- 管理ユーザーガイドの概要
- Sites の機能
- Web サイト管理
- 非同期ジョブ
- コンテンツの再利用:マルチサイトマネージャとライブコピー
- ライブコピーの概要コンソール
- ライブコピーの同期の設定
- ライブコピーの作成と同期
- MSM ロールアウトの競合
- MSM の問題のトラブルシューティングと FAQ
- MSM のベストプラクティス
- 多言語サイトのコンテンツの翻訳
- 翻訳プロジェクトの管理
- 翻訳するコンテンツの特定
- 翻訳するコンテンツの準備
- クラシック UI による言語ルートの作成
- Microsoft Translator への接続
- 翻訳統合フレームワークの設定
- 言語コピーウィザード
- 翻訳の機能強化
- 翻訳のベストプラクティス
- 設定と設定ブラウザー
- AEM FAQ
- 運用
- ダッシュボード
- 操作ダッシュボード
- バックアップと復元
- データストアのガベージコレクション
- JMX コンソールを使用したサーバーリソースの監視
- ログの使用
- AEM 6 での監査ログのメンテナンス
- リッチテキストエディターの設定
- アクセス可能なサイトを生成するための RTE の設定
- ページ編集のための取り消しの設定
- リッチテキストエディタープラグインの設定
- ビデオコンポーネントの設定
- Bulk Editor
- メール通知の設定
- リンクチェッカー
- AEM のトラブルシューティング
- ワークフローへのアクセスの管理
- ワークフローの開始
- ワークフローの管理
- ワークフローインスタンスの管理
- AEM での cURL の使用
- プロキシサーバーツール(proxy.jar)
- AEM アプリケーション用の設定
- 検索フォームの設定
- ツールコンソール
- レポート
- レイアウトコンテナおよびレイアウトモードの設定
- 編集者
- クラシック UI へのアクセスの有効化
- 管理コンソール
- セキュリティ
- ユーザー管理とセキュリティ
- ユーザー、グループおよびアクセス権限の管理
- セキュリティチェックリスト
- OWASP Top 10
- 実稼動準備モードでの AEM の実行
- ID 管理
- AEM Managed Services に対する Adobe IMS 認証およびアドミンコンソールのサポート
- 閉じられたユーザーグループの作成
- AEM でのシリアル化の問題の軽減
- ユーザー同期
- カプセル化されたトークンのサポート
- シングルサインオン
- AEM でのユーザー管理操作を監査する方法
- デフォルトの SSL
- SAML 2.0 認証ハンドラー
- AEM の閉じられたユーザーグループ
- Granite の操作 - ユーザー管理とグループ管理
- AEM での CRXDE Lite の有効化
- AEM 6 での LDAP の設定
- インストール時の admin パスワードの設定
- AEM のサービスユーザー
- 設定プロパティの暗号化サポート
- AEM の基盤での GDPR 要求の処理
- 権限管理のプリンシパルビュー
- Content Disposition フィルター
- AEM 6.5 のカスタムユーザグループマッピング
- 同じサイト cookie サポート
- パーソナライズ機能
- 統合
- サードパーティのサービスとの統合
- Salesforce との統合
- Adobe Target との統合
- Adobe Learning Manager との統合
- Adobe Analytics との統合
- Adobe Analytics への接続とフレームワークの作成
- Adobe Analytics のリンクトラッキングの設定
- コンポーネントデータと Adobe Analytics プロパティとのマッピング
- Adobe Analytics のビデオトラッキングの設定
- IMS を使用した Adobe Analytics との統合
- コンテンツの HTTP/2 配信の FAQ
- Adobe Campaign 統合に関するトラブルシューティング
- SharePoint Connector のライセンス、著作権情報および免責事項
- SharePoint コネクター
- DHTML ビューアのサポート終了に関する FAQ
- Adobe Campaign Classic との統合
- 関連するコミュニティ記事
- Adobe Campaign Standard との統合
- Flash ビューアのサポート終了に関する通知
- Adobe Dynamic Tag Management との統合
- Adobe Analytics および Adobe Target との統合のオプトイン
- AEM ポータルとポートレット
- Dynamic Media Classic(Scene7)との統合
- AEM Livefyre のレシピ
- 統合に関する問題のトラブルシューティング
- BrightEdge Content Optimizer との結合
- カタログ作成機能
- Silverpop Engage との統合
- Adobe Campaign との統合
- ExactTarget との統合
- Analytics と外部プロバイダー
- Adobe Marketing Cloud との統合
- 手動での Adobe Target との統合の設定
- Adobe Target との統合の前提条件
- IMS を使用した Adobe Target との統合
- Adobe Classifications
- ソリューション統合
- Adobe Target へのエクスペリエンスフラグメントの書き出し
- メールテンプレートのベストプラクティス
- Livefyre との統合
- ベストプラクティス
- コンテンツ管理
AEM 6 での LDAP の設定
LDAP ( L明るさ Dディレクトリ Aアクセス P rotocol) は、一元化されたディレクトリサービスへのアクセスに使用されます。 複数のアプリケーションからアクセスできるので、ユーザーアカウントの管理に必要な作業を軽減できます。 そのような LDAP サーバの 1 つが Active Directory です。 多くの場合、LDAP はシングルサインオン(ユーザーが 1 回ログインすると複数のアプリケーションにアクセスできる機能)を実現するために使用されます。
リポジトリに保存されている LDAP アカウントの詳細を使用して、LDAP サーバーとリポジトリの間でユーザーアカウントを同期できます。この機能を使用すると、必要な権限と権限を割り当てるために、アカウントをリポジトリグループに割り当てることができます。
リポジトリでは、LDAP 認証を使用してこれらのユーザーを認証します。認証の際は、検証用に LDAP サーバーに渡される認証情報が使用されます。この認証は、リポジトリへのアクセスを許可する前に行う必要があります。パフォーマンスを向上させるために、検証が成功した認証情報をリポジトリでキャッシュできます。有効期限のタイムアウトを使用すると、適切な期間が経過した後に再検証が実行されます。
LDAP サーバーからアカウントが削除されると、検証は許可されなくなり、リポジトリへのアクセスが拒否されます。 リポジトリに保存された LDAP アカウントの詳細もパージできます。
このようなアカウントの使用は、ユーザーに対して透過的です。 つまり、LDAP から作成されたユーザーアカウントとグループアカウント、およびリポジトリ内でのみ作成されたアカウントの違いは見られません。
AEM 6 では、LDAP のサポートに、以前のバージョンとは異なるタイプの設定が必要な新しい実装が付属しています。
すべての LDAP 設定を OSGi 設定として使用できるようになりました。これらは、以下の web 管理コンソールを使用して設定できます。
https://serveraddress:4502/system/console/configMgr
AEMで LDAP を使用するには、次の 3 つの OSGi 設定を作成する必要があります。
- LDAP Identity Provider(IDP)
- 同期ハンドラー。
- 外部ログインモジュール。
External Login Module について詳しくは、Oak の External Login Module - LDAP との認証および詳細(英語)をご覧ください。
Apache DS を使用した Experience Manager の設定例については、Apache Directory Service を使用するための Adobe Experience Manager 6.5 の設定を参照してください。
LDAP Identity Provider の設定
LDAP Identity Provider は、LDAP サーバーからのユーザーの取得方法を定義するために使用します。
このプロバイダーは、管理コンソールの Apache Jackrabbit Oak LDAP Identity Provider という名前の下にあります。
LDAP Identity Provider では、以下の設定オプションを使用できます。
| LDAP Provider Name | この LDAP Provider 設定の名前 |
| LDAP Server Hostname |
LDAP サーバーのホスト名 |
| LDAP Server Port | LDAP サーバーのポート |
| Use SSL | SSL(LDAP)接続を使用する必要があるかどうかを示します。 |
| Use TLS | 接続で TLS を開始する必要があるかどうかを示します。 |
| Disable certificate checking | サーバー証明書の検証を無効にする必要があるかどうかを示します。 |
| Bind DN | 認証用のユーザーの DN。 このフィールドを空のままにすると、匿名バインドが実行されます。 |
| Bind Password | 認証用のユーザーのパスワード |
| Search timeout | 検索がタイムアウトするまでの時間 |
| Admin pool max active | 管理接続プールの最大アクティブサイズ |
| User pool max active | ユーザー接続プールの最大アクティブサイズ |
| User base DN | ユーザー検索用の DN |
| User object classes | ユーザーエントリに含める必要があるオブジェクトクラスのリスト。 |
| User id attribute | ユーザー ID を格納する属性の名前 |
| User extra filter | ユーザーの検索時に使用する追加の LDAP フィルター。 最終フィルターは次のようにフォーマットされます。'(&(<idattr>=<userid>)(objectclass=<objectclass>)<extrafilter>)' (user.extraFilter) |
| User DN paths | DN を使用して中間パスの一部を計算する必要があるかどうかを制御します。 |
| Group base DN | グループ検索用のベース DN |
| Group object classes | グループエントリが格納する必要のあるオブジェクトクラスのリスト |
| Group name attribute | グループ名を格納する属性の名前 |
| Group extra filter | グループの検索時に使用する追加の LDAP フィルタ。 最終フィルターの形式は次のようになります。'(&(<nameattr>=<groupname>)(objectclass=<objectclass>)<extrafilter>)' |
| Group DN paths | DN を使用して中間パスの一部を計算する必要があるかどうかを制御します。 |
| Group member attribute | グループの 1 つ以上のメンバーを含む Group 属性。 |
同期ハンドラーの設定
同期ハンドラーは、ID プロバイダーのユーザーおよびグループをリポジトリと同期する方法を定義します。
これは、 Apache Jackrabbit Oak デフォルト同期ハンドラー 管理コンソールでの名前。
Sync Handler では、以下の設定オプションを使用できます。
| Sync Handler Name | 同期設定の名前 |
| User Expiration Time | 同期されたユーザーが期限切れになるまでの期間 |
| User auto membership | 同期されたユーザーが自動的に追加されるグループのリスト。 |
| User property mapping | 外部プロパティからのローカルプロパティのリストマッピング定義。 |
| User Path Prefix | ユーザーの作成時に使用されるパスプレフィックス。 |
| User Membership Expiration | メンバーシップが期限切れになるまでの時間 |
| User membership nesting depth | メンバーシップ関係が同期された場合のグループのネストの最大深さを返します。 値 0 を指定すると、グループメンバーシップの参照が事実上無効になります。 値 1 は、ユーザーの直接グループのみを追加します。 ユーザーのメンバーシップの祖先を同期する場合にのみ、個々のグループを同期する場合、この値は無効です。 |
| Group Expiration Time | 同期されたグループが期限切れになるまでの期間 |
| Group auto membership | 同期されたグループが自動的に追加されるグループのリスト。 |
| Group property mapping | 外部プロパティからのローカルプロパティのリストマッピング定義。 |
| Group path prefix | グループの作成時に使用されるパスのプレフィックス。 |
外部ログインモジュール
外部ログインモジュールは、 Apache Jackrabbit Oak 外部ログインモジュール をクリックします。
Apache Jackrabbit Oak External Login Module は、Java™ Authentication and Authorization Servi(JAAS) の仕様を実装しています。 詳しくは、 公式OracleJava™セキュリティリファレンスガイド を参照してください。
使用する ID プロバイダーと同期ハンドラーを定義し、2 つのモジュールを効果的にバインドします。
以下の設定オプションを使用できます。
| JAAS Ranking | このログインモジュールエントリのランキング(つまり、並べ替え順)を指定する。 エントリは降順で並べ替えられます(つまり、ランクの高い設定値が先になります)。 |
|---|---|
| JAAS 制御フラグ | LoginModule が REQUIRED、REQUISITE、SUFFICIENT、または OPTIONAL のどれであるかを指定するプロパティです。 これらのフラグの意味について詳しくは、 JAAS の設定に関するドキュメントを参照してください。 |
| JAAS Realm | LoginModule が登録される領域名(またはアプリケーション名)。 領域名を指定しない場合、LoginModule は Felix JAAS 設定で設定されたデフォルトの領域に登録されます。 |
| ID プロバイダー名 | ID プロバイダーの名前。 |
| Sync Handler Name | 同期ハンドラーの名前。 |
AEMインスタンスと複数の LDAP 設定を持つ予定がある場合は、各設定に対して個別の ID プロバイダーと同期ハンドラーを作成する必要があります。
LDAP over SSL の設定
AEM 6 は、次の手順に従って、SSL 経由で LDAP で認証するように設定できます。
-
次を確認します。 SSL を使用 または TLS を使用 設定時のチェックボックス LDAP ID プロバイダー.
-
設定に従って、同期ハンドラーと外部ログインモジュールを設定します。
-
必要に応じて、Java™ VM に SSL 証明書をインストールします。 このインストールは、keytool を使用して実行できます。
keytool -import -alias localCA -file <certificate location> -keystore <keystore location> -
LDAP サーバーへの接続をテストします。
SSL 証明書の作成
SSL を介して LDAP で認証するようにAEMを設定する場合は、自己署名証明書を使用できます。 次に、AEMで使用する証明書を生成する作業手順の例を示します。
-
SSL ライブラリがインストールされ、機能していることを確認します。 この手順では、例として OpenSSL を使用します。
-
カスタマイズした OpenSSL 設定(cnf)ファイルを作成します。この設定は、デフォルトのopenssl.cnf 設定ファイルをコピーし、カスタマイズすることで行うことができます。 UNIX®システムでは、
/usr/lib/ssl/openssl.cnf -
ターミナルで以下のコマンドを実行して CA ルートキーを作成します。
openssl genpkey -algorithm [public key algorithm] -out certificatefile.key -pkeyopt [public key algorithm option] -
次に、自己署名証明書を作成します。
openssl req -new -x509 -days [number of days for certification] -key certificatefile.key -out root-ca.crt -config CA/openssl.cnf -
すべてが正しく動作していることを確認するには、新しく生成された証明書を調べます。
openssl x509 -noout -text -in root-ca.crt -
証明書設定 (.cnf) ファイルで指定されたすべてのフォルダが存在することを確認します。 そうでない場合は、作成します。
-
を実行して、ランダムなシードを作成します。次に例を示します。
openssl rand -out private/.rand 8192 -
作成した .pem ファイルを .cnf ファイルで設定した場所に移動します。
-
最後に、Java™キーストアに証明書を追加します。
デバッグログの有効化
LDAP ID プロバイダーと外部ログインモジュールの両方でデバッグログを有効にして、接続の問題をトラブルシューティングできます。
デバッグログを有効にするには、次の操作を行う必要があります。
- Web 管理コンソールに移動します。
- 「Apache Sling Logging Logger Configuration」を検索し、次のオプションを使用して 2 つのロガーを作成します。
-
ログレベル:デバッグ
-
ログファイルlogs/ldap.log
-
メッセージパターン: {0,date,dd.MM.yyyy HH:mm:ss.SSS} *{4}* {2}
-
ロガー:org.apache.jackrabbit.oak.security.authentication.ldap
-
ログレベル:デバッグ
-
ログファイル:logs/external.log
-
メッセージパターン: {0,date,dd.MM.yyyy HH:mm:ss.SSS} *{4}* {2}
-
Logger:org.apache.jackrabbit.oak.spi.security.authentication.external
グループの所属に関する言葉
LDAP を通じて同期されたユーザーは、AEMの別のグループに属することができます。 これらのグループは、同期プロセスの一環としてAEMに追加される外部 LDAP グループにすることができます。 ただし、別々に追加され、元の LDAP グループ所属スキームに含まれていないグループを指定することもできます。
通常、これらのグループは、ローカルのAEM管理者または他の ID プロバイダーによって追加されます。
ユーザーが LDAP サーバー上のグループから削除されると、同期時にAEM側に変更が反映されます。 ただし、LDAP によって追加されなかったユーザーのその他のグループ関連はすべてそのまま残ります。
AEMは、 rep:externalId プロパティ。 このプロパティは Sync Handler によって同期されたすべてのユーザーとグループに自動的に追加されます。このプロパティには元の ID プロバイダーの情報が含まれます。
次の Apache Oak ドキュメントを参照してください。 ユーザーとグループの同期.
既知の問題
LDAP over SSL を使用する予定がある場合は、使用する証明書が Netscape のコメントオプションを使用せずに作成されていることを確認します。 このオプションが有効な場合、SSL ハンドシェイクエラーで認証が失敗します。
Business.Adobe.com リソース
リソース
アドビアカウント
