单一登录
单一登录(SSO)允许用户在提供一次身份验证凭据(如用户名和密码)后访问多个系统。 单独的系统(称为受信任的验证器)执行该验证并向Experience Manager提供用户凭据。 Experience Manager检查并强制用户访问权限(即确定允许用户访问哪些资源)。
SSO身份验证处理程序服务(com.adobe.granite.auth.sso.impl.SsoAuthenticationHandler)处理受信任的身份验证器提供的身份验证结果。 SSO身份验证处理程序按此顺序在以下位置搜索ssid(SSO标识符)作为特殊属性的值:
- 请求标题
- Cookie
- 请求参数
找到某个值后,搜索即完成,并使用此值。
配置以下两个服务以识别存储ssid的属性的名称:
- 登录模块。
- SSO身份验证服务。
必须为两个服务指定相同的属性名称。 该属性包含在提供给Repository.login的SimpleCredentials中。 属性值不相关且被忽略,仅存在属性值很重要,并加以验证。
配置SSO
要为AEM实例配置SSO,您需要配置SSO身份验证处理程序:
-
与AEM合作时,有多种方法管理此类服务的配置设置;请参阅配置OSGi以了解更多详细信息和建议的做法。
例如,对于NTLM集:
-
路径: 根据需要;例如,
/ -
标题名称:
LOGON_USER -
ID格式:
^<DOMAIN>\\(.+)$其中
<*DOMAIN*>由您自己的域名替换。
对于CoSign: -
路径: 根据需要;例如,
/ -
标题名称:remote_user
-
ID格式: 原样
对于SiteMinder:
- 路径: 根据需要;例如,
/ - 标题名: SM_USER
- ID格式:原样
-
-
确认单点登录是否可以根据需要工作;包括授权。
确保配置了SSO后用户无法直接访问AEM。
通过要求用户通过运行您的SSO系统代理的Web服务器,可确保任何用户都不能直接发送头、Cookie或参数,使用户能够受到AEM的信任,因为如果代理从外部发送此类信息,则代理将过滤这些信息。
如果用户能够直接访问AEM实例,而无需通过Web服务器,则他们可以像任何用户一样,发送标题、cookie或参数(如果名称已知)。
另外,在标头、Cookie和请求参数名称中,您只需配置SSO设置所需的名称。
单一登录通常与LDAP结合使用。
如果还将 Dispatcher与Microsoft Internet Information Server(IIS)一起使用,则在以下位置将需要其他配置:
disp_iis.ini- IIS
在disp_iis.ini设置中:
(有关完整详细信息,请参见在Microsoft Internet Information Server中安装调度程序)
servervariables=1(将IIS服务器变量作为请求标头转发到远程实例)replaceauthorization=1(将名为“Basic”以外的任何名为“Authorization”的标题替换为其“Basic”的等效项)
在IIS中:
-
禁用匿名访问
-
启用集成Windows身份验证
您可以使用Felix控制台的Authenticator选项查看哪个身份验证处理程序正在应用于内容树的任何部分;例如:
http://localhost:4502/system/console/slingauth
首先查询与路径最匹配的处理函数。 例如,如果为路径/配置handler-A,为路径/content配置handler-B,则向/content/mypage.html发出的请求将首先查询handler-B。
示例
对于Cookie请求(使用URL http://localhost:4502/libs/wcm/content/siteadmin.html):
GET /libs/cq/core/content/welcome.html HTTP/1.1
Host: localhost:4502
Cookie: TestCookie=admin
使用以下配置:
-
路径:
/ -
标题名称:
TestHeader -
Cookie名称:
TestCookie -
参数名称:
TestParameter -
ID格式:
AsIs
答复是:
HTTP/1.1 200 OK
Connection: Keep-Alive
Server: Day-Servlet-Engine/4.1.24
Content-Type: text/html;charset=utf-8
Date: Thu, 23 Aug 2012 09:58:39 GMT
Transfer-Encoding: chunked
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "https://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<title>Welcome to Adobe® CQ5</title>
....
如果您请求:
http://localhost:4502/libs/cq/core/content/welcome.html?TestParameter=admin
或者,可以使用以下curl命令将TestHeader头发送到admin:
curl -D - -H "TestHeader: admin" http://localhost:4502/libs/cq/core/content/welcome.html
在浏览器中使用请求参数时,您只会看到一些HTML —— 没有CSS。 这是因为来自HTML的所有请求都是在没有请求参数的情况下发出的。
删除AEM注销链接
使用SSO时,登录和注销在外部进行处理,因此AEM自己的注销链接不再适用,应删除。
可通过以下步骤删除欢迎屏幕上的注销链接。
-
将
/libs/cq/core/components/welcome/welcome.jsp叠加到/apps/cq/core/components/welcome/welcome.jsp -
从jsp中删除以下部分。
<a href="#" onclick="signout('<%= request.getContextPath() %>');" class="signout"><%= i18n.get("sign out", "welcome screen") %>
要删除右上角用户个人菜单中可用的注销链接,请执行以下步骤:
-
将
/libs/cq/ui/widgets/source/widgets/UserInfo.js叠加到/apps/cq/ui/widgets/source/widgets/UserInfo.js -
从文件中删除以下部件:
menu.addMenuItem({ "text":CQ.I18n.getMessage("Sign out"), "cls": "cq-userinfo-logout", "handler": this.logout }); menu.addSeparator();