- 管理使用指南概觀
- 網站功能
- 運作
- 安全性
- 使用者管理與安全性
- 用戶、組和訪問權限管理
- 安全性檢查清單
- OWASP Top 10
- 在生產就緒模式中執行AEM
- 身分識別管理
- AEM Managed Services的Adobe IMS驗證和管理控制台支援
- 建立已關閉的使用者群組
- 減輕AEM中的序列化問題
- 用戶同步
- 封裝的Token支援
- 單一登入
- 如何在AEM中審核使用者管理作業
- SSL預設值
- SAML 2.0驗證處理常式
- AEM中的已關閉使用者群組
- Granite Operations —— 使用者與群組管理
- 在AEM中啟用CRXDE Lite
- 使用AEM 6設定LDAP
- 在安裝時設定管理員密碼
- AEM中的服務使用者
- 配置屬性的加密支援
- 處理AEM Foundation的GDPR要求
- 權限管理的承擔者視圖
- 內容處置篩選
- AEM 6.5中的自訂使用者群組對應
- 個性化
- 電子商務
- 整合
- 與第三方服務整合
- 與Salesforce整合
- 整合 Adobe Target
- 整合 Adobe Analytics
- 連線至Adobe Analytics和建立架構
- 設定Adobe Analytics的連結追蹤
- 使用Adobe Analytics屬性對應元件資料
- 設定Adobe Analytics的視訊追蹤
- HTTP2 傳送內容常見問答集
- 疑難排解您的Adobe Campaign整合
- SharePoint Connector授權、著作權聲明及免責聲明
- SharePoint Connector
- DHTML 檢視器生命週期結束常見問答集
- 與Adobe Campaign Classic整合
- 相關社群文章
- 與Adobe Campaign Standard整合
- Flash 檢視器生命週期結束注意事項
- 產品摘要
- 與Adobe動態標籤管理整合
- 選擇使用Adobe Analytics和Adobe Target
- AEM入口網站和Portlet
- 與Dynamic Media Classic整合(Scene7)
- AEM Livefyre Recipes
- 疑難排解整合問題
- 與BrightEdge Content Optimizer整合
- Catalog Producer
- 設定與Experience Cloud和Creative Cloud的AEM資產整合
- 與Silverpop Engage整合
- 與Adobe Campaign整合
- 與ExactTarget整合
- Analytics與外部提供者
- 與Adobe Marketing Cloud整合
- 手動設定與Adobe Target的整合
- 與Adobe Target整合的先決條件
- 使用Adobe I/O與Adobe Target整合
- Adobe分類
- 與Adobe Search&Promote整合
- 解決方案整合
- 將體驗片段匯出至Adobe Target
- 電子郵件範本的最佳做法
- 與Livefyre整合
- 最佳作法
- 內容管理
SAML 2.0驗證處理常式
AEM隨附SAML驗證處理常式。 此處理常式支援使用HTTP POST系結的SAML 2.0驗證請求通訊協定(Web-SSO描述檔)。
它支援:
- 簽署和加密訊息
- 自動建立使用者
- 同步群組至AEM中的現有群組
- 服務提供者和身分提供者啟始的驗證
此處理常式會將加密的SAML回應訊息儲存在使用者節點(usernode/samlResponse)中,以利與協力廠商服務提供者通訊。
請參閱AEM和SAML整合的展示。
若要閱讀端對端社群文章,請按一下:將SAML與Adobe Experience Manager整合。
設定SAML 2.0驗證處理常式
Web控制台提供對SAML 2.0驗證處理常式組態的存取,稱為Adobe Granite SAML 2.0驗證處理常式。 可以設定以下屬性。
SAML 2.0驗證處理常式預設為停用。 您必須至少設定以下屬性之一才能啟用處理程式:
- 身分提供者POST URL。
- 服務提供者實體ID。
SAML斷言會經過簽署,並可選擇加密。 為了達到此目的,您必須至少在TrustStore中提供身分提供者的公開憑證。 如需詳細資訊,請參閱將IdP憑證新增至TrustStore區段。
PathRepository 路徑,Sling應使用此驗證處理常式。如果此為空白,則會停用驗證處理常式。
服務 排名OSGi Framework服務排名值,以指出呼叫此服務的順序。這是一個整數值,其中較高的值指定較高的優先順序。
IDP憑證 別名全域信任存放區中IdP憑證的別名。如果此屬性為空,則禁用驗證處理程式。 請參閱下方的「將IdP憑證新增至AEM TrustStore」一章,瞭解如何設定。
SAML驗證 請求應傳送至之IDP的身分提供者URL。如果此屬性為空,則禁用驗證處理程式。
必須將身分提供者主機名稱新增至Apache Sling Referrer Filter OSGi組態。 有關詳細資訊,請參閱Web控制台部分。
服務提供者實體 IDID,此IDID可唯一識別此服務提供者與身分提供者。如果此屬性為空,則禁用驗證處理程式。
預設重 新導向成功驗證後,要重新導向的預設位置。
此位置僅在未設定request-path Cookie時使用。 如果您要求設定路徑下方的任何頁面,但沒有有效的登入Token,請求的路徑會儲存在Cookie中
成功驗證後,瀏覽器將重新導向至此位置。
User-ID屬 性包含用於在CRX儲存庫中驗證和建立用戶的用戶ID的屬性的名稱。
使用者ID不會從SAML斷言的saml:Subject節點取得,而是從此saml:Attribute取得。
使用 加密此驗證處理常式是否需要加密的SAML斷言。
自動建立CRX 用戶成功驗證後是否在儲存庫中自動建立非現有用戶。
如果禁用了CRX用戶的自動建立,則必須手動建立用戶。
新增至群 組成功驗證後,使用者是否應自動新增至CRX群組。
群組 成員資格包含此使用者應加入之CRX群組清單的saml:Attribute的名稱。
將IdP憑證新增至AEM TrustStore
SAML斷言會經過簽署,並可選擇加密。 為了使此功能發揮作用,您必須至少在儲存庫中提供IdP的公共證書。 為此,您需要:
-
前往http:/serveraddress:serverport/libs/granite/security/content/truststore.html
-
按Create TrustStore連結
-
輸入TrustStore的密碼,然後按Save。
-
按一下管理TrustStore。
-
上傳IdP憑證。
-
記下證書別名。 別名為admin#1436172864930,如下例所示。
將服務提供者金鑰和憑證鏈新增至AEM金鑰庫
以下步驟為必要步驟,否則會引發下列例外:com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
- 前往:http://localhost:4502/libs/granite/security/content/useradmin.html
- 編輯
authentication-service使用者。 - 按一下「帳戶設定」下的「建立KeyStore」,建立KeyStore。
只有當處理程式應能夠簽署或解密訊息時,才需要下列步驟。
-
按一下選擇私鑰檔案上載私鑰檔案。 密鑰表示為PKCS#8格式,具有DER編碼。
-
按一下選擇證書鏈檔案上載證書檔案。
-
指定別名,如下所示:
配置SAML記錄器
您可以設定記錄器,以除錯任何因SAML設定錯誤而可能產生的問題。 您可以透過下列方式執行此動作:
-
前往Web控制台,網址為http://localhost:4502/system/console/configMgr
-
搜尋並按一下名為Apache Sling Logging Logger Configuration的項目
-
使用以下配置建立記錄器:
- 記錄檔層級:除 錯
- 日誌檔案: logs/saml.log
- Logger: com.adobe.granite.auth.saml