- 管理使用手冊概述
- Sites功能
- 運作
- 安全性
- 使用者管理與安全性
- 使用者、群組和存取權限管理
- 安全性檢查清單
- OWASP前10名
- 以生產就緒模式執行AEM
- Identity Management
- 適用於AEM Managed Services的Adobe IMS驗證和Admin Console支援
- 建立封閉的使用者群組
- 緩解AEM中的序列化問題
- 使用者同步
- 封裝的Token支援
- 單一登入
- 如何在AEM中稽核使用者管理作業
- 預設為SSL
- SAML 2.0 驗證處理常式
- AEM中的封閉使用者群組
- Granite操作 — 使用者和群組管理
- 在AEM中啟用CRXDE Lite
- 使用AEM 6配置LDAP
- 在安裝時設定管理員密碼
- AEM中的服務使用者
- 配置屬性的加密支援
- 處理AEM Foundation的GDPR請求
- 權限管理的主體視圖
- 內容處置篩選器
- AEM 6.5中的自訂使用者群組對應
- 相同網站Cookie支援
- 個性化
- 整合
- 與第三方服務整合
- 與Salesforce整合
- 整合 Adobe Target
- 整合 Adobe Analytics
- 連接Adobe Analytics和建立框架
- 設定Adobe Analytics的連結追蹤
- 將元件資料與Adobe Analytics屬性對應
- 設定Adobe Analytics的視訊追蹤
- HTTP2 傳送內容常見問答集
- 疑難排解Adobe Campaign整合
- SharePoint Connector授權、版權聲明及免責聲明
- SharePoint Connector
- DHTML 檢視器生命週期結束常見問答集
- 與Adobe Campaign Classic整合
- 相關社群文章
- 與Adobe Campaign Standard整合
- Flash 檢視器生命週期結束注意事項
- 產品摘要
- 與AdobeDynamic Tag Management整合
- 選擇加入Adobe Analytics和Adobe Target
- AEM門戶和門戶
- 與Dynamic Media Classic整合(Scene7)
- AEM Livefyre 指導方針
- 疑難排解整合問題
- 與BrightEdge Content Optimizer整合
- 目錄製作者
- 與Silverpop Engage整合
- 與Adobe Campaign整合
- 與ExactTarget整合
- Analytics與外部提供者
- 與Adobe Marketing Cloud整合
- 手動設定與Adobe Target的整合
- 與Adobe Target整合的必要條件
- 與Adobe Target整合,使用Adobe I/O
- Adobe分類
- 與AdobeSearch&Promote整合
- 解決方案整合
- 將體驗片段匯出至Adobe Target
- 電子郵件範本最佳作法
- 與 Livefyre 整合
- 最佳作法
- 內容管理
封裝的Token支援
簡介
依預設,AEM會使用Token Authentication Handler來驗證每個要求。 但是,為了提供驗證請求,令牌身份驗證處理程式要求對每個請求都訪問儲存庫。 這是因為使用Cookie來維護驗證狀態。 邏輯上,狀態必須保存在存放庫中,才能驗證後續的請求。 實際上,這表示驗證機制有狀態。
這對於橫向可擴充性尤其重要。 在如下所示的發佈伺服器陣列等多執行個體設定中,無法以最佳方式達成負載平衡。 使用有狀態驗證時,持續的驗證狀態將僅在使用者首次驗證的執行個體上可用。
以下列案例為例:
使用者可能會在發佈執行個體1上進行驗證,但如果後續請求進入發佈執行個體2,該執行個體就不會有持續的驗證狀態,因為該狀態持續存在於發佈執行個體的存放庫中,而發佈執行個體的存放庫則有其專屬的存放庫。
解決方案是在負載平衡器層級設定黏著連線。 有了黏著連線,使用者一律會被導向至相同的發佈例項。 因此,不可能真正實現最佳負載平衡。
如果發佈例項無法使用,在該例項上驗證的所有使用者都會失去工作階段。 這是因為驗證Cookie需要存放庫存取權。
使用封裝令牌的無狀態身份驗證
橫向可擴充性的解決方案是使用AEM中新的封裝Token支援進行無狀態驗證。
封裝代號是密碼學的一部分,可讓AEM安全地離線建立和驗證驗證資訊,而不需存取存放庫。 如此一來,驗證要求便可在所有發佈執行個體上發生,且不需要黏著連線。 它還具有提高身份驗證效能的優勢,因為不需要為每個身份驗證請求訪問儲存庫。
您可以透過以下的MongoMK作者和TarMK發佈執行個體,了解這項功能在分散於不同地理位置的部署中的運作方式:
請注意,封裝令牌與身份驗證有關。 這可確保無須存取存放庫即可驗證Cookie。 但是,用戶仍必須存在於所有實例上,並且儲存在該用戶下的資訊可由每個實例訪問。
例如,如果因封裝代號的運作方式,在發佈執行個體編號1上建立新使用者,則會在發佈編號2上成功驗證該使用者。 如果使用者不存在於第二個發佈例項上,要求仍不會成功。
設定封裝的Token
只有符合下列條件時,同步使用者並仰賴Token驗證(例如SAML和OAuth)的所有驗證處理常式,才能搭配封裝的Token運作:
-
黏著工作階段已啟用,或
-
同步開始時,已在AEM中建立使用者。 這表示在同步程式期間處理常式create使用者的情況下,將不支援封裝的Token。
設定封裝代號時,您需要考量一些事項:
- 由於涉及密碼學,所有實例都需要具有相同的HMAC密鑰。 自AEM 6.3以來,關鍵資料不再儲存在儲存庫中,而是儲存在實際檔案系統中。 考慮到這一點,複製密鑰的最佳方式是將密鑰從源實例的檔案系統複製到要複製密鑰的目標實例的檔案系統。 請參閱下方的「複製HMAC金鑰」下方的更多資訊。
- 必須啟用封裝代號。 這可透過Web主控台完成。
複製HMAC密鑰
HMAC密鑰作為儲存庫中/etc/key的二進位屬性顯示。 您可以按其旁的view連結,以個別下載:
若要跨執行個體復寫金鑰,您必須:
-
存取AEM例項,通常為製作例項,其中包含要複製的重要資料;
-
在本地檔案系統中找到
com.adobe.granite.crypto.file捆綁包。 例如,在此路徑下:- <author-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21
每個資料夾內的
bundle.info檔案將標識包名稱。 -
導覽至資料夾。 例如:
<author-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21/data
-
複製HMAC和主檔案。
-
接著,前往您要複製HMAC金鑰的目標執行個體,並導覽至資料夾。 例如:
<publish-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21/data
-
貼上您先前複製的兩個檔案。
-
如果目標實 例已運行,請刷新Crypto Bundle。
-
對於要將密鑰複製到的所有實例,重複上述步驟。
啟用封裝的Token
複製HMAC密鑰後,您可以通過Web控制台啟用封裝令牌:
- 將瀏覽器指向
https://serveraddress:port/system/console/configMgr - 尋找名為AdobeGranite令牌身份驗證處理程式的條目,然後按一下它。
- 在以下窗口中,勾選啟用封裝令牌支援框,然後按保存。
