- 管理使用手冊概述
- Sites功能
- 運作
- 安全性
- 使用者管理與安全性
- 使用者、群組和存取權限管理
- 安全性檢查清單
- OWASP前10名
- 以生產就緒模式執行AEM
- Identity Management
- 適用於AEM Managed Services的Adobe IMS驗證和Admin Console支援
- 建立封閉的使用者群組
- 緩解AEM中的序列化問題
- 使用者同步
- 封裝的Token支援
- 單一登入
- 如何在AEM中稽核使用者管理作業
- 預設為SSL
- SAML 2.0 驗證處理常式
- AEM中的封閉使用者群組
- Granite操作 — 使用者和群組管理
- 在AEM中啟用CRXDE Lite
- 使用AEM 6配置LDAP
- 在安裝時設定管理員密碼
- AEM中的服務使用者
- 配置屬性的加密支援
- 處理AEM Foundation的GDPR請求
- 權限管理的主體視圖
- 內容處置篩選器
- AEM 6.5中的自訂使用者群組對應
- 相同網站Cookie支援
- 個人化
- 整合
- 與第三方服務整合
- 與Salesforce整合
- 整合 Adobe Target
- 與 Adobe Learning Manager 整合
- 整合 Adobe Analytics
- 連接Adobe Analytics和建立框架
- 設定Adobe Analytics的連結追蹤
- 將元件資料與Adobe Analytics屬性對應
- 設定Adobe Analytics的視訊追蹤
- 使用IMS與Adobe Analytics整合
- HTTP2 傳送內容常見問答集
- 疑難排解Adobe Campaign整合
- SharePoint Connector授權、版權聲明及免責聲明
- SharePoint Connector
- DHTML 檢視器生命週期結束常見問答集
- 與Adobe Campaign Classic整合
- 相關社群文章
- 與Adobe Campaign Standard整合
- Flash 檢視器生命週期結束注意事項
- 與AdobeDynamic Tag Management整合
- 選擇加入Adobe Analytics和Adobe Target
- AEM門戶和門戶
- 與Dynamic Media Classic整合(Scene7)
- AEM Livefyre 指導方針
- 疑難排解整合問題
- 與BrightEdge Content Optimizer整合
- 目錄製作者
- 與Silverpop Engage整合
- 與 Adobe Campaign 整合
- 與ExactTarget整合
- Analytics與外部提供者
- 與Adobe Marketing Cloud整合
- 手動設定與Adobe Target的整合
- 與Adobe Target整合的必要條件
- 使用IMS與Adobe Target整合
- Adobe分類
- 解決方案整合
- 將體驗片段匯出到 Adobe Target
- 電子郵件範本最佳作法
- 與 Livefyre 整合
- 最佳作法
- 內容管理
SAML 2.0 驗證處理常式
AEM 隨附 SAML 驗證處理常式。此處理常式使用 HTTP POST 繫結,提供對 SAML 2.0 驗證請求通訊協定 (Web-SSO 設定檔) 的支援。
它支援:
- 訊息的簽署和加密
- 使用者的自動建立
- 將群組同步至 AEM 中的現有群組
- 服務提供者和身分提供者啟動的驗證
此處理常式會將加密的 SAML 回應訊息儲存在使用者節點 (usernode/samlResponse) 中,以促進與協力廠商服務提供者的通訊。
請參閱 AEM 與 SAML 整合的示範。
設定 SAML 2.0 驗證處理常式
網頁主控台提供了對 SAML 2.0 驗證處理常式設定 (稱為 Adobe Granite SAML 2.0 驗證處理常式) 的存取權。您可設定下列屬性。
SAML 2.0 驗證處理常式會依預設停用。您必須至少設定下列其中一個屬性,才能啟用此處理常式:
- 身分提供者 POST URL,或 IDP URL。
- 服務提供者實體 ID。
SAML 聲明已經過簽署,並可選擇進行加密。為了使其運作,您必須至少在 TrustStore 中提供身分提供者的公開憑證。如需詳細資訊,請參閱將 IdP 憑證新增至 TrustStore 一節。
路徑:Sling 應使用此驗證處理常式的存放庫路徑。如果此為空白,則會停用驗證處理常式。
服務排名:OSGi 框架服務排名值,可指示呼叫此服務的順序。此為整數值,其中較高的值代表較高的優先順序。
IDP 憑證別名:全域 TrustStore 中 IdP 憑證的別名。如果此屬性為空白,則會停用驗證處理常式。若要了解如何設定,請參閱下方的「將 IdP 憑證新增至 AEM TrustStore」一章。
IDP URL:IDP 的 URL,應將 SAML 驗證請求傳送至此處。如果此屬性為空白,則會停用驗證處理常式。
身分提供者主機名稱必須新增至 Apache Sling 反向連結篩選器 OSGi 設定。如需詳細資訊,請參閱網頁主控台一節。
服務提供者實體 ID:此 ID 可透過身分提供者唯一地辨識此服務提供者。如果此屬性為空白,則會停用驗證處理常式。
預設重新導向:在成功驗證後,重新導向到的預設位置。
此位置僅在未設定 request-path Cookie 時使用。如果您在沒有有效登入權杖的情況下,請求已設定路徑下方的任何頁面,則請求的路徑會儲存在 Cookie 中,
而且在成功驗證後,瀏覽器會重新導向到此位置。
使用者 ID 屬性:屬性的名稱,其中包含在 CRX 存放庫中用於驗證和建立使用者的使用者 ID。
系統不會從 SAML 聲明的 saml:Subject 節點取得使用者 ID,而是從此 saml:Attribute 取得。
使用加密:此驗證處理常式是否需要加密的 SAML 聲明。
自動建立 CRX 使用者:在成功驗證後,是否自動建立存放庫中的非現有使用者。
如果停用 CRX 使用者的自動建立,則必須手動建立使用者。
新增至群組:在成功驗證後,是否應自動將使用者新增至 CRX 群組。
群組成員資格:saml:Attribute 的名稱,其中包含此使用者應新增至的 CRX 群組清單。
將 IdP 憑證新增至 AEM TrustStore
SAML 聲明已經過簽署,並可選擇進行加密。為了使其運作,您必須至少在存放庫中提供 IdP 的公開憑證。若要進行這項作業,您必須:
-
前往 http:/serveraddress:serverport/libs/granite/security/content/truststore.html
-
按下「建立 TrustStore 連結」
-
輸入 TrustStore 的密碼,然後按「儲存」。
-
按一下「管理 TrustStore」。
-
上傳 IdP 憑證。
-
記下憑證別名。在下方的範例中,別名為 admin#1436172864930。
將服務提供者金鑰和憑證鏈新增至 AEM KeyStore
下方的步驟為必要步驟,否則將擲回下列例外狀況:com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
- 前往:http://localhost:4502/libs/granite/security/content/useradmin.html
- 編輯
authentication-service使用者。 - 按一下「帳戶設定」下的「建立 KeyStore」,以建立 KeyStore。
只有在處理常式應該能簽署或解密訊息時,才需要執行下方的步驟。
-
建立AEM的憑證/鑰匙組。 透過openssl產生此變數的命令應類似以下範例:
openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out certificate.crt -keyout key.pem -
使用DER編碼將密鑰轉換為PKCS#8格式。 這是AEM金鑰存放區所需的格式。
openssl pkcs8 -topk8 -inform PEM -outform DER -in key.pem -out key.der -nocrypt -
按一下「選取私密金鑰檔案」,上傳私密金鑰檔案。
-
按一下「選擇證書鏈檔案」,上傳憑證檔案。
-
指派別名,如下所示:
為 SAML 設定記錄器
您可以設定記錄器,以偵錯任何可能因錯誤設定 SAML 而產生的問題。您可以透過以下方式進行:
-
前往網頁主控台:http://localhost:4502/system/console/configMgr
-
搜尋並按一下稱為「Apache Sling 記錄記錄器設定」的項目
-
使用下列設定來建立記錄器:
- 記錄層級: Debug
- 記錄檔: logs/saml.log
- 記錄器: com.adobe.granite.auth.saml
