- 管理使用手冊概述
- 站點功能
- 運作
- 安全性
- 用戶管理和安全
- 用戶、組和訪問權限管理
- 安全核對表
- OWASP前10
- 在生AEM產就緒模式下運行
- Identity Management
- Adobe IMS身份驗證和Admin Console支援AEMManaged Services
- 建立關閉的用戶組
- 緩解中的序列化問AEM題
- 用戶同步
- 封裝的令牌支援
- 單一登錄
- 如何審核用戶管理操AEM作
- 預設情況下SSL
- SAML 2.0 驗證處理常式
- 中的已關閉用戶AEM組
- 花崗岩操作 — 用戶和組管理
- 啟用CRXDE LiteAEM
- 配置LDAPAEM 6
- 在安裝時配置管理員密碼
- 服務用AEM戶
- 配置屬性的加密支援
- 處理Foundation的GDPR請AEM求
- 權限管理的主體視圖
- 內容處置篩選器
- 6.5中的自定義AEM用戶組映射
- 同一站點Cookie支援
- 個性化
- 整合
- 與第三方服務整合
- 與Salesforce整合
- 整合 Adobe Target
- 與Adobe學習管理器整合
- 整合 Adobe Analytics
- 連接到Adobe Analytics並建立框架
- 為Adobe Analytics配置鏈路跟蹤
- 使用Adobe Analytics屬性映射元件資料
- 為Adobe Analytics配置視頻跟蹤
- 使用IMS與Adobe Analytics整合
- HTTP2 傳送內容常見問答集
- 排除您的Adobe Campaign整合故障
- SharePoint連接器許可證、版權聲明和免責聲明
- SharePoint連接器
- DHTML 檢視器生命週期結束常見問答集
- 與Adobe Campaign Classic整合
- 相關社群文章
- 與Adobe Campaign Standard整合
- Flash 檢視器生命週期結束注意事項
- 產品源
- 與Adobe動態Tag Management整合
- 跳進Adobe Analytics和Adobe Target
- 門AEM戶和Portlet
- 與Dynamic Media Classic(Scene7)一體
- AEM Livefyre 指導方針
- 疑難排解整合問題
- 與BrightEdge Content Optimizer整合
- 目錄製作者
- 與Silverpop Engage整合
- 與Adobe Campaign整合
- 與ExactTarget整合
- 使用外部提供程式進行分析
- 與Adobe Marketing Cloud
- 手動配置與Adobe Target的整合
- 與Adobe Target整合的先決條件
- 使用IMS與Adobe Target整合
- Adobe分類
- 與AdobeSearch&Promote整合
- 解決方案整合
- 將體驗片段導出到Adobe Target
- 電子郵件模板的最佳做法
- 與 Livefyre 整合
- 最佳作法
- 內容管理
封裝的Token支援
簡介
依預設,AEM會使用Token Authentication Handler來驗證每個要求。 但是,為了提供驗證請求,令牌身份驗證處理程式要求對每個請求都訪問儲存庫。 這是因為使用Cookie來維護驗證狀態。 邏輯上,狀態必須保存在存放庫中,才能驗證後續的請求。 實際上,這表示驗證機制有狀態。
這對於橫向可擴充性尤其重要。 在如下所示的發佈伺服器陣列等多執行個體設定中,無法以最佳方式達成負載平衡。 使用有狀態驗證時,持續的驗證狀態將僅在使用者首次驗證的執行個體上可用。
以下列案例為例:
使用者可能會在發佈執行個體1上進行驗證,但如果後續請求進入發佈執行個體2,該執行個體就不會有持續的驗證狀態,因為該狀態持續存在於發佈執行個體的存放庫中,而發佈執行個體的存放庫則有其專屬的存放庫。
解決方案是在負載平衡器層級設定黏著連線。 有了黏著連線,使用者一律會被導向至相同的發佈例項。 因此,不可能真正實現最佳負載平衡。
如果發佈例項無法使用,在該例項上驗證的所有使用者都會失去工作階段。 這是因為驗證Cookie需要存放庫存取權。
使用封裝令牌的無狀態身份驗證
橫向可擴充性的解決方案是使用AEM中新的封裝Token支援進行無狀態驗證。
封裝代號是密碼學的一部分,可讓AEM安全地離線建立和驗證驗證資訊,而不需存取存放庫。 如此一來,驗證要求便可在所有發佈執行個體上發生,且不需要黏著連線。 它還具有提高身份驗證效能的優勢,因為不需要為每個身份驗證請求訪問儲存庫。
您可以透過以下的MongoMK作者和TarMK發佈執行個體,了解這項功能在分散於不同地理位置的部署中的運作方式:
請注意,封裝令牌與身份驗證有關。 這可確保無須存取存放庫即可驗證Cookie。 但是,用戶仍必須存在於所有實例上,並且儲存在該用戶下的資訊可由每個實例訪問。
例如,如果因封裝代號的運作方式,在發佈執行個體編號1上建立新使用者,則會在發佈編號2上成功驗證該使用者。 如果使用者不存在於第二個發佈例項上,要求仍不會成功。
設定封裝的Token
只有符合下列條件時,同步使用者並仰賴Token驗證(例如SAML和OAuth)的所有驗證處理常式,才能搭配封裝的Token運作:
-
黏著工作階段已啟用,或
-
同步開始時,已在AEM中建立使用者。 這表示在同步程式期間處理常式create使用者的情況下,將不支援封裝的Token。
設定封裝代號時,您需要考量一些事項:
- 由於涉及密碼學,所有實例都需要具有相同的HMAC密鑰。 自AEM 6.3以來,關鍵資料不再儲存在儲存庫中,而是儲存在實際檔案系統中。 考慮到這一點,複製密鑰的最佳方式是將密鑰從源實例的檔案系統複製到要複製密鑰的目標實例的檔案系統。 請參閱下方的「複製HMAC金鑰」下方的更多資訊。
- 必須啟用封裝代號。 這可透過Web主控台完成。
複製HMAC密鑰
HMAC密鑰作為儲存庫中/etc/key的二進位屬性顯示。 您可以按其旁的view連結,以個別下載:
若要跨執行個體復寫金鑰,您必須:
-
存取AEM例項,通常為製作例項,其中包含要複製的重要資料;
-
在本地檔案系統中找到
com.adobe.granite.crypto.file捆綁包。 例如,在此路徑下:- <author-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21
每個資料夾內的
bundle.info檔案將標識包名稱。 -
導覽至資料夾。 例如:
<author-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21/data
-
複製HMAC和主檔案。
-
接著,前往您要複製HMAC金鑰的目標執行個體,並導覽至資料夾。 例如:
<publish-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21/data
-
貼上您先前複製的兩個檔案。
-
如果目標實 例已運行,請刷新Crypto Bundle。
-
對於要將密鑰複製到的所有實例,重複上述步驟。
啟用封裝的Token
複製HMAC密鑰後,您可以通過Web控制台啟用封裝令牌:
- 將瀏覽器指向
https://serveraddress:port/system/console/configMgr - 尋找名為AdobeGranite令牌身份驗證處理程式的條目,然後按一下它。
- 在以下窗口中,勾選啟用封裝令牌支援框,然後按保存。
