- 管理使用手冊概述
- Sites功能
- 運作
- 安全性
- 使用者管理與安全性
- 使用者、群組和存取權限管理
- 安全性檢查清單
- OWASP前10名
- 以生產就緒模式執行AEM
- Identity Management
- 適用於AEM Managed Services的Adobe IMS驗證和Admin Console支援
- 建立封閉的使用者群組
- 緩解AEM中的序列化問題
- 使用者同步
- 封裝的Token支援
- 單一登入
- 如何在AEM中稽核使用者管理作業
- 預設為SSL
- SAML 2.0 驗證處理常式
- AEM中的封閉使用者群組
- Granite操作 — 使用者和群組管理
- 在AEM中啟用CRXDE Lite
- 使用AEM 6配置LDAP
- 在安裝時設定管理員密碼
- AEM中的服務使用者
- 配置屬性的加密支援
- 處理AEM Foundation的GDPR請求
- 權限管理的主體視圖
- 內容處置篩選器
- AEM 6.5中的自訂使用者群組對應
- 相同網站Cookie支援
- 個性化
- 整合
- 與第三方服務整合
- 與Salesforce整合
- 整合 Adobe Target
- 與Adobe學習管理員整合
- 整合 Adobe Analytics
- 連接Adobe Analytics和建立框架
- 設定Adobe Analytics的連結追蹤
- 將元件資料與Adobe Analytics屬性對應
- 設定Adobe Analytics的視訊追蹤
- 使用IMS與Adobe Analytics整合
- HTTP2 傳送內容常見問答集
- 疑難排解Adobe Campaign整合
- SharePoint Connector授權、版權聲明及免責聲明
- SharePoint Connector
- DHTML 檢視器生命週期結束常見問答集
- 與Adobe Campaign Classic整合
- 相關社群文章
- 與Adobe Campaign Standard整合
- Flash 檢視器生命週期結束注意事項
- 與AdobeDynamic Tag Management整合
- 選擇加入Adobe Analytics和Adobe Target
- AEM門戶和門戶
- 與Dynamic Media Classic整合(Scene7)
- AEM Livefyre 指導方針
- 疑難排解整合問題
- 與BrightEdge Content Optimizer整合
- 目錄製作者
- 與Silverpop Engage整合
- 與Adobe Campaign整合
- 與ExactTarget整合
- Analytics與外部提供者
- 與Adobe Marketing Cloud整合
- 手動設定與Adobe Target的整合
- 與Adobe Target整合的必要條件
- 使用IMS與Adobe Target整合
- Adobe分類
- 解決方案整合
- 將體驗片段匯出至Adobe Target
- 電子郵件範本最佳作法
- 與 Livefyre 整合
- 最佳作法
- 內容管理
SAML 2.0 驗證處理常式
AEM隨附 SAML 驗證處理常式。 此處理常式可支援 SAML 2.0驗證請求協定(Web-SSO配置檔案),使用 HTTP POST 綁定。
它支援:
- 郵件的簽名和加密
- 自動建立使用者
- 將群組同步至AEM中的現有群組
- 服務提供程式和身份提供程式啟動的身份驗證
此處理常式會將加密的SAML回應訊息儲存在使用者節點中( usernode/samlResponse),以方便與協力廠商的通訊。
請參閱 AEM與SAML整合的示範.
若要閱讀端對端社群文章,請按一下: 整合SAML與Adobe Experience Manager.
設定SAML 2.0驗證處理常式
此 Web主控台 提供 SAML 2.0驗證處理程式配置稱為 AdobeGranite SAML 2.0驗證處理常式. 可設定下列屬性。
預設會停用SAML 2.0驗證處理常式。 必須至少設定以下屬性之一才能啟用處理程式:
- 身分提供者POSTURL或IDP URL。
- 服務提供商實體ID。
SAML聲明經過簽名,並可以選擇進行加密。 為了讓此功能發揮作用,您必須在TrustStore中至少提供身份提供程式的公開證書。 請參閱 將IdP憑證新增至TrustStore 一節以取得詳細資訊。
路徑 Sling應使用此驗證處理常式的存放庫路徑。 如果為空,則會停用驗證處理常式。
服務排名 OSGi Framework服務排名值,用以指出呼叫此服務的順序。 這是整數值,其中值越高,優先順序越高。
IDP憑證別名 全域信任存放區中IdP憑證的別名。 如果此屬性為空,則禁用身份驗證處理程式。 請參閱下方的「將IdP憑證新增至AEM TrustStore」一章,了解如何設定。
IDP URL IDP的URL,應將SAML驗證要求傳送至此處。 如果此屬性為空,則禁用身份驗證處理程式。
必須將身分提供者主機名稱新增至 Apache Sling反向連結篩選器 OSGi配置。 請參閱 Web主控台 一節以取得詳細資訊。
服務提供商實體ID 此ID可唯一識別此服務提供者與身分提供者。 如果此屬性為空,則禁用身份驗證處理程式。
預設重新導向 成功驗證後重新導向的預設位置。
此位置僅在 request-path cookie未設定。 如果您在未使用有效登入代號的情況下,要求設定路徑下方的任何頁面,則要求的路徑會儲存在Cookie中
而且,成功驗證後,瀏覽器會重新導向至此位置。
User-ID屬性 屬性的名稱,包含在CRX存放庫中用於驗證和建立使用者的使用者ID。
系統不會從 saml:Subject SAML聲明的節點,但來自此 saml:Attribute.
使用加密 此驗證處理常式是否需要加密的SAML斷言。
自動建立CRX用戶 是否在成功驗證後自動建立儲存庫中的非現有用戶。
如果停用CRX使用者的自動建立,則必須手動建立使用者。
新增至群組 成功驗證後,是否應自動將使用者新增至CRX群組。
群組成員資格 此使用者應新增至的saml:Attribute名稱包含CRX群組清單。
將IdP憑證新增至AEM TrustStore
SAML聲明經過簽名,並可以選擇進行加密。 為了讓此功能發揮作用,您必須在存放庫中提供至少IdP的公開憑證。 為此,您需要:
-
前往 http:/serveraddress:serverport/libs/granite/security/content/truststore.html
-
按下 建立TrustStore連結
-
輸入TrustStore的密碼,然後按 儲存.
-
按一下 管理TrustStore.
-
上傳IdP憑證。
-
記下憑證別名。 別名為 admin#1436172864930 在以下範例中。
將服務提供者金鑰和憑證鏈新增至AEM金鑰存放區
以下步驟為必要步驟,否則將擲回下列例外: com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
- 前往: http://localhost:4502/libs/granite/security/content/useradmin.html
- 編輯
authentication-service使用者。 - 按一下 建立KeyStore 在 帳戶設定.
只有當處理程式能夠對消息進行簽名或解密時,才需要執行以下步驟。
-
按一下以上傳私密金鑰檔案 選擇私鑰檔案. 密鑰表示為PKCS#8格式,且具有DER編碼。
-
按一下「 」,上傳憑證檔案 選擇證書鏈檔案.
-
分配別名,如下所示:
為SAML配置記錄器
您可以設定記錄器,以偵錯因錯誤設定SAML而可能產生的任何問題。 您可以透過以下方式達成此目的:
-
前往Web主控台,位於 http://localhost:4502/system/console/configMgr
-
搜尋並按一下以下項目: Apache Sling Logging Logger Configuration
-
使用以下配置建立記錄器:
- 記錄層級: 除錯
- 日誌檔案: logs/saml.log
- 記錄器: com.adobe.granite.auth.saml
