配置基於證書的身份驗證

User Management通常使用用戶名和密碼來執行身份驗證。 使用者管理也支援憑證式驗證,您可使用憑證來透過Acrobat驗證使用者,或以程式設計方式驗證使用者。 有關以寫程式方式驗證用戶的詳細資訊,請參閱使用AEM表單寫程式

若要使用憑證式驗證,請將您信任的憑證授權單位(CA)憑證匯入信任存放區,然後建立憑證對應。

導入CA證書

匯入憑證時,請選取「信任憑證驗證」和「信任身分」選項,以及您需要的任何其他選項。 有關導入證書的詳細資訊,請參閱管理證書

配置證書映射

若要為使用者啟用憑證式驗證,請建立憑證對應。 證書映射​定義了證書屬性和域中用戶屬性之間的映射。 您可以將多個憑證對應至相同的網域。

當您測試憑證時,「使用者管理」會上傳憑證檢查,以確保符合下列要求:

  • 證書有效。
  • 您指定的頒發者可以驗證憑證。
  • 憑證包含對應所需的屬性。
  • 您指定的對應將憑證對應至AEM表單資料庫中的僅一名使用者。 系統會檢查目前和淘汰(已刪除)的使用者,以判斷他們是否符合對應條件。 因此,如果多個使用者(包括過時的使用者)具有要考慮的屬性值,則憑證測試會失敗。
注意

無法編輯現有證書映射。

新增憑證對應

  1. 在管理控制台中,按一下「設定>使用者管理>設定>憑證對應」 。

  2. 按一下「新建證書映射」 ,然後在「用於頒發者」清單中,選擇信任儲存管理中配置的證書別名。

  3. 將憑證的其中一個屬性對應至使用者的屬性。 例如,您可以將憑證的一般名稱對應至使用者的登入ID。

    如果憑證中屬性的內容與使用者管理資料庫中使用者屬性的內容不同,您可以使用Java規則運算式(regex)來比對這兩個屬性。 例如,如果證書的常見名稱是​Alex Pink(Authentication)​和​Alex Pink(Signing)​等名稱,而用戶管理資料庫中的常見名稱是​Alex Pink,則可以使用規則運算式來提取證書屬性的必要部分(在此例中為​Alex Pink。) 您指定的規則運算式必須符合Java規則運算式規範。

    您可以在「自訂順序」方塊中指定群組的順序,以轉換運算式。 自訂順序與java.util.regex.Matcher.replaceAll()方法搭配使用。 所看到的行為將與該方法的行為相對應,且必須據以指定輸入字串(自訂順序)。

    若要測試規則運算式,請在「測試參數」方塊中輸入值,然後按一下「測試」。

    您可以在規則運算式中使用下列字元:

    • .(任何字元)
    • *(0次或更多次)
    • ()(以方括弧指定組)
    • \(用於將規則運算式字元逸出為規則字元)
    • $n(用來指第n個群組)

    規則運算式的範例:

    • 從「Alex Pink(驗證)」中提取「Alex Pink」

      Regex: (.*)(Authentication)

    • 從「Alex(Authentication)Pink」中提取「Alex Pink」

      Regex: (.*)\(驗證\)(.*)

    • 從「Alex(Authentication)Pink」中提取「Pink Alex」

      Regex: (.*)\(驗證\)(.*)

      自訂順序:$2 $1(傳回第二個群組,串連至第一個群組,由空白字元擷取)

    • 從"smtp:apink@sampleorg.com"中擷取"apink@sampleorg.com"

      Regex: smtp:(.*)
      有關使用規則運算式的詳細資訊,請參閱關於規則運算式🔗的Java教學課程。

  4. 在「適用於域」清單中,選擇用戶的域。

  5. 要測試此配置,請按一下「瀏覽」以上載示例用戶證書,按一下「測試證書」,如果配置正確,請按一下「確定」。

編輯現有的憑證對應

  1. 在管理控制台中,按一下「設定>使用者管理>設定」 。
  2. 按一下「憑證對應」 。
  3. 選取憑證對應以編輯和編輯其設定。 您可以更新規則運算式和自訂順序。
  4. 若要測試您的變更,請按一下「瀏覽」以上傳範例憑證,按一下「測試憑證」,然後按一下「確定」。

刪除證書映射

  1. 在管理控制台中,按一下「設定>使用者管理>設定>憑證對應」 。
  2. 選中要刪除的證書映射的複選框,按一下刪除,然後按一下確定。

本頁內容