DocumentatieAEM 6.5Handboek

SAML 2.0-verificatiehandler saml-authentication-handler

Last update: Wed Apr 10 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Gemaakt voor:

  • Admin

AEM schepen SAML verificatiehandler. Deze handler ondersteunt de SAML 2.0 het Protocol van het Verzoek van de Authentificatie (Web-SSO profiel) gebruikend HTTP POST binding.

Het steunt:

  • ondertekening en versleuteling van berichten
  • automatisch maken van gebruikers
  • groepen synchroniseren met bestaande groepen in AEM
  • Serviceleverancier en identiteitsprovider hebben verificatie gestart

Deze handler slaat het gecodeerde SAML-responsbericht op in het user-node ( usernode/samlResponse) om de communicatie met een externe serviceprovider te vergemakkelijken.

NOTE
Zie een demonstratie van AEM en SAML-integratie.

De SAML 2.0-verificatiehandler configureren configuring-the-saml-authentication-handler

De Webconsole verleent toegang tot SAML 2.0 de geroepen Configuratie van de Handler van de Authentificatie Adobe graniet SAML 2.0-verificatiehandler. De volgende eigenschappen kunnen worden ingesteld.

NOTE
De SAML 2.0-verificatiehandler is standaard uitgeschakeld. Stel ten minste een van de volgende eigenschappen in om de handler in te schakelen:
  • De POST-URL van Identiteitsprovider of de IDP-URL.
  • De Service Provider Entiteit ID.
NOTE
SAML-beweringen worden ondertekend en kunnen optioneel worden versleuteld. Dit werkt alleen als u ten minste het openbare certificaat van de Identiteitsprovider in de TrustStore opgeeft. Zie Het IdP-certificaat toevoegen aan de TrustStore voor meer informatie.

Pad Pad naar opslagplaats waarvoor deze verificatiehandler door Sling moet worden gebruikt. Als dit leeg is, zal de authentificatiemanager worden onbruikbaar gemaakt.

Servicereeks OSGi de Rangschikkende waarde van de Dienst van het Kader om op de orde te wijzen waarin om deze dienst te roepen. Dit is een geheel getal waarbij hogere waarden een hogere prioriteit aangeven.

IdP-certificaatalias De alias van het certificaat van IdP in globale truststore. Als deze eigenschap leeg is, wordt de verificatiehandler uitgeschakeld. Zie het hoofdstuk "Add the IdP Certificate to the AEM TrustStore" hieronder over hoe u het instelt.

IDP-URL URL van IDP waar het verzoek van de Authentificatie van SAML zou moeten worden verzonden naar. Als deze eigenschap leeg is, wordt de verificatiehandler uitgeschakeld.

CAUTION
De hostnaam van de identiteitsprovider moet worden toegevoegd aan de Filter Apache Sling Referrer OSGi-configuratie. Zie de Webconsole voor meer informatie.

Entiteit Service Provider ID Id die deze serviceprovider op unieke wijze identificeert met de identiteitsprovider. Als deze eigenschap leeg is, wordt de verificatiehandler uitgeschakeld.

Standaardomleiding De standaardlocatie waarnaar moet worden omgeleid na geslaagde verificatie.

NOTE
Deze locatie wordt alleen gebruikt als de request-path cookie is niet ingesteld. Als u om het even welke pagina onder de gevormde weg zonder geldig login-teken verzoekt, wordt het gevraagde weg opgeslagen in een koekje
en de browser wordt opnieuw omgeleid naar deze locatie nadat de verificatie is voltooid.

Kenmerk gebruikersnaam De naam van het kenmerk met de gebruikers-id die wordt gebruikt voor het verifiëren en maken van de gebruiker in de CRX-opslagruimte.

NOTE
De gebruikersnaam wordt niet overgenomen uit de saml:Subject knooppunt van de SAML-bewering, maar vanuit dit saml:Attribute.

Codering gebruiken Of deze authentificatiemanager gecodeerde beweringen van SAML verwacht of niet.

CRX-gebruikers automatisch maken Al dan niet automatisch niet-bestaande gebruikers in de repository maken na succesvolle verificatie.

CAUTION
Als het automatisch maken van CRX-gebruikers is uitgeschakeld, moeten de gebruikers handmatig worden gemaakt.

Toevoegen aan groepen Of een gebruiker automatisch aan CRX groepen na succesvolle authentificatie zou moeten worden toegevoegd of niet.

Groepslidmaatschap The name of the sample:Attribute containing a list of CRX groups this user should be added to.

Het IdP-certificaat toevoegen aan de AEM TrustStore add-the-idp-certificate-to-the-aem-truststore

SAML-beweringen worden ondertekend en kunnen optioneel worden versleuteld. Dit werkt alleen als u ten minste het openbare certificaat van de IdP in de opslagplaats verstrekt. Hiervoor moet u:

  1. Ga naar http:/serveraddress:serverport/libs/granite/security/content/truststore.html

  2. Druk op Create TrustStore link

  3. Voer het wachtwoord voor de TrustStore in en druk op Save.

  4. Klikken op Manage TrustStore.

  5. Upload het IdP-certificaat.

  6. Noteer het certificaat Alias. De alias is admin#1436172864930 in het onderstaande voorbeeld.

    chlimage_1-372

De sleutel en certificaatketen van de Serviceleverancier toevoegen aan het AEM sleutelarchief add-the-service-provider-key-and-certificate-chain-to-the-aem-keystore

NOTE
De onderstaande stappen zijn verplicht, anders wordt de volgende uitzondering gegenereerd: com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
  1. Ga naar: http://localhost:4502/libs/granite/security/content/useradmin.html
  2. Bewerk de authentication-service gebruiker.
  3. Een KeyStore maken door op KeyStore maken krachtens Accountinstellingen.
NOTE
De onderstaande stappen zijn alleen vereist als de handler berichten kan ondertekenen of ontsleutelen.

  1. Maak het certificaat/sleutelpaar voor AEM. Het bevel om het via open te produceren zou op het onderstaande voorbeeld moeten lijken:

    openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out certificate.crt -keyout key.pem

  2. Zet de sleutel in PKCS#8 formaat met DER het coderen om. Dit is de indeling die wordt vereist door het AEM sleutelarchief.

    openssl pkcs8 -topk8 -inform PEM -outform DER -in key.pem -out key.der -nocrypt

  3. Upload het bestand met de persoonlijke sleutel door op Bestand met persoonlijke sleutel selecteren.

  4. Het certificaatbestand uploaden door op Certificaatketenbestanden selecteren.

  5. Een alias toewijzen, zoals hieronder wordt getoond:

    chlimage_1-373

Vorm Logger voor SAML configure-a-logger-for-saml

U kunt opstelling een Logger om het even welke kwesties te zuiveren die uit het misconfigureren van SAML zouden kunnen voortvloeien. U kunt dit doen door:

  1. Ga naar de webconsole, op http://localhost:4502/system/console/configMgr

  2. Zoeken naar en klikken op de aangeroepen vermelding Logboekconfiguratie Apache Sling Logging

  3. Maak een logger met de volgende configuratie:

    • Logniveau: Foutopsporing
    • Logbestand: logs/saml.log
    • Logger: com.adobe.granite.auth.saml
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2