認証プロバイダーの設定

ハイブリッドドメインには少なくとも 1 つの認証プロバイダー、エンタープライズドメインには少なくとも 1 つの認証プロバイダーまたはディレクトリプロバイダーが必要です。

SPNEGO を使用して SSO を有効にする場合、SPNEGO を有効にした Kerberos 認証プロバイダーのほか、バックアップとして LDAP プロバイダーを追加します。この設定にすると、SPNEGO が機能しない場合でもユーザー ID とパスワードを使用したユーザー認証が可能になります(SPNEGO を使用した SSO の有効化を参照)。

認証プロバイダーの追加

  1. 管理コンソールで、設定/User Management/ドメインの管理をクリックします。
  2. リストから既存のドメインをクリックします。新しいドメインに認証を追加する場合は、エンタープライズドメインの追加または ハイブリッドドメインの追加を参照してください。
  3. 「認証を追加」をクリックし、「認証プロバイダー」リストで、組織が使用している認証メカニズムに応じてプロバイダーを選択します。
  4. 必要な追加情報をページに入力します(認証の設定を参照)。
  5. (オプション)「テスト」をクリックして設定をテストします。
  6. 「OK」をクリックし、「OK」を再度クリックします。

既存の認証プロバイダーの編集

  1. 管理コンソールで、設定/User Management/ドメインの管理をクリックします。
  2. リストから目的のドメインをクリックします。
  3. 表示されるページで、リストから適切な認証プロバイダーを選択し、必要に応じて変更します(認証の設定を参照)。
  4. 「OK」をクリックします。

認証プロバイダーの削除

  1. 管理コンソールで、設定/User Management/ドメインの管理をクリックします。
  2. リストから目的のドメインをクリックします。
  3. 削除する認証プロバイダーのチェックボックスを選択し、「削除」をクリックします。
  4. 表示される確認ページで「OK」をクリックし、もう一度「OK」をクリックします。

認証の設定

選択したドメインの種類と認証の種類に応じて、次の設定を使用できます。

LDAP 設定

エンタープライズドメインまたはハイブリッドドメインの認証を設定している場合、LDAP 認証を選択すると、ディレクトリ設定で指定した LDAP サーバーを選択して使用するか、異なる LDAP サーバーを選択して認証に使用することができます。異なるサーバーを選択する場合、ユーザーは両方の LDAP サーバーに存在する必要があります。

ディレクトリ設定で指定した LDAP サーバーを使用するには、認証プロバイダーとして LDAP を選択し、「OK」をクリックします。

認証を実行するために異なる LDAP サーバーを使用するには、認証プロバイダーとして LDAP を選択し、「カスタム LDAP 認証」チェックボックスをオンにします。次の環境設定が表示されます。

サーバー: (必須)ディレクトリサーバーの完全修飾ドメイン名(FQDN)。例えば、corp.example.com ネットワーク上の x というコンピューターの場合、FQDN は x.corp.example.com です。FQDN サーバー名の代わりに IP アドレスを使用することもできます。

Port: (必須)ディレクトリサーバーが使用するポート。通常は 389 で、Secure Sockets Layer(SSL)プロトコルを使用してネットワーク経由で認証情報を送信する場合は 636 です。

SSL: (必須)ネットワーク経由でデータを送信する際に、ディレクトリサーバーでSSLを使用するかどうかを指定します。デフォルトは「いいえ」です。「はい」に設定する場合、対応する LDAP サーバー証明書はアプリケーションサーバーの Java™ ランタイム環境(JRE)によって信頼されている必要があります。

Binding (必須)ディレクトリへのアクセス方法を指定します。

匿名:ユーザー名 やパスワードは不要です。

ユーザー: 認証が必要です。「名前」ボックスに、ディレクトリにアクセスできるユーザーレコードの名前を指定します。ユーザーアカウントの完全な識別名(DN)を入力することをお勧めします。例えば、cn=Jane Doe, ou=user, dc=can, dc=com などです。「パスワード」ボックスに、関連付けられているパスワードを指定します。これらの設定は、「バインド」オプションとして「ユーザー」を選択する場合は必須です。

BaseDNを取得: (非必須)BaseDNを取得し、ドロップダウンリストに表示します。この設定は、複数の BaseDN がある場合に 1 つの値を選択する必要があるときに便利です。

Base DN: (必須)LDAP階層からユーザーおよびグループを同期するための開始点として使用されます。サービスのために同期する必要があるすべてのユーザーおよびグループを含む階層の最下位レベルの BaseDN を指定することをお勧めします。この設定にユーザーの DN は含めないでください。特定のユーザーを同期するには、検索フィルター設定を使用します。

ページに次を入力: (非必須)選択すると、ユーザー設定ページとグループ設定ページの属性に、対応するデフォルトのLDAP値が設定されます。

検索フィルター: (必須)ユーザーに関連付けられているレコードを検索する際に使用する検索フィルター。「検索フィルターの構文」を参照してください。

Kerberos 設定

エンタープライズドメインまたはハイブリッドドメインの認証を設定している場合、Kerberos 認証を選択するには、次の設定を使用できます。

DNS IP: AEM Forms を実行しているサーバーの DNS IP アドレス。Windows の場合、この IP アドレスは、コマンドラインで ipconfig /all を実行して確認できます。

KDCホスト:認証に使用するActive Directoryサーバーの 完全修飾ホスト名またはIPアドレス。

サービスユーザー:Active Directory 2003を使用し ている場合、この値はフォーム内のサービスプリンシパル用に作成されたマッピングになり HTTP/<server name>ます。Active Directory 2008 を使用している場合、サービスプリンシパルのログイン ID になります。例えば、サービスプリンシパル名が um spnego、ユーザー ID が spnegodemo、マッピングが HTTP/example.corp.yourcompany.com であるとします。この場合、Active Directory 2003 では、「サービスユーザー」を HTTP/example.corp.yourcompany.com に設定します。Active Directory 2008 では、「サービスユーザー」を spnegodemo に設定します(SPNEGO を使用した SSO の有効化を参照)。

サービス領域:Active Directoryの ドメイン名

サービスパスワード: サービスユーザーのパスワード

SPNEGO を有効にする:​シングルサインオン(SSO)で SPNEGO を使用できるようにします。(SPNEGO を使用した SSO の有効化を参照)。

SAML 設定

エンタープライズドメインまたはハイブリッドドメインの認証を設定している場合、SAML 認証を選択するには、次の設定を使用できます。SAML 設定について詳しくは、SAML サービスプロバイダーの設定を参照してください。

読み込むSAML IDプロバイダーのメタデータファイルを選択してください:「参照」を クリックし、IDPから生成されたSAML IDプロバイダーのメタデータファイルを選択して、「読み込み」をクリックします。IDP の詳細が表示されます。

タイトル:EntityIDで示されるURLの エイリアス。タイトルは、エンタープライズユーザーおよびローカルユーザーのログインページにも表示されます。

IDプロバイダーがクライアント基本認証をサポート: クライアント基本認証は、IDPがSAML Artifact Resolutionプロファイルを使用する場合に使用されます。このプロファイルでは、User Management は、実際の SAML アサーションを取得するために、IDP で実行されている Web サービスに接続します。IDP では認証が必要である場合があります。IDP で認証が必要であれば、このオプションを選択して、表示されたボックスにユーザー名とパスワードを指定します。

カスタムプロパティ: 追加のプロパティを指定できます。追加のプロパティは name=value のペアで指定し、各ペアは新しい行によって区切られます。

アーティファクトバインディングを使用する場合は、次のカスタムプロパティが必要です。

  • 次のカスタムプロパティを追加して、AEM Forms Service Provider を表すユーザー名を指定します。これは IDP Artifact Resolution サービスへの認証に使用されます。
    saml.idp.resolve.username=<username>

  • 次のカスタムプロパティを追加して、saml.idp.resolve.username で指定したユーザーのパスワードを指定します。
    saml.idp.resolve.password=<password>

  • 次のカスタムプロパティを追加して、サービスプロバイダーが SSL で Artifact Resolution サービスに接続を確立中に証明書検証を無視できるようにします。
    saml.idp.resolve.ignorecert=true

カスタム設定

エンタープライズドメインまたはハイブリッドドメインの認証を設定していてカスタム認証を選択する場合は、カスタム認証プロバイダーの名前を選択します。

ユーザーのジャストインタイムプロビジョニング

ユーザーが認証プロバイダーに認証されると、ジャストインタイムプロビジョニングによって User Management データベースにユーザーが自動的に作成されます。この新しいユーザーには、関連するロールとグループも動的に割り当てられます。エンタープライズドメインおよびハイブリッドドメインに対して、ジャストインタイムプロビジョニングを有効にできます。

以下では、従来の認証が AEM Forms で機能する手順を説明します。

  1. ユーザーが AEM Forms にログインしようとすると、User Management はユーザーの資格情報をすべての利用可能な認証プロバイダーに対して連続的に渡します(ログイン資格情報には、ユーザー名とパスワードの組み合わせ、Kerberos チケット、PKCS7 署名などが含まれます)。

  2. 認証プロバイダーは、秘密鍵証明書を検証します。

  3. 認証プロバイダーは、次に、ユーザーが User Management データベースに存在するかどうかを確認します。可能性のあるステータスは、次のとおりです。

    ​Existsユーザーが現在のユーザーでロック解除されている場合、User Managementは認証成功を返します。これに対して、ユーザーが登録されていないか、またはロックされている場合、User Management は認証失敗を返します。

    Does not existUser Managementは認証失敗を返します。

    ​InvalidUser Managementは認証失敗を返します。

  4. 認証プロバイダーが返した結果が評価されます。認証プロバイダーが認証成功を返した場合、ユーザーのログインが許可されます。そうでない場合は、User Management は次の認証プロバイダーに対して確認(手順 2~3)を行います。

  5. ユーザーの秘密鍵証明書を検証する利用可能な認証プロバイダーがなくなると、認証の失敗が返されます。

ジャストインタイムプロビジョニングが有効になっているときに、いずれかの認証プロバイダーがユーザーの資格情報を検証すると、User Management に新しいユーザーが動的に作成されます(上記の手順 3 後)。

ジャストインタイムプロビジョニングが有効になっていないと、ユーザーが認証されても、User Management データベースに存在しない場合は、その認証は失敗します。ジャストインタイムプロビジョニングによって、ユーザーを作成し、そのユーザーにロールとグループを割り当てる手順が認証プロセスに追加されます。

ドメインに対するジャストインタイムプロビジョニングの有効化

  1. IdentityCreator および AssignmentProvider インターフェイスを実装するサービスコンテナを作成します。(「AEM Forms によるプログラミング」を参照してください。)

  2. そのサービスコンテナを AEM Forms サーバーにデプロイします。

  3. 管理コンソールで、設定/User Management/ドメインの管理をクリックします。

    既存のドメインを選択するか、または「新規エンタープライズドメイン」をクリックします。

  4. ドメインを作成する場合は、「新規エンタープライズドメイン」または「新しいハイブリッドドメイン」をクリックします。既存のドメインを編集する場合は、ドメインの名前をクリックします。

  5. 「ジャストインタイムプロビジョニングを有効にする」を選択します。

    注意​:「ジャストインタイムプロビジョニングを有効にする」チェックボックスが見つからない場合は、ホーム/設定/User Management/設定/システム属性の詳細設定をクリックし、「再読み込み」をクリックします。

  6. 認証プロバイダーを追加します。認証プロバイダーを追加する際に、新規認証画面で、登録された「ID 作成者」および「割り当てプロバイダー」を選択します。(認証プロバイダーの設定を参照)。

  7. ドメインを保存します。

このページ