Gestore di autenticazione SAML 2.0

AEM viene fornito con un gestore di autenticazione SAML. Questo gestore fornisce il supporto per il protocollo di richiesta dell'autenticazione SAML 2.0 (profilo Web-SSO) utilizzando il binding HTTP POST.

Supporta:

  • firma e crittografia dei messaggi
  • creazione automatica degli utenti
  • sincronizzazione di gruppi con quelli esistenti in AEM
  • Autenticazione avviata dal provider di servizi e dal provider di identità

Questo gestore memorizza il messaggio di risposta SAML crittografato nel nodo utente ( usernode/samlResponse) per facilitare la comunicazione con un provider di servizi di terze parti.

NOTA

Vedi una dimostrazione dell'integrazione di AEM e SAML.

Per leggere un articolo della community end to end, fai clic su: Integrazione di SAML con Adobe Experience Manager.

Configurazione Del Gestore Di Autenticazione SAML 2.0

La console Web fornisce l'accesso alla configurazione SAML 2.0 Authentication Handler denominata Adobe Granite SAML 2.0 Authentication Handler. È possibile impostare le seguenti proprietà.

NOTA

Il gestore di autenticazione SAML 2.0 è disabilitato per impostazione predefinita. Per abilitare il gestore, è necessario impostare almeno una delle seguenti proprietà:

  • URL del POST del provider di identità.
  • ID entità fornitore di servizi.
NOTA

Le asserzioni SAML sono firmate e possono essere facoltativamente crittografate. Affinché questo funzioni, è necessario fornire almeno il certificato pubblico del provider di identità nel TrustStore. Per ulteriori informazioni, consulta Aggiunta del certificato IdP alla sezione TrustStore .

​PercorsoRepository per il quale questo gestore di autenticazione deve essere utilizzato da Sling. Se questo campo è vuoto, il gestore di autenticazione verrà disabilitato.

Valore di classificazione del servizio RankingOSGi Framework Service per indicare l'ordine in cui chiamare questo servizio. Si tratta di un valore intero in cui i valori superiori indicano una precedenza superiore.

Alias del certificato IDPalias del certificato dell'IdP nel truststore globale. Se questa proprietà è vuota, il gestore di autenticazione viene disabilitato. Consulta il capitolo "Aggiungi il certificato IdP al TrustStore AEM" per informazioni su come configurarlo.

URL del provider di identità dell’IDP a cui deve essere inviata la richiesta di autenticazione SAML. Se questa proprietà è vuota, il gestore di autenticazione viene disabilitato.

ATTENZIONE

Il nome host del provider di identità deve essere aggiunto alla configurazione Apache Sling Referrer Filter OSGi . Per ulteriori informazioni, consulta la sezione Console web .

Service Provider Entity ID che identifica in modo univoco questo provider di servizi con il provider di identità. Se questa proprietà è vuota, il gestore di autenticazione viene disabilitato.

Reindirizzamento predefinitoIl percorso predefinito a cui reindirizzare dopo l'autenticazione riuscita.

NOTA

Questa posizione viene utilizzata solo se il cookie request-path non è impostato. Se richiedi una pagina sotto il percorso configurato senza un token di accesso valido, il percorso richiesto viene memorizzato in un cookie
e il browser verrà reindirizzato nuovamente a questa posizione dopo l'autenticazione.

Attributo ID utente Il nome dell'attributo contenente l'ID utente utilizzato per autenticare e creare l'utente nell'archivio CRX.

NOTA

L'ID utente non verrà prelevato dal nodo saml:Subject dell'asserzione SAML, ma da questo saml:Attribute.

Usa crittografiaIndica se questo gestore di autenticazione richiede o meno asserzioni SAML crittografate.

Crea automaticamente utenti CRXindipendentemente dal fatto che crei automaticamente utenti non esistenti nell'archivio dopo l'autenticazione riuscita.

ATTENZIONE

Se la creazione automatica degli utenti CRX è disabilitata, gli utenti dovranno essere creati manualmente.

Aggiungi ai gruppiIndica se un utente deve essere aggiunto automaticamente ai gruppi CRX dopo l'autenticazione riuscita.

Group MembershipIl nome del saml:Attribute contenente un elenco di gruppi CRX a cui deve essere aggiunto questo utente.

Aggiungi il certificato IdP al TrustStore AEM

Le asserzioni SAML sono firmate e possono essere facoltativamente crittografate. Affinché ciò funzioni, devi fornire almeno il certificato pubblico dell’IdP nell’archivio. Per fare questo è necessario:

  1. Vai a http:/serveraddress:serverport/libs/granite/security/content/truststore.html

  2. Premere il Crea collegamento TrustStore

  3. Immettere la password per TrustStore e premere Save.

  4. Fai clic su Gestisci TrustStore.

  5. Carica il certificato IdP.

  6. Prendi nota dell'alias del certificato. L'alias è admin#1436172864930 nell'esempio seguente.

    chlimage_1-372

Aggiungi il codice del fornitore di servizi e la catena di certificati al AEM keystore

NOTA

I passaggi seguenti sono obbligatori, altrimenti verrà lanciata la seguente eccezione: com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store

  1. Vai a: http://localhost:4502/libs/granite/security/content/useradmin.html
  2. Modifica l'utente authentication-service .
  3. Crea un KeyStore facendo clic su Crea KeyStore in Impostazioni account.
NOTA

I passaggi seguenti sono necessari solo se il gestore deve essere in grado di firmare o decrittografare i messaggi.

  1. Carica il file della chiave privata facendo clic su Seleziona file di chiave privata. La chiave deve essere in formato PKCS#8 con codifica DER.

  2. Carica il file del certificato facendo clic su Seleziona file della catena di certificati.

  3. Assegna un alias, come illustrato di seguito:

    chlimage_1-373

Configurare un logger per SAML

È possibile impostare un logger per eseguire il debug di eventuali problemi derivanti dalla configurazione errata di SAML. Per farlo, segui questi passaggi:

  1. Andando alla console Web all'indirizzo http://localhost:4502/system/console/configMgr

  2. Cerca e fai clic sulla voce denominata Configurazione logger di registrazione Sling Apache

  3. Crea un logger con la seguente configurazione:

    • Livello di log: Debug
    • File di registro: logs/saml.log
    • Logger: com.adobe.granite.auth.saml

In questa pagina