配置SAML服務提供程式設定

安全斷言標籤語言(SAML)是在為企業或混合域配置授權時可選擇的選項之一。 SAML主要用於支援跨多個網域的SSO。 將SAML設為驗證提供者時,使用者會透過指定的協力廠商身分提供者(IDP)登入AEM表單並進行驗證。

如需SAML的說明,請參閱 安全聲明標籤語言(SAML)V2.0技術概述.

  1. 在管理控制台中,按一下「設定>使用者管理>設定> SAML服務提供者設定」 。

  2. 在「服務提供者實體ID」方塊中,輸入唯一ID以用作AEM表單服務提供者實作的識別碼。 您也可在設定IDP時指定此唯一ID(例如 um.lc.com.) 您也可以使用用來存取AEM表單的URL(例如 https://AEMformsserver)。

  3. 在「服務提供者基本URL」方塊中,輸入表單伺服器的基本URL(例如, https://AEMformsserver:8080)。

  4. (可選)若要讓AEM表單傳送已簽署的驗證請求給IDP,請執行下列工作:

    • 使用信任管理器以PKCS #12格式導入憑據,並選擇文檔簽名憑據作為信任儲存類型。 (請參閱 管理本機憑證.)
    • 在「服務提供程式憑據密鑰別名」清單中,選擇在信任儲存中分配給憑據的別名。
    • 按一下「匯出」 ,將URL內容儲存至檔案,然後將該檔案匯入您的IDP。
  5. (選用)在「服務提供者名稱ID原則」清單中,選取IDP在SAML斷言中用來識別使用者的名稱格式。 選項為「未指定」、「電子郵件」和「Windows網域限定名稱」。

    注意

    名稱格式不區分大小寫。

  6. (可選)選擇為本地用戶啟用身份驗證提示。 選取此選項後,使用者會看到兩個連結:

    • 第三方SAML身分提供者的登入頁面連結,屬於企業網域的使用者可在此驗證。
    • AEM表單登入頁面的連結,屬於本機網域的使用者可在此頁面驗證。

    若未選取此選項,系統會直接將使用者帶往協力廠商SAML身分提供者的登入頁面,屬於企業網域的使用者可在此進行驗證。

  7. (可選)選擇啟用對象綁定以啟用對象綁定支援。 依預設,POST系結會與SAML搭配使用。 但是,如果已配置對象綁定,請選擇此選項。 選取此選項時,實際的使用者斷言不會透過瀏覽器請求傳遞。 而是會傳遞斷言的指標,並使用後端Web服務呼叫來擷取斷言。

  8. (選用)選取「啟用重新導向系結」 ,以支援使用重新導向的SAML系結。

  9. (選用)在自訂屬性中,指定其他屬性。 其他屬性是由新行分隔的name=value對。

    • 您可以設定AEM表單,以針對符合第三方聲明之有效期的有效期發出SAML聲明。 若要遵循協力廠商SAML斷言逾時,請在自訂屬性中新增下列行:

      saml.sp.honour.idp.assertion.expiry=true

    • 添加以下自定義屬性以使用RelayState來確定成功驗證後將重定向用戶的URL。

      saml.sp.use.relaystate=true

    • 添加以下自定義屬性以配置自定義Java Server Pages(JSP)的URL,該URL將用於呈現身份提供程式的註冊清單。 如果尚未部署自定義Web應用程式,它將使用預設的「用戶管理」頁來呈現清單。

    saml.sp.discovery.url=/custom/custom.jsp

  10. 按一下「儲存」。

本頁內容