Activación del inicio de sesión único en AEM formularios

AEM formularios ofrece dos maneras de habilitar el inicio de sesión único (SSO): encabezados HTTP y SPNEGO.

Cuando se implementa SSO, las páginas de inicio de sesión del usuario de los formularios AEM no son necesarias y no aparecen si el usuario ya está autenticado a través del portal de su empresa.

Si AEM formularios no pueden autenticar a un usuario mediante cualquiera de estos métodos, se redirige al usuario a una página de inicio de sesión.

Habilitar SSO mediante encabezados HTTP

Puede utilizar la página Configuración del portal para habilitar el inicio de sesión único (SSO) entre aplicaciones y cualquier aplicación que admita la transmisión de la identidad a través del encabezado HTTP. Cuando se implementa SSO, las páginas de inicio de sesión del usuario de los formularios AEM no son necesarias y no aparecen si el usuario ya está autenticado a través del portal de su empresa.

También puede habilitar SSO utilizando SPNEGO. (Consulte Habilitar SSO mediante SPNEGO.)

  1. En la consola de administración, haga clic en Configuración > Administración de usuarios > Configuración > Configurar atributos del portal.

  2. Seleccione Sí para habilitar SSO. Si selecciona No, el resto de la configuración de la página no estará disponible.

  3. Defina las opciones restantes de la página según sea necesario y haga clic en Aceptar:

    • Tipo SSO: (Obligatorio) Seleccione Encabezado HTTP para habilitar SSO mediante encabezados HTTP.

    • Encabezado HTTP para el identificador del usuario: (Obligatorio) Nombre del encabezado cuyo valor contiene el identificador único del usuario que ha iniciado sesión. La Administración de usuarios utiliza este valor para encontrar el usuario en la base de datos de Administración de usuarios. El valor obtenido de este encabezado debe coincidir con el identificador único del usuario que se sincroniza desde el directorio LDAP. (Consulte Configuración de usuario.)

    • El valor de identificador se asigna al ID de usuario del usuario en lugar del identificador único del usuario: Asigna el valor de identificador único del usuario al ID de usuario. Seleccione esta opción si el identificador único del usuario es un valor binario que no se puede propagar fácilmente a través de encabezados HTTP (por ejemplo, objectGUID si está sincronizando usuarios desde Active Directory).

    • Encabezado HTTP para dominio: (No obligatorio) Nombre del encabezado cuyo valor contiene el nombre de dominio. Utilice esta configuración solo si ningún encabezado HTTP identifica de forma exclusiva al usuario. Utilice esta configuración para los casos en los que existan varios dominios y el identificador único sea único dentro de un dominio. En este caso, especifique el nombre del encabezado en este cuadro de texto y especifique la asignación de dominios para los múltiples dominios en el cuadro de asignación Dominio . (Consulte Edición y conversión de dominios existentes.)

    • Asignación de dominios: (Obligatorio) Especifica la asignación para varios dominios con el formato header value=domain name.

      Por ejemplo, imaginemos una situación en la que el encabezado HTTP de un dominio es domainName y puede tener valores de domain1, domain2 o domain3. En este caso, utilice la asignación de dominios para asignar los valores domainName a los nombres de dominio de Administración de usuarios. Cada asignación debe estar en una línea diferente:

      domain1=UMdomain1

      domain2=UMdomain2

      domain3=UMdomain3

Configuración de los referentes permitidos

Para ver los pasos para configurar los referentes permitidos, consulte Configuración de los referentes permitidos.

Habilitar SSO mediante SPNEGO

Puede utilizar el Mecanismo de negociación Simple y Protegido GSSAPI (SPNEGO) para habilitar el inicio de sesión único (SSO) al utilizar Active Directory como servidor LDAP en un entorno Windows. Cuando SSO está habilitado, las páginas de inicio de sesión del usuario de los formularios AEM no son necesarias y no aparecen.

También puede habilitar SSO utilizando encabezados HTTP. (Consulte Habilitar SSO mediante encabezados HTTP.)

NOTA

AEM Forms en JEE no admite la configuración de SSO mediante Kerberos/SPNEGO en varios entornos de dominio secundarios .

  1. Decida qué dominio utilizar para habilitar SSO. El servidor de formularios AEM y los usuarios deben formar parte del mismo dominio de Windows o dominio de confianza.

  2. En Active Directory, cree un usuario que represente el servidor de formularios AEM. (Consulte Crear una cuenta de usuario.) Si va a configurar más de un dominio para utilizar SPNEGO, asegúrese de que las contraseñas de cada uno de estos usuarios sean diferentes. Si las contraseñas no son diferentes, SPNEGO SSO no funciona.

  3. Asigne el nombre principal del servicio. (Consulte Asignar un nombre principal de servicio (SPN).)

  4. Configure el controlador de dominio. (Consulte Prevención de errores de comprobación de integridad Kerberos.)

  5. Añada o edite un dominio de empresa como se describe en Adición de dominios o Edición y conversión de dominios existentes. Cuando cree o edite el dominio de empresa, realice estas tareas:

    • Agregue o edite un directorio que contenga la información de Active Directory.

    • Agregue LDAP como proveedor de autenticación.

    • Agregue Kerberos como proveedor de autenticación. Proporcione la siguiente información en la página Nueva o Editar autenticación para Kerberos:

      • Proveedor de autenticación: Kerberos
      • IP DNS: La dirección IP DNS del servidor en el que se ejecutan AEM formularios. Puede determinar esta dirección IP ejecutando ipconfig/all en la línea de comandos.
      • Host de KDC: Nombre de host o dirección IP completo del servidor de Active Directory utilizado para la autenticación
      • Usuario de servicio: El nombre principal de servicio (SPN) que se pasa a la herramienta KtPass. En el ejemplo utilizado anteriormente, el usuario de servicio es HTTP/lcserver.um.lc.com.
      • Dominio de servicio: Nombre de dominio para Active Directory. En el ejemplo utilizado anteriormente, el nombre de dominio es UM.LC.COM.
      • Contraseña de servicio: Contraseña del usuario del servicio. En el ejemplo utilizado anteriormente, la contraseña de servicio es password.
      • Habilitar SPNEGO: Habilita el uso de SPNEGO para el inicio de sesión único (SSO). Seleccione esta opción.
  6. Configure los ajustes del navegador del cliente SPNEGO. (Consulte Configuración de la configuración del navegador del cliente SPNEGO.)

Crear una cuenta de usuario

  1. En SPNEGO, registre un servicio como usuario en Active Directory en el controlador de dominio para representar AEM formularios. En el controlador de dominio, vaya al menú Inicio > Herramientas administrativas > Usuarios y equipos de Active Directory. Si Herramientas administrativas no está en el menú Inicio, utilice el Panel de control de Campaign .

  2. Haga clic en la carpeta Usuarios para mostrar una lista de usuarios.

  3. Haga clic con el botón derecho en la carpeta del usuario y seleccione New > User.

  4. Escriba el nombre/apellido y el nombre de inicio de sesión del usuario y, a continuación, haga clic en Siguiente. Por ejemplo, establezca los siguientes valores:

    • Nombre: umspnego
    • Nombre de inicio de sesión del usuario: spnegodemo
  5. Escriba una contraseña. Por ejemplo, establézcalo en password. Asegúrese de que la opción Contraseña nunca caduca esté seleccionada y de que no haya otras opciones seleccionadas.

  6. Haga clic en Siguiente y, a continuación, en Finalizar.

Asignar un nombre principal de servicio (SPN)

  1. Obtenga la utilidad KtPass. Esta utilidad se utiliza para asignar un SPN a un REALM. Puede obtener la utilidad KtPass como parte del paquete de herramientas o el kit de recursos de Windows Server. (Consulte Herramientas de soporte de Windows Server 2003 Service Pack 1.)

  2. En un símbolo del sistema, ejecute ktpass utilizando los siguientes argumentos:

    ktpass -princ HTTP/host @REALM -mapuserusuario

    Por ejemplo, escriba el siguiente texto:

    ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo

    Los valores que debe proporcionar se describen de la siguiente manera:

    host: Nombre completo del servidor de formularios o cualquier URL única. En este ejemplo, se establece en lcserver.um.lc.com.

    REALM: Dominio de Active Directory para el controlador de dominio. En este ejemplo, se establece en UM.LC.COM. Asegúrese de introducir el dominio en caracteres en mayúsculas. Para determinar el dominio para Windows 2003, complete los siguientes pasos:

    • Haga clic con el botón derecho en Mi PC y seleccione Propiedades
    • Haga clic en la ficha Nombre del equipo . El valor Nombre de dominio es el nombre de dominio.

    usuario: El nombre de inicio de sesión de la cuenta de usuario que creó en la tarea anterior. En este ejemplo, se establece como spnegodemo.

Si aparece este error:

DsCrackNames returned 0x2 in the name entry for spnegodemo.
ktpass:failed getting target domain for specified user.

intente especificar el usuario como spnegodemo@um.lc.com:

ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo

Prevención de errores de comprobación de integridad Kerberos

  1. En el controlador de dominio, vaya al menú Inicio > Herramientas administrativas > Usuarios y equipos de Active Directory. Si Herramientas administrativas no está en el menú Inicio, utilice el Panel de control de Campaign .
  2. Haga clic en la carpeta Usuarios para mostrar una lista de usuarios.
  3. Haga clic con el botón derecho en la cuenta de usuario que creó en una tarea anterior. En este ejemplo, la cuenta de usuario es spnegodemo.
  4. Haga clic en Restablecer contraseña.
  5. Escriba y confirme la misma contraseña que escribió anteriormente. En este ejemplo, se configura como password.
  6. Anule la selección de Cambiar contraseña en el siguiente inicio de sesión y, a continuación, haga clic en Aceptar.

Configuración de la configuración del navegador del cliente SPNEGO

Para que funcione la autenticación basada en SPNEGO, el equipo cliente debe formar parte del dominio en el que se crea la cuenta de usuario. También debe configurar el navegador del cliente para permitir la autenticación basada en SPNEGO. Además, el sitio que requiere autenticación basada en SPNEGO debe ser un sitio de confianza.

Si se accede al servidor utilizando el nombre del equipo, como https://lcserver:8080, no se requiere ninguna configuración para Internet Explorer. Si introduce una dirección URL que no contenga puntos ("."), Internet Explorer tratará el sitio como un sitio de intranet local. Si usa un nombre completo para el sitio, el sitio debe agregarse como sitio de confianza.

Configuración de Internet Explorer 6.x

  1. Vaya a Herramientas > Opciones de Internet y haga clic en la ficha Seguridad.
  2. Haga clic en el icono de Intranet local y, a continuación, haga clic en Sitios .
  3. Haga clic en Avanzadas y, en el cuadro Agregar este sitio web a la zona, escriba la dirección URL del servidor de formularios. Por ejemplo, escriba https://lcserver.um.lc.com
  4. Haga clic en Aceptar hasta que se cierren todos los cuadros de diálogo.
  5. Pruebe la configuración accediendo a la URL del servidor de AEM forms. Por ejemplo, en el cuadro URL del explorador, escriba https://lcserver.um.lc.com:8080/um/login?um_no_redirect=true

Configuración de Mozilla Firefox

  1. En el cuadro URL del explorador, escriba about:config

    Aparece el cuadro de diálogo about:config - Mozilla Firefox .

  2. En el cuadro Filtro, escriba negotiate

  3. En la lista mostrada, haga clic en network.transaction-auth.trusted-uri y escriba uno de los siguientes comandos según corresponda para su entorno:

    .um.lc.com- Configura Firefox para permitir SPNEGO para cualquier URL que termine con um.lc.com. Asegúrese de incluir el punto (".") al principio.

    lcserver.um.lc.com - Configura Firefox para permitir SPNEGO solo para su servidor específico. No inicie este valor con un punto (".").

  4. Pruebe la configuración accediendo a la aplicación. Debe aparecer la página de bienvenida para la aplicación de destino.

En esta página