Gestionnaire d’authentification SAML 2.0

AEM est livré avec un gestionnaire d’authentification SAML. Ce gestionnaire fournit la prise en charge du protocole de requête d’authentification SAML 2.0 (profil web-SSO) à l’aide de la liaison HTTP POST.

Il prend en charge :

  • la signature et le chiffrement des messages ;
  • la création automatique d’utilisateurs ;
  • la synchronisation des groupes avec les groupes existants dans AEM.
  • Authentification initiée par le prestataire et le fournisseur d’identité

Ce gestionnaire stocke le message de réponse SAML chiffré dans le nœud utilisateur (usernode/samlResponse) pour faciliter la communication avec un fournisseur tiers.

Remarque

Voir une démonstration de l’intégration d’AEM et de SAML.

Pour lire un article de la communauté de bout en bout, cliquez sur Intégration de SAML avec Adobe Experience Manager.

Configuration du gestionnaire d’authentification SAML 2.0

La console web permet d’accéder à la configuration de gestionnaire d’authentification SAML 2.0 appelée Gestionnaire d’authentification SAML 2.0 Adobe Granite. Les propriétés suivantes peuvent être définies.

Remarque

Le gestionnaire d’authentification SAML 2.0 est désactivé par défaut. Vous devez définir au moins une des propriétés suivantes pour activer le gestionnaire :

  • L’URL de publication du fournisseur d’identité.
  • L’ID d’entité du fournisseur.
Remarque

Les assertions SAML sont signées et peuvent éventuellement être chiffrées. Pour que cela fonctionne, vous devez fournir au moins le certificat public du fournisseur d’identité dans TrustStore. Voir Ajout de certificat IdP à TrustStore pour plus d’informations.

Chemin d’accès au référentiel de chemins pour lequel ce gestionnaire d’authentification doit être utilisé par Sling. Si le champ est vide, le gestionnaire d’authentification est désactivé.

Classement des services OSGi Framework Service Classement pour indiquer l'ordre dans lequel appeler ce service. Il s’agit d’un nombre entier, et les valeurs les plus élevées indiquent une priorité plus élevée.

Alias du certificat IDP Alias du certificat IdP dans le Trust Store global. Si cette propriété n’est pas renseignée, le gestionnaire d’authentification est désactivé. Voir le chapitre Ajout du certificat IdP au TrustStore AEM ci-dessous sur la façon de le configurer.

URL du fournisseur d’identité du fournisseur d’identité vers lequel la demande d’authentification SAML doit être envoyée. Si cette propriété n’est pas renseignée, le gestionnaire d’authentification est désactivé.

ATTENTION

Le nom d’hôte du fournisseur d’identité doit être ajouté à la configuration OSGi Filtre de référents Sling Apache. Voir la section Console web pour plus d’informations.

ID d'entité de prestataire qui identifie de manière unique ce prestataire avec le fournisseur d'identité. Si cette propriété n’est pas renseignée, le gestionnaire d’authentification est désactivé.

Redirection par défaut Emplacement par défaut vers lequel rediriger après une authentification réussie.

Remarque

Cet emplacement est utilisé uniquement si le cookie request-path n’est pas défini. Si vous demandez une page sous le chemin configuré sans jeton de connexion valide, le chemin demandé est stocké dans un cookie.
et le navigateur sera de nouveau redirigé vers cet emplacement après une authentification réussie.

Attribut d’ID utilisateur Nom de l’attribut contenant l’ID utilisateur utilisé pour l’authentification et la création de l’utilisateur dans le référentiel CRX.

Remarque

L’ID utilisateur n’est pas obtenu à partir du nœud saml:Subject de l’assertion SAML, mais à partir de ce saml:Attribute.

Utilisez Encryption si ce gestionnaire d’authentification s’attend ou non à des assertions SAML chiffrées.

Créer automatiquement des utilisateurs CRX Indique s’il faut créer automatiquement des utilisateurs non existants dans le référentiel après une authentification réussie.

ATTENTION

Si la création automatique des utilisateurs CRX est désactivée, les utilisateurs doivent être créés manuellement.

Ajouter aux groupes Indique si un utilisateur doit être automatiquement ajouté aux groupes CRX après une authentification réussie.

Appartenance au groupe Nom de l'attribut saml:Attribute contenant une liste de groupes CRX auquel cet utilisateur doit être ajouté.

Ajout du certificat IdP au TrustStore AEM

Les assertions SAML sont signées et peuvent éventuellement être chiffrées. Pour que cela fonctionne, vous devez fournir au moins le certificat public de l’IdP dans le référentiel. Pour ce faire, vous devez :

  1. Accédez à http:/serveraddress:serverport/libs/granite/security/content/truststore.html

  2. Appuyez sur le lien Créer TrustStore

  3. Saisissez le mot de passe du TrustStore et appuyez sur Enregistrer.

  4. Cliquez sur Gérer TrustStore.

  5. Téléchargez le certificat IdP.

  6. Notez l’alias du certificat. L’alias est admin#1436172864930 dans l’exemple ci-dessous.

    chlimage_1-372

Ajoutez la clé de fournisseur et la chaîne de certificats au KeyStore AEM.

Remarque

Les étapes ci-dessous sont obligatoires, sinon l’exception suivante sera levée : com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store

  1. Go to: http://localhost:4502/libs/granite/security/content/useradmin.html
  2. Edit the authentication-service user.
  3. Créez un KeyStore en cliquant sur Créer le KeyStore sous Paramètres du compte.
Remarque

Les étapes ci-dessous ne sont requises que si le gestionnaire doit être en mesure de signer ou de déchiffrer des messages.

  1. Téléchargez le fichier de clé privée en cliquant sur Sélectionner le fichier de clé privée. Les clés doivent être au format PKCS#8 avec codage DER.

  2. Téléchargez le fichier de certificat en cliquant sur Sélectionner les fichiers de la chaîne de certificats.

  3. Attribuez un alias, comme illustré ci-dessous :

    chlimage_1-373

Configuration d’un enregistreur pour SAML

Vous pouvez configurer un enregistreur afin de déboguer tous les problèmes pouvant résulter d’une mauvaise configuration de SAML. Vous pouvez le faire en procédant comme suit :

  1. Going to the Web Console, at http://localhost:4502/system/console/configMgr

  2. Search for and click on the entry called Apache Sling Logging Logger Configuration

  3. Créez un enregistreur avec la configuration suivante :

    • Niveau de consignation : débogage
    • Fichier journal : logs/saml.log
    • Enregistreur : com.adobe.granite.auth.saml

Sur cette page