- Administering用户指南概述
- 站点功能
- 操作
- 安全性
- 用户管理和安全
- 用户、组和访问权限管理
- 安全检查列表
- OWASP前10
- 在生产就绪模式下运行AEM
- Identity Management
- 对AEM Managed Services的Adobe IMS身份验证和Admin Console支持
- 创建封闭用户组
- 在AEM中缓解序列化问题
- 用户同步
- 封装的令牌支持
- 单点登录
- 如何在AEM中审核用户管理操作
- 默认情况下为SSL
- SAML 2.0 身份验证处理程序
- AEM中的已关闭用户组
- Granite操作 — 用户和组管理
- 在AEM中启用CRXDE Lite
- 使用AEM 6配置LDAP
- 在安装时配置管理员密码
- AEM中的服务用户
- 对配置属性的加密支持
- 为AEM Foundation处理GDPR请求
- 权限管理的主体视图
- 内容处置过滤器
- AEM 6.5中的自定义用户组映射
- 同一网站Cookie支持
- 个性化
- 集成
- 与第三方服务集成
- 与 Salesforce 集成
- 与 Adobe Target 集成
- 与 Adobe Learning Manager 集成
- 与 Adobe Analytics 集成
- 连接到Adobe Analytics和创建框架
- 为 Adobe Analytics 配置链接跟踪
- 建立组件数据与 Adobe Analytics 属性的映射
- 为 Adobe Analytics 配置视频跟踪
- 使用IMS与Adobe Analytics集成
- HTTP2 内容投放常见问题解答
- Adobe Campaign集成故障诊断
- SharePoint连接器许可证、版权声明和免责声明
- SharePoint Connector
- DHTML 查看器生命周期结束常见问题解答
- 与 Adobe Campaign Classic 集成
- 相关社区文章
- 与Adobe Campaign Standard集成
- Flash 查看器生命周期终止通知
- 与AdobeDynamic Tag Management集成
- 选择加入Adobe Analytics和Adobe Target
- AEM门户和Portlet
- 与Dynamic Media Classic集成(Scene7)
- AEM Livefyre 指南
- 集成问题疑难解答
- 与BrightEdge Content Optimizer集成
- 目录制作者
- 与Silverpop Engage集成
- 与 Adobe Campaign 集成
- 与ExactTarget集成
- Analytics与外部提供程序
- 与Adobe Marketing Cloud集成
- 手动配置与Adobe Target的集成
- 与Adobe Target集成的先决条件
- 使用IMS与Adobe Target集成
- Adobe 分类
- 解决方案集成
- 将体验片段导出到 Adobe Target
- 电子邮件模板最佳实践
- 与 Livefyre 集成
- 最佳实践
- 内容管理
SAML 2.0 身份验证处理程序
AEM随a SAML 身份验证处理程序。 此处理程序支持 SAML 使用 HTTP POST 绑定。
它支持:
- 消息的签名和加密
- 自动创建用户
- 将组同步到AEM中的现有组
- 服务提供商和身份提供商启动了身份验证
此处理程序将加密的SAML响应消息存储在用户节点( usernode/samlResponse),以便与第三方服务提供商进行通信。
请参阅 AEM与SAML集成的演示.
配置SAML 2.0身份验证处理程序
的 Web控制台 提供对 SAML 已调用2.0身份验证处理程序配置 AdobeGranite SAML 2.0身份验证处理程序. 可以设置以下属性。
默认情况下,SAML 2.0身份验证处理程序处于禁用状态。 要启用处理程序,必须至少设置以下属性之一:
- 身份提供程序POSTURL或IDP URL。
- 服务提供商实体ID。
SAML断言已签名,并且可以选择进行加密。 要使此功能正常工作,您必须在TrustStore中至少提供身份提供者的公共证书。 请参阅 将IdP证书添加到TrustStore 的子菜单。
路径 Sling应使用此身份验证处理程序的存储库路径。 如果为空,则将禁用身份验证处理程序。
服务排名 OSGi框架服务排名值,指示调用此服务的顺序。 这是一个整数值,其中较高的值指定较高的优先级。
IDP证书别名 全局信任存储中IdP证书的别名。 如果此属性为空,则禁用身份验证处理程序。 有关如何设置IdP证书的信息,请参阅下面的“将IdP证书添加到AEM TrustStore”一章。
IDP URL 应将SAML身份验证请求发送到的IDP的URL。 如果此属性为空,则禁用身份验证处理程序。
必须将身份提供程序主机名添加到 Apache Sling反向链接过滤器 OSGi配置。 请参阅 Web控制台 的子菜单。
服务提供商实体ID 用标识提供程序唯一标识此服务提供程序的ID。 如果此属性为空,则禁用身份验证处理程序。
默认重定向 成功身份验证后要重定向到的默认位置。
此位置仅在 request-path 未设置cookie。 如果您请求配置路径下的任何页面时没有有效的登录令牌,则请求的路径将存储在Cookie中
并且,成功身份验证后,浏览器将再次重定向到此位置。
用户ID属性 属性的名称,该属性包含用于在CRX存储库中验证和创建用户的用户ID。
不会从 saml:Subject SAML断言的节点,但来自此 saml:Attribute.
使用加密 此身份验证处理程序是否需要加密的SAML断言。
自动创建CRX用户 成功验证后,是否在存储库中自动创建非现有用户。
如果禁用了CRX用户的自动创建,则必须手动创建用户。
添加到群组 成功身份验证后,是否应将用户自动添加到CRX组。
组成员资格 saml:Attribute的名称,其中包含应将此用户添加到的CRX组列表。
将IdP证书添加到AEM TrustStore
SAML断言已签名,并且可以选择进行加密。 要使其正常工作,您必须在存储库中至少提供IdP的公共证书。 为此,您需要:
-
转到 http:/serveraddress:serverport/libs/granite/security/content/truststore.html
-
按 创建TrustStore链接
-
输入TrustStore的密码,然后按 保存.
-
单击 管理TrustStore.
-
上载IdP证书。
-
请注意证书别名。 别名为 admin#1436172864930 在以下示例中。
将服务提供商密钥和证书链添加到AEM密钥库
必须执行以下步骤,否则将引发以下异常: com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
- 转到: http://localhost:4502/libs/granite/security/content/useradmin.html
- 编辑
authentication-service用户。 - 通过单击 创建KeyStore 在 帐户设置.
只有在处理程序应能对消息进行签名或解密时,才需要执行以下步骤。
-
为AEM创建证书/密钥对。 通过openssl生成该域的命令应类似于以下示例:
openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out certificate.crt -keyout key.pem -
将密钥转换为PKCS#8格式,并使用DER编码。 这是AEM KeyStore所需的格式。
openssl pkcs8 -topk8 -inform PEM -outform DER -in key.pem -out key.der -nocrypt -
通过单击 选择私钥文件.
-
通过单击 选择证书链文件.
-
分配别名,如下所示:
为SAML配置日志记录器
您可以设置一个记录器,以调试因错误配置SAML而可能引发的任何问题。 您可以执行以下操作来实现此目标:
-
转到Web控制台,位于 http://localhost:4502/system/console/configMgr
-
搜索并单击名为 Apache Sling日志记录器配置
-
使用以下配置创建日志记录器:
- 日志级别: 调试
- 日志文件: logs/saml.log
- 记录器: com.adobe.granite.auth.saml
