SAML 2.0驗證處理常式

AEM隨附SAML驗證處理常式。 此處理常式支援使用HTTP POST系結的SAML 2.0驗證請求通訊協定(Web-SSO描述檔)。

它支援:

  • 簽署和加密訊息
  • 自動建立使用者
  • 同步群組至AEM中的現有群組
  • 服務提供者和身分提供者啟始的驗證

此處理常式會將加密的SAML回應訊息儲存在使用者節點(usernode/samlResponse)中,以利與協力廠商服務提供者通訊。

注意

請參閱AEM和SAML整合的展示

若要閱讀端對端社群文章,請按一下:將SAML與Adobe Experience Manager整合。

設定SAML 2.0驗證處理常式

Web控制台提供對SAML 2.0驗證處理常式組態的存取,稱為​Adobe Granite SAML 2.0驗證處理常式。 可以設定以下屬性。

注意

SAML 2.0驗證處理常式預設為停用。 您必須至少設定以下屬性之一才能啟用處理程式:

  • 身分提供者POST URL。
  • 服務提供者實體ID。
注意

SAML斷言會經過簽署,並可選擇加密。 為了達到此目的,您必須至少在TrustStore中提供身分提供者的公開憑證。 如需詳細資訊,請參閱將IdP憑證新增至TrustStore區段。

PathRepository 路徑,Sling應使用此驗證處理常式。如果此為空白,則會停用驗證處理常式。

服務 排名OSGi Framework服務排名值,以指出呼叫此服務的順序。這是一個整數值,其中較高的值指定較高的優先順序。

IDP憑證 別名全域信任存放區中IdP憑證的別名。如果此屬性為空,則禁用驗證處理程式。 請參閱下方的「將IdP憑證新增至AEM TrustStore」一章,瞭解如何設定。

SAML驗證 請求應傳送至之IDP的身分提供者URL。如果此屬性為空,則禁用驗證處理程式。

注意

必須將身分提供者主機名稱新增至​Apache Sling Referrer Filter OSGi組態。 有關詳細資訊,請參閱Web控制台部分。

服務提供者實體 IDID,此IDID可唯一識別此服務提供者與身分提供者。如果此屬性為空,則禁用驗證處理程式。

預設重 新導向成功驗證後,要重新導向的預設位置。

注意

此位置僅在未設定request-path Cookie時使用。 如果您要求設定路徑下方的任何頁面,但沒有有效的登入Token,請求的路徑會儲存在Cookie中
成功驗證後,瀏覽器將重新導向至此位置。

User-ID屬 性包含用於在CRX儲存庫中驗證和建立用戶的用戶ID的屬性的名稱。

注意

使用者ID不會從SAML斷言的saml:Subject節點取得,而是從此saml:Attribute取得。

使用 加密此驗證處理常式是否需要加密的SAML斷言。

自動建立CRX 用戶成功驗證後是否在儲存庫中自動建立非現有用戶。

注意

如果禁用了CRX用戶的自動建立,則必須手動建立用戶。

新增至群 組成功驗證後,使用者是否應自動新增至CRX群組。

群組 成員資格包含此使用者應加入之CRX群組清單的saml:Attribute的名稱。

將IdP憑證新增至AEM TrustStore

SAML斷言會經過簽署,並可選擇加密。 為了使此功能發揮作用,您必須至少在儲存庫中提供IdP的公共證書。 為此,您需要:

  1. 前往​http:/serveraddress:serverport/libs/granite/security/content/truststore.html

  2. 按​Create TrustStore連結

  3. 輸入TrustStore的密碼,然後按​Save

  4. 按一下​管理TrustStore

  5. 上傳IdP憑證。

  6. 記下證書別名。 別名為​admin#1436172864930,如下例所示。

    chlimage_1-372

將服務提供者金鑰和憑證鏈新增至AEM金鑰庫

注意

以下步驟為必要步驟,否則會引發下列例外:com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store

  1. 前往:http://localhost:4502/libs/granite/security/content/useradmin.html
  2. 編輯authentication-service使用者。
  3. 按一下「帳戶設定」下的「建立KeyStore」,建立KeyStore。
注意

只有當處理程式應能夠簽署或解密訊息時,才需要下列步驟。

  1. 按一下​選擇私鑰檔案​上載私鑰檔案。 密鑰表示為PKCS#8格式,具有DER編碼。

  2. 按一下​選擇證書鏈檔案​上載證書檔案。

  3. 指定別名,如下所示:

    chlimage_1-373

配置SAML記錄器

您可以設定記錄器,以除錯任何因SAML設定錯誤而可能產生的問題。 您可以透過下列方式執行此動作:

  1. 前往Web控制台,網址為​http://localhost:4502/system/console/configMgr

  2. 搜尋並按一下名為​Apache Sling Logging Logger Configuration​的項目

  3. 使用以下配置建立記錄器:

    • 記錄檔層級:除
    • 日誌檔案: logs/saml.log
    • Logger: com.adobe.granite.auth.saml

本頁內容

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now