SAML 2.0身份验证处理程序

AEM随SAML身份验证处理程序提供。 此处理函数使用HTTP POST绑定支持 SAML 2.0身份验证请求协议(Web-SSO用户档案)。

它支持:

  • 消息签名和加密
  • 自动创建用户
  • 将组同步到AEM中的现有组
  • 服务提供商和标识提供者启动的身份验证

此处理函数将加密的SAML响应消息存储在用户节点(usernode/samlResponse)中,以便于与第三方服务提供商进行通信。

注意

请参阅AEM和SAML集成的演示

要阅读端到端社区文章,请单击:将SAML与Adobe Experience Manager集成。

配置SAML 2.0身份验证处理程序

Web控制台提供对SAML 2.0身份验证处理程序配置(称为​AdobeGranite SAML 2.0身份验证处理程序)的访问。 可以设置以下属性。

注意

默认情况下,SAML 2.0身份验证处理程序处于禁用状态。 要启用该处理函数,必须至少设置以下属性之一:

  • 标识提供者POSTURL。
  • 服务提供商实体ID。
注意

SAML声明已签名,并可以选择进行加密。 为使此工作正常,您必须至少在TrustStore中提供身份提供者的公共证书。 有关详细信息,请参阅将IdP证书添加到TrustStore部分。

Path Repository路径,Sling应使用此身份验证处理程序。如果此为空,则将禁用身份验证处理程序。

服务 排名OSGi框架服务排名值用于指示调用此服务的顺序。这是一个整数值,其中值越高,表示优先级越高。

IDP证 书别名全局信任存储中IdP证书的别名。如果此属性为空,则会禁用身份验证处理程序。 请参见下面的“将IdP证书添加到AEM TrustStore”一章,了解如何设置它。

应将SAML 身份验证请求发送到的IDP的标识提供者URL。如果此属性为空,则会禁用身份验证处理程序。

注意

必须将标识提供者主机名添加到​Apache Sling推荐人过滤器 OSGi配置。 有关详细信息,请参阅Web控制台部分。

服务提供商实 体IDID,它以标识提供者唯一标识此服务提供商。如果此属性为空,则会禁用身份验证处理程序。

默认重 定向成功验证后要重定向到的默认位置。

注意

此位置仅在未设置request-path cookie时使用。 如果您请求配置路径下的任何页面时没有有效的登录令牌,则请求的路径将存储在cookie中
并且,成功验证后,浏览器将再次重定向到此位置。

User-ID属 性包含用于在CRX存储库中验证和创建用户的用户ID的属性的名称。

注意

用户ID不会从SAML断言的saml:Subject节点获取,而是从此saml:Attribute获取。

使用 加密无论此身份验证处理程序是否需要加密的SAML声明。

自动创建 CRX用户成功验证后,是否在存储库中自动创建非现有用户。

注意

如果禁用了CRX用户的自动创建,则用户必须手动创建。

添加到 组是否应在成功验证后自动将用户添加到CRX组。

成员关系包含此用户应添加到的CRX组列表的saml:属性的名称。

将IdP证书添加到AEM TrustStore

SAML声明已签名,并可以选择进行加密。 要使此功能正常工作,您必须至少在存储库中提供IdP的公共证书。 为此,您需要:

  1. 转到​http:/serveraddress:serverport/libs/granite/security/content/truststore.html

  2. 按​创建TrustStore链接

  3. 输入TrustStore的口令,然后按​保存

  4. 单击​管理TrustStore

  5. 上传IdP证书。

  6. 记下证书别名。 在以下示例中,别名为​admin#1436172864930

    chlimage_1-372

将服务提供商密钥和证书链添加到AEM密钥库

注意

以下步骤是必需的,否则将引发以下异常:com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store

  1. 转到:http://localhost:4502/libs/granite/security/content/useradmin.html
  2. 编辑authentication-service用户。
  3. 通过单击​帐户设置​下的​创建KeyStore​创建KeyStore。
注意

仅当处理程序应能对消息进行签名或解密时,才需要以下步骤。

  1. 通过单击​选择私钥文件​上载私钥文件。 PKCS#8格式的密钥需要DER编码。

  2. 单击​选择证书链文件​上载证书文件。

  3. 分配别名,如下所示:

    chlimage_1-373

为SAML配置记录器

您可以设置记录器以调试因错误配置SAML而可能出现的任何问题。 可通过以下方式执行此操作:

  1. 转至Web控制台,位于​http://localhost:4502/system/console/configMgr

  2. 搜索并单击名为​Apache Sling Logger Configuration​的条目

  3. 使用以下配置创建记录器:

    • 日志级别:调
    • 日志文件: logs/saml.log
    • Logger: com.adobe.granite.auth.saml

在此页面上