- 管理使用手冊概述
- 站點功能
- 運作
- 安全性
- 用戶管理和安全
- 用戶、組和訪問權限管理
- 安全核對表
- OWASP前10
- 在生AEM產就緒模式下運行
- Identity Management
- Adobe IMS身份驗證和Admin Console支援AEMManaged Services
- 建立關閉的用戶組
- 緩解中的序列化問AEM題
- 用戶同步
- 封裝的令牌支援
- 單一登錄
- 如何審核用戶管理操AEM作
- 預設情況下SSL
- SAML 2.0 驗證處理常式
- 中的已關閉用戶AEM組
- 花崗岩操作 — 用戶和組管理
- 啟用CRXDE LiteAEM
- 配置LDAPAEM 6
- 在安裝時配置管理員密碼
- 服務用AEM戶
- 配置屬性的加密支援
- 處理Foundation的GDPR請AEM求
- 權限管理的主體視圖
- 內容處置篩選器
- 6.5中的自定義AEM用戶組映射
- 同一站點Cookie支援
- 個性化
- 整合
- 與第三方服務整合
- 與Salesforce整合
- 整合 Adobe Target
- 整合 Adobe Analytics
- 連接到Adobe Analytics並建立框架
- 為Adobe Analytics配置鏈路跟蹤
- 使用Adobe Analytics屬性映射元件資料
- 為Adobe Analytics配置視頻跟蹤
- 使用IMS與Adobe Analytics整合
- HTTP2 傳送內容常見問答集
- 排除您的Adobe Campaign整合故障
- SharePoint連接器許可證、版權聲明和免責聲明
- SharePoint連接器
- DHTML 檢視器生命週期結束常見問答集
- 與Adobe Campaign Classic整合
- 相關社群文章
- 與Adobe Campaign Standard整合
- Flash 檢視器生命週期結束注意事項
- 產品源
- 與Adobe動態Tag Management整合
- 跳進Adobe Analytics和Adobe Target
- 門AEM戶和Portlet
- 與Dynamic Media Classic(Scene7)一體
- AEM Livefyre 指導方針
- 疑難排解整合問題
- 與BrightEdge Content Optimizer整合
- 目錄製作者
- 與Silverpop Engage整合
- 與Adobe Campaign整合
- 與ExactTarget整合
- 使用外部提供程式進行分析
- 與Adobe Marketing Cloud
- 手動配置與Adobe Target的整合
- 與Adobe Target整合的先決條件
- 使用IMS與Adobe Target整合
- Adobe分類
- 與AdobeSearch&Promote整合
- 解決方案整合
- 將體驗片段導出到Adobe Target
- 電子郵件模板的最佳做法
- 與 Livefyre 整合
- 最佳作法
- 內容管理
SAML 2.0 驗證處理常式
AEM隨附SAML驗證處理常式。 此處理常式支援使用HTTP POST捆綁的 SAML 2.0驗證請求協定(Web-SSO配置檔案)。
它支援:
- 郵件的簽名和加密
- 自動建立使用者
- 將群組同步至AEM中的現有群組
- 服務提供程式和身份提供程式啟動的身份驗證
此處理程式將加密的SAML響應消息儲存在用戶節點(usernode/samlResponse)中,以便於與第三方服務提供商的通信。
請參閱AEM和SAML整合的示範。
若要閱讀端對端社群文章,請按一下:整合SAML與Adobe Experience Manager。
設定SAML 2.0驗證處理常式
Web控制台提供對SAML 2.0驗證處理常式配置(稱為AdobeGranite SAML 2.0驗證處理常式)的訪問。 可設定下列屬性。
預設會停用SAML 2.0驗證處理常式。 必須至少設定以下屬性之一才能啟用處理程式:
- 身分提供者POSTURL。
- 服務提供商實體ID。
SAML聲明經過簽名,並可以選擇進行加密。 為了讓此功能發揮作用,您必須在TrustStore中至少提供身份提供程式的公開證書。 如需詳細資訊,請參閱將IdP憑證新增至TrustStore區段。
Sling應使用此驗證處理常式的PathRepository路徑。如果為空,則會停用驗證處理常式。
服 務排名OSGi框架服務排名值,用於指示呼叫此服務的順序。這是整數值,其中值越高,優先順序越高。
IDP憑 證別名全域信任存放區中IdP憑證的別名。如果此屬性為空,則禁用身份驗證處理程式。 請參閱下方的「將IdP憑證新增至AEM TrustStore」一章,了解如何設定。
IDP的 身分提供者URL,應將SAML驗證要求傳送至此IDP。如果此屬性為空,則禁用身份驗證處理程式。
必須將身分提供者主機名稱新增至Apache Sling Referrer Filter OSGi設定。 如需詳細資訊,請參閱Web主控台區段。
服務提供程 式實體IDID,該ID用身份提供程式唯一標識此服務提供程式。如果此屬性為空,則禁用身份驗證處理程式。
預設 重新導向成功驗證後要重新導向的預設位置。
只有在未設定request-path Cookie時,才會使用此位置。 如果您在未使用有效登入代號的情況下,要求設定路徑下方的任何頁面,則要求的路徑會儲存在Cookie中
成功驗證後,瀏覽器會重新導向至此位置。
User-ID屬 性包含用於驗證和在CRX儲存庫中建立用戶的用戶ID的屬性名稱。
系統不會從SAML斷言的saml:Subject節點取用使用者ID,而會從這個saml:Attribute取用。
使用 加密無論此身份驗證處理程式是否需要加密的SAML聲明。
自動建立 CRX用戶是否在成功驗證後自動建立儲存庫中的非現有用戶。
如果停用CRX使用者的自動建立,則必須手動建立使用者。
新增至 群組是否應在成功驗證後自動將使用者新增至CRX群組。
群 組成員資格包含應新增此使用者之CRX群組清單的saml:Attribute的名稱。
將IdP憑證新增至AEM TrustStore
SAML聲明經過簽名,並可以選擇進行加密。 為了讓此功能發揮作用,您必須在存放庫中提供至少IdP的公開憑證。 為此,您需要:
-
前往http:/serveraddress:serverport/libs/granite/security/content/truststore.html
-
按建立TrustStore連結
-
輸入TrustStore的密碼,然後按Save。
-
按一下管理TrustStore。
-
上傳IdP憑證。
-
記下憑證別名。 以下範例中的別名為admin#1436172864930。
將服務提供者金鑰和憑證鏈新增至AEM金鑰存放區
以下步驟為必要步驟,否則將擲回下列例外:com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
- 前往:http://localhost:4502/libs/granite/security/content/useradmin.html
- 編輯
authentication-service用戶。 - 按一下帳戶設定下的「建立KeyStore 」,建立KeyStore。
只有當處理程式能夠對消息進行簽名或解密時,才需要執行以下步驟。
-
按一下選擇私鑰檔案上載私鑰檔案。 密鑰表示為PKCS#8格式,且具有DER編碼。
-
按一下選擇證書鏈檔案上載證書檔案。
-
分配別名,如下所示:
為SAML配置記錄器
您可以設定記錄器,以偵錯因錯誤設定SAML而可能產生的任何問題。 您可以透過下列方式執行此作業:
-
前往Web主控台,網址為http://localhost:4502/system/console/configMgr
-
搜尋並按一下名為Apache Sling Logging Logger Configuration的項目
-
使用以下配置建立記錄器:
- 記錄層級: 除錯
- 記錄檔: logs/saml.log
- 記錄器: com.adobe.granite.auth.saml
