.yourcompany.com。 在Active Directory 2003中,您將「服務用戶」設定為HTTP/example.corp.yourcompany.com。 在Active Directory 2008中,您將Service User設定為spnegodemo。 (請參閱使用SPNEGO啟用SSO)。

服務領域: Active Directory的域名

服務密碼: 服務用戶密碼

啟用SPNEGO: 啟用SPNEGO進行單一登入(SSO)。(請參閱使用SPNEGO啟用SSO)。

SAML設定

如果您要為企業或混合網域設定驗證並選取SAML驗證,則可使用下列設定。 如需其他SAML設定的詳細資訊,請參閱設定SAML服務提供者設定

請選取要匯入的SAML身分提供者中繼資料檔案:按一下「瀏覽」以選取從IDP產生的SAML身分提供者中繼資料檔案,然後按一下「匯入」。 將顯示來自IDP的詳細資訊。

標題: URL的別名由EntityID表示。標題也會顯示在企業與本機使用者的登入頁面上。

身分提供者支援用戶端基本驗 證:當IDP使用SAML Artifact Resolution描述檔時,會使用用戶端基本驗證。在此設定檔中,使用者管理會連線回IDP上執行的Web服務,以擷取實際的SAML斷言。 IDP可能需要驗證。 如果IDP需要驗證,請選取此選項,並在提供的方塊中指定使用者名稱和密碼。

自訂屬性: 可讓您指定其他屬性。其他屬性是由新行分隔的name=value對。

如果使用對象綁定,則需要以下自定義屬性。

  • 新增下列自訂屬性,以指定代表AEM表單服務提供者的使用者名稱,此使用者名稱將用來驗證IDP Artifact Resolution服務。
    saml.idp.resolve.username=<username>

  • 新增下列自訂屬性,以指定saml.idp.resolve.username中指定之使用者的密碼。
    saml.idp.resolve.password=<password>

  • 新增下列自訂屬性,以允許服務提供者在建立與SSL上的Artifact Resolution服務的連線時忽略憑證驗證。
    saml.idp.resolve.ignorecert=true

自訂設定

如果您正在為企業或混合域配置驗證,並選擇「自定義驗證」,請選擇自定義驗證提供程式的名稱。

用戶的及時預配

在使用者透過驗證提供者成功驗證後,即時布建會自動在使用者管理資料庫中建立使用者。 相關角色和群組也會動態指派給新使用者。 您可以為企業和混合網域啟用即時布建。

此程式說明傳統驗證在AEM表單中的運作方式:

  1. 當使用者嘗試登入AEM表單時,「使用者管理」會依序將其認證傳送給所有可用的驗證提供者。 (登錄憑據包括用戶名/密碼組合、Kerberos票證、PKCS7簽名等。)

  2. 驗證提供者會驗證憑證。

  3. 然後驗證提供者會檢查使用者是否存在於使用者管理資料庫中。 可能有下列狀態:

    在如果用戶是當前和解鎖的,則用戶管理返回驗證成功。不過,如果使用者不是最新或已鎖定,使用者管理會傳回驗證失敗。

    不存在用 戶管理返回驗證失敗。

    效用戶管理返回驗證失敗。

  4. 驗證提供者傳回的結果會進行評估。 如果驗證提供者傳回驗證成功,則允許使用者登入。 否則,使用者管理會檢查下一個驗證提供者(步驟2-3)。

  5. 如果沒有可用的驗證提供者驗證使用者憑證,則會傳回驗證失敗。

當啟用即時布建時,如果其中一個驗證提供者驗證其認證,就會在使用者管理中動態建立新使用者。 (在上述程式的步驟3之後)。

如果沒有及時提供,當用戶成功驗證但在用戶管理資料庫中未找到時,驗證將失敗。 即時布建會在驗證程式中新增一個步驟,以建立使用者並指派角色和群組給使用者。

啟用域的及時設定

  1. 編寫實施IdentityCreator和AssignmentProvider介面的服務容器。 (請參閱使用AEM表單進行程式設計)。

  2. 將服務容器部署到表單伺服器。

  3. 在管理控制台中,按一下「設定>使用者管理>網域管理」。

    選取現有網域,或按一下「新建企業網域」。

  4. 若要建立網域,請按一下「新建企業網域」或「新建混合網域」。 要編輯現有域,請按一下域的名稱。

  5. 選擇「Enable Just In Time Provisioning」(啟用準時設定)。

    注意​:如果缺少「Enable Just In Time Provisioning」(啟用及時預配)複選框,請按一下「Home」(首頁)>「Settings」(設定)>「User Management」(用戶管理)>「Configuration」(配置)>「Advanced System Attributes」(高級系統屬性),然後按一下「Reload」(重新載入)。

  6. 新增驗證提供者。 新增驗證提供者時,在「新增驗證」畫面上,選取已註冊的Identity Creator和Assignment Provider。 (請參閱配置驗證提供者。)

  7. 儲存網域。

本頁內容