AEM附带 SAML 身份验证处理程序。 此处理程序支持 SAML 2.0身份验证请求协议(Web-SSO配置文件)使用 HTTP POST
绑定。
它支持:
此处理程序将加密的SAML响应消息存储在用户节点( usernode/samlResponse
)以促进与第三方服务提供商的通信。
参见 AEM与SAML集成的演示.
此 Web控制台 提供对 SAML 已调用2.0身份验证处理程序配置 AdobeGranite SAML 2.0身份验证处理程序. 可以设置以下属性。
默认情况下,SAML 2.0身份验证处理程序处于禁用状态。 要启用处理程序,您必须至少设置以下属性之一:
SAML断言经过签名,可以选择进行加密。 要使此功能正常工作,您必须至少在TrustStore中提供身份提供程序的公共证书。 参见 将IdP证书添加到TrustStore 部分以了解更多信息。
路径 Sling应使用此身份验证处理程序的存储库路径。 如果此为空,则将禁用身份验证处理程序。
服务排名 OSGi框架服务排名值,指示调用此服务的顺序。 这是一个整数值,其中较高的值表示较高的优先级。
IDP证书别名 全局truststore中IdP证书的别名。 如果此属性为空,则将禁用身份验证处理程序。 有关如何设置证书,请参阅下面的“将IdP证书添加到AEM TrustStore”一章。
IDP URL IDP的URL,应将SAML身份验证请求发送到该位置。 如果此属性为空,则将禁用身份验证处理程序。
必须将身份提供程序主机名添加到 Apache Sling引用过滤器 osgi配置。 请参阅 Web控制台 部分以了解更多信息。
服务提供商实体ID 使用身份提供程序唯一标识此服务提供程序的ID。 如果此属性为空,则将禁用身份验证处理程序。
默认重定向 成功身份验证后重定向到的默认位置。
此位置仅在 request-path
未设置Cookie。 如果您在没有有效登录令牌的情况下请求所配置路径下的任何页面,则请求的路径将存储在Cookie中
在成功进行身份验证后,浏览器将再次重定向到此位置。
用户ID属性 属性的名称,该属性包含用于在CRX存储库中验证和创建用户的用户ID。
不会从获取用户ID saml:Subject
SAML断言的节点,但来自此 saml:Attribute
.
使用加密 此身份验证处理程序是否需要加密的SAML声明。
自动创建CRX用户 在成功身份验证后是否自动在存储库中创建非现有用户。
如果禁用了CRX用户的自动创建,则必须手动创建用户。
添加到组 成功身份验证后是否应自动将用户添加到CRX组。
组成员资格 saml:Attribute的名称,其中包含此用户应添加到的CRX组列表。
SAML断言经过签名,可以选择进行加密。 要使此功能正常工作,您必须在存储库中至少提供IdP的公共证书。 为此,您需要:
转到 http:/serveraddress:serverport/libs/granite/security/content/truststore.html
按 创建TrustStore链接
输入TrustStore的密码,然后按 保存.
单击 管理Truststore.
上传IdP证书。
记下证书别名。 别名为 admin#1436172864930 在以下示例中。
以下步骤是必需的,否则将引发以下异常: com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
authentication-service
用户。仅当处理程序能够签名或解密消息时,才需要执行以下步骤。
为AEM创建证书/密钥对。 通过openssl生成它的命令应类似于以下示例:
openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out certificate.crt -keyout key.pem
使用DER编码将密钥转换为PKCS#8格式。 这是AEM密钥库所需的格式。
openssl pkcs8 -topk8 -inform PEM -outform DER -in key.pem -out key.der -nocrypt
通过单击上传私钥文件 选择私钥文件.
通过单击上传证书文件 选择证书链文件.
分配别名,如下所示:
您可以设置记录器,以调试因错误配置SAML而引发的任何问题。 您可以执行以下操作来实现此目标:
转到Web控制台,网址为 http://localhost:4502/system/console/configMgr
搜索并单击名为的条目 Apache Sling日志记录器配置
使用以下配置创建日志程序: