Controlador de autenticación SAML 2.0

AEM se envía con un controlador de autenticación SAML. Este controlador proporciona soporte para el SAML 2.0 Authentication Request Protocol (perfil Web-SSO) utilizando el enlace HTTP POST.

Admite:

  • firma y cifrado de mensajes
  • creación automática de usuarios
  • sincronizar grupos con los existentes en AEM
  • Autenticación iniciada por el proveedor de servicios y el proveedor de identidad

Este controlador almacena el mensaje de respuesta de SAML cifrado en el nodo de usuario ( usernode/samlResponse) para facilitar la comunicación con un proveedor de servicios de terceros.

NOTA

Consulte una demostración de la integración de AEM y SAML.

Para leer un artículo de la comunidad de principio a fin, haga clic en: Integración de SAML con Adobe Experience Manager.

Configuración del gestor de autenticación SAML 2.0

La consola web proporciona acceso a la configuración del gestor de autenticación SAML 2.0 llamado Controlador de autenticación de granito de Adobe SAML 2.0. Se pueden establecer las siguientes propiedades.

NOTA

El gestor de autenticación SAML 2.0 está deshabilitado de forma predeterminada. Debe establecer al menos una de las siguientes propiedades para habilitar el controlador:

  • La dirección URL del POST del proveedor de identidad.
  • El ID de entidad de proveedor de servicios.
NOTA

Las aserciones SAML están firmadas y pueden ser cifradas opcionalmente. Para que esto funcione, debe proporcionar al menos el certificado público del proveedor de identidad en TrustStore. Consulte Adición del certificado IdP a la sección TrustStore para obtener más información.

​Ruta de acceso del repositorio para la cual Sling debe utilizar este controlador de autenticación. Si está vacío, se desactivará el controlador de autenticación.

Ranking de ServiciosOSGi Framework Valor de Clasificación de Servicios para indicar el orden en que se debe llamar a este servicio. Se trata de un valor entero en el que los valores superiores designan una prioridad mayor.

Alias de certificado IDP El alias del certificado de IdP en el almacén de confianza global. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado. Consulte el capítulo "Añadir el certificado IdP al AEM TrustStore" a continuación sobre cómo configurarlo.

URL del proveedor de identidad del IDP al que se debe enviar la solicitud de autenticación SAML. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado.

PRECAUCIÓN

El nombre de host del proveedor de identidad debe agregarse a la configuración OSGi Apache Sling Referrer Filter. Consulte la sección Consola web para obtener más información.

ID de entidad de proveedor de servicios que identifica de forma exclusiva a este proveedor de servicios con el proveedor de identidad. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado.

Redireccionar predeterminadoLa ubicación predeterminada a la que redirigir después de una autenticación correcta.

NOTA

Esta ubicación solo se utiliza si no se ha establecido la cookie request-path . Si solicita cualquier página debajo de la ruta configurada sin un token de inicio de sesión válido, la ruta solicitada se almacena en una cookie
y el explorador se redirigirá a esta ubicación de nuevo después de la autenticación correcta.

Atributo de ID de usuario El nombre del atributo que contiene el ID de usuario utilizado para autenticar y crear el usuario en el repositorio CRX.

NOTA

El ID de usuario no se toma del nodo saml:Subject de la aserción SAML sino de esta saml:Attribute.

Utilice EncryptionIf o no este controlador de autenticación espera aserciones SAML cifradas.

Crear automáticamente usuarios de CRXEspecifica si se crean o no automáticamente usuarios no existentes en el repositorio después de la autenticación correcta.

PRECAUCIÓN

Si la creación automática de usuarios CRX está deshabilitada, los usuarios deberán crearse manualmente.

Agregar a gruposEspecifica si un usuario debe agregarse o no automáticamente a los grupos CRX después de la autenticación correcta.

Pertenencia al grupoEl nombre del saml:Attribute que contiene una lista de grupos CRX a los que este usuario debe añadirse.

Añadir el certificado IdP a AEM TrustStore

Las aserciones SAML están firmadas y pueden ser cifradas opcionalmente. Para que esto funcione, debe proporcionar al menos el certificado público del IdP en el repositorio. Para ello, debe:

  1. Vaya a http:/serveraddress:serverport/libs/granite/security/content/truststore.html

  2. Pulse el enlace Create TrustStore

  3. Introduzca la contraseña de TrustStore y pulse Save.

  4. Haga clic en Administrar TrustStore.

  5. Cargue el certificado IdP.

  6. Tome nota del certificado Alias. El alias es admin#1436172864930 en el ejemplo siguiente.

    chlimage_1-372

Agregue la cadena de certificado y clave del Proveedor de servicios al almacén de claves de AEM

NOTA

Los pasos siguientes son obligatorios; de lo contrario, se genera la siguiente excepción: com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store

  1. Vaya a: http://localhost:4502/libs/granite/security/content/useradmin.html
  2. Edite el usuario authentication-service.
  3. Cree un KeyStore haciendo clic en Crear KeyStore en Configuración de la cuenta.
NOTA

Los pasos siguientes solo son necesarios si el controlador debe poder firmar o descifrar mensajes.

  1. Cargue el archivo de clave privada haciendo clic en Seleccionar archivo de clave privada. La clave debe estar en formato PKCS#8 con codificación DER.

  2. Cargue el archivo de certificado haciendo clic en Seleccionar archivos de cadena de certificado.

  3. Asigne un alias, como se muestra a continuación:

    chlimage_1-373

Configuración de un registrador para SAML

Puede configurar un Registrador para depurar cualquier problema que pueda surgir de la configuración incorrecta de SAML. Para ello:

  1. Accediendo a la consola web, en http://localhost:4502/system/console/configMgr

  2. Busque y haga clic en la entrada denominada Configuración del registrador de Sling de Apache

  3. Cree un registrador con la siguiente configuración:

    • Nivel de registro: depuración
    • Archivo de registro: logs/saml.log
    • Registrador: com.adobe.granite.auth.saml

En esta página