AEM viene fornito con un gestore di autenticazione SAML. Questo gestore fornisce il supporto per il protocollo di richiesta dell'autenticazione SAML 2.0 (profilo Web-SSO) utilizzando il binding HTTP POST
.
Supporta:
Questo gestore memorizza il messaggio di risposta SAML crittografato nel nodo utente ( usernode/samlResponse
) per facilitare la comunicazione con un provider di servizi di terze parti.
Vedi una dimostrazione dell'integrazione di AEM e SAML.
Per leggere un articolo della community end to end, fai clic su: Integrazione di SAML con Adobe Experience Manager.
La console Web fornisce l'accesso alla configurazione SAML 2.0 Authentication Handler denominata Adobe Granite SAML 2.0 Authentication Handler. È possibile impostare le seguenti proprietà.
Il gestore di autenticazione SAML 2.0 è disabilitato per impostazione predefinita. Per abilitare il gestore, è necessario impostare almeno una delle seguenti proprietà:
Le asserzioni SAML sono firmate e possono essere facoltativamente crittografate. Affinché questo funzioni, è necessario fornire almeno il certificato pubblico del provider di identità nel TrustStore. Per ulteriori informazioni, consulta Aggiunta del certificato IdP alla sezione TrustStore .
PercorsoRepository per il quale questo gestore di autenticazione deve essere utilizzato da Sling. Se questo campo è vuoto, il gestore di autenticazione verrà disabilitato.
Valore di classificazione del servizio RankingOSGi Framework Service per indicare l'ordine in cui chiamare questo servizio. Si tratta di un valore intero in cui i valori superiori indicano una precedenza superiore.
Alias del certificato IDPalias del certificato dell'IdP nel truststore globale. Se questa proprietà è vuota, il gestore di autenticazione viene disabilitato. Consulta il capitolo "Aggiungi il certificato IdP al TrustStore AEM" per informazioni su come configurarlo.
URL del provider di identità dell’IDP a cui deve essere inviata la richiesta di autenticazione SAML. Se questa proprietà è vuota, il gestore di autenticazione viene disabilitato.
Il nome host del provider di identità deve essere aggiunto alla configurazione Apache Sling Referrer Filter OSGi . Per ulteriori informazioni, consulta la sezione Console web .
Service Provider Entity ID che identifica in modo univoco questo provider di servizi con il provider di identità. Se questa proprietà è vuota, il gestore di autenticazione viene disabilitato.
Reindirizzamento predefinitoIl percorso predefinito a cui reindirizzare dopo l'autenticazione riuscita.
Questa posizione viene utilizzata solo se il cookie request-path
non è impostato. Se richiedi una pagina sotto il percorso configurato senza un token di accesso valido, il percorso richiesto viene memorizzato in un cookie
e il browser verrà reindirizzato nuovamente a questa posizione dopo l'autenticazione.
Attributo ID utente Il nome dell'attributo contenente l'ID utente utilizzato per autenticare e creare l'utente nell'archivio CRX.
L'ID utente non verrà prelevato dal nodo saml:Subject
dell'asserzione SAML, ma da questo saml:Attribute
.
Usa crittografiaIndica se questo gestore di autenticazione richiede o meno asserzioni SAML crittografate.
Crea automaticamente utenti CRXindipendentemente dal fatto che crei automaticamente utenti non esistenti nell'archivio dopo l'autenticazione riuscita.
Se la creazione automatica degli utenti CRX è disabilitata, gli utenti dovranno essere creati manualmente.
Aggiungi ai gruppiIndica se un utente deve essere aggiunto automaticamente ai gruppi CRX dopo l'autenticazione riuscita.
Group MembershipIl nome del saml:Attribute contenente un elenco di gruppi CRX a cui deve essere aggiunto questo utente.
Le asserzioni SAML sono firmate e possono essere facoltativamente crittografate. Affinché ciò funzioni, devi fornire almeno il certificato pubblico dell’IdP nell’archivio. Per fare questo è necessario:
Vai a http:/serveraddress:serverport/libs/granite/security/content/truststore.html
Premere il Crea collegamento TrustStore
Immettere la password per TrustStore e premere Save.
Fai clic su Gestisci TrustStore.
Carica il certificato IdP.
Prendi nota dell'alias del certificato. L'alias è admin#1436172864930 nell'esempio seguente.
I passaggi seguenti sono obbligatori, altrimenti verrà lanciata la seguente eccezione: com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
authentication-service
.I passaggi seguenti sono necessari solo se il gestore deve essere in grado di firmare o decrittografare i messaggi.
Carica il file della chiave privata facendo clic su Seleziona file di chiave privata. La chiave deve essere in formato PKCS#8 con codifica DER.
Carica il file del certificato facendo clic su Seleziona file della catena di certificati.
Assegna un alias, come illustrato di seguito:
È possibile impostare un logger per eseguire il debug di eventuali problemi derivanti dalla configurazione errata di SAML. Per farlo, segui questi passaggi:
Andando alla console Web all'indirizzo http://localhost:4502/system/console/configMgr
Cerca e fai clic sulla voce denominata Configurazione logger di registrazione Sling Apache
Crea un logger con la seguente configurazione: