Configurar provedores de autenticação

Domínios híbridos exigem pelo menos um provedor de autenticação e domínios corporativos exigem pelo menos um provedor de autenticação ou provedor de diretório.

Se você ativar o SSO usando o SPNEGO, adicione um provedor de autenticação Kerberos com o SPNEGO ativado e um provedor LDAP como backup. Essa configuração permite a autenticação do usuário com uma ID de usuário e senha se o SPNEGO não estiver funcionando. (Consulte Ativar SSO usando o SPNEGO.)

Adicionar um provedor de autenticação

  1. No console de administração, clique em Configurações > Gerenciamento de usuário > Gerenciamento de domínio.
  2. Clique em um domínio existente na lista. Se você estiver adicionando autenticação para um novo domínio, consulte Adicionar um domínio empresarial ou Adicionar um domíniohíbrido.
  3. Clique em Adicionar autenticação e, na lista Provedor de autenticação, selecione um provedor, dependendo do mecanismo de autenticação que sua organização usa.
  4. Forneça quaisquer informações adicionais necessárias na página. (Consulte Configurações de autenticação.)
  5. (Opcional) Clique em Testar para testar a configuração.
  6. Clique em OK e em OK novamente.

Editar um provedor de autenticação existente

  1. No console de administração, clique em Configurações > Gerenciamento de usuário > Gerenciamento de domínio.
  2. Clique no domínio apropriado na lista.
  3. Na página que é exibida, selecione o provedor de autenticação apropriado na lista e faça as alterações necessárias. (Consulte Configurações de autenticação.)
  4. Clique em OK.

Excluir um provedor de autenticação

  1. No console de administração, clique em Configurações > Gerenciamento de usuário > Gerenciamento de domínio.
  2. Clique no domínio apropriado na lista.
  3. Marque as caixas de seleção dos provedores de autenticação a serem excluídos e clique em Excluir.
  4. Clique em OK na página de confirmação que é exibida e clique em OK novamente.

Authentication settings

As configurações a seguir estão disponíveis, dependendo do tipo de domínio e do tipo de autenticação escolhido.

Configurações LDAP

Se você estiver configurando a autenticação para um domínio corporativo ou híbrido e selecionar a autenticação LDAP, poderá optar por usar o servidor LDAP especificado na configuração do diretório ou escolher um servidor LDAP diferente para usar na autenticação. Se você escolher um servidor diferente, seus usuários deverão existir em ambos os servidores LDAP.

Para usar o servidor LDAP especificado na configuração do diretório, selecione LDAP como provedor de autenticação e clique em OK.

Para usar um servidor LDAP diferente para realizar a autenticação, selecione LDAP como provedor de autenticação e marque a caixa de seleção Autenticação LDAP personalizada. As seguintes configurações são exibidas.

​Servidor: (Obrigatório) Nome de domínio totalmente qualificado (FQDN) do servidor de diretório. Por exemplo, para um computador chamado x na rede corp.example.com, o FQDN é x.corp.example.com. Um endereço IP pode ser usado no lugar do nome do servidor FQDN.

​Porta: (Obrigatório) A porta que o servidor de diretório usa. Normalmente, 389 ou 636 se o protocolo SSL for usado para enviar informações de autenticação pela rede.

​SSL: (Obrigatório) Especifica se o servidor de diretório usa SSL ao enviar dados pela rede. O padrão é Não. Quando definido como Sim, o certificado do servidor LDAP correspondente deve ser confiável pelo JRE (Java™ Runtime Environment) do servidor de aplicativos.

Vínculo (obrigatório) Especifica como acessar o diretório.

​Anônimo: Nenhum nome de usuário ou senha é necessário.

​Usuário: Autenticação necessária. Na caixa Nome, especifique o nome do registro do usuário que pode acessar o diretório. É melhor inserir o nome distinto (DN) completo da conta de usuário, como cn=Jane Doe, ou=user, dc=can, dc=com. Na caixa Senha, especifique a senha associada. Essas configurações são necessárias quando você seleciona Usuário como a opção Vínculo.

​Recuperar DNs de Base: (Não obrigatório) Recupera os DNs de base e os exibe na lista suspensa. Essa configuração é útil quando você tem vários DNs de base e precisa selecionar um valor.

​DN de base: (Obrigatório) Usado como ponto de partida para sincronizar usuários e grupos da hierarquia LDAP. É melhor especificar um DN básico no nível mais baixo da hierarquia que abrange todos os usuários e grupos que precisam ser sincronizados para serviços. Não inclua o DN do usuário nesta configuração. Para sincronizar um usuário específico, use a configuração Filtro de pesquisa.

​Preencha a página com: (Não obrigatório) Quando selecionado, preenche os atributos nas páginas de configurações de Usuário e Grupo com os valores LDAP padrão correspondentes.

​Filtro de pesquisa: (Obrigatório) O filtro de pesquisa a ser usado para localizar o registro associado ao usuário. Consulte Sintaxe do filtro de pesquisa.

Configurações de Kerberos

Se você estiver configurando a autenticação para um domínio corporativo ou híbrido e selecionar a autenticação Kerberos, as seguintes configurações estarão disponíveis.

​IP DNS: O endereço IP DNS do servidor no qual os formulários AEM estão sendo executados. No Windows, você pode determinar esse endereço IP executando ipconfig /all na linha de comando.

​Host KDC: Nome do host totalmente qualificado ou endereço IP do servidor Ative Diretory usado para autenticação.

​Usuário do serviço: Se você estiver usando o Ative Diretory 2003, esse valor será o mapeamento criado para o principal de serviço no formulário HTTP/<server name>. Se você estiver usando o Ative Diretory 2008, esse valor será a ID de logon do principal do serviço. Por exemplo, suponha que o principal do serviço seja chamado de um spnego, a ID do usuário seja spnegodemo e o mapeamento seja HTTP/example.corp.suaempresa.com. Com o Ative Diretory 2003, você define Usuário do Serviço como HTTP/example.corp.suaempresa.com. Com o Ative Diretory 2008, você define Usuário do Serviço como spnegodemo. (Consulte Habilitar SSO usando SPNEGO.)

​Realm de serviço: Nome de domínio do Ative Diretory

​Senha do serviço: Senha do usuário do serviço

​Ativar SPNEGO: Permite o uso de SPNEGO para logon único (SSO). (Consulte Habilitar SSO usando SPNEGO.)

Configurações SAML

Se você estiver configurando a autenticação para um domínio corporativo ou híbrido e selecionar a autenticação SAML, as seguintes configurações estarão disponíveis. Para obter informações sobre configurações SAML adicionais, consulte Configurar configuraçõesdo provedor de serviços SAML.

​Selecione um arquivo de metadados do provedor de identidade SAML a ser importado: Clique em Procurar para selecionar um arquivo de metadados do provedor de identidade SAML gerado do seu IDP e clique em Importar. Detalhes do IDP são exibidos.

​Título: Alias para o URL denotado pela EntityID. O título também é exibido na página de logon para usuários corporativos e locais.

​O Provedor De Identidade Suporta Autenticação Básica Do Cliente: A Autenticação básica do cliente é usada quando o IDP usa um perfil de Resolução de artefato SAML. Neste perfil, o Gerenciamento de usuários se conecta de volta a um serviço da Web em execução no IDP para recuperar a asserção SAML real. O IDP pode exigir autenticação. Se o IDP exigir autenticação, selecione essa opção e especifique um nome de usuário e senha nas caixas fornecidas.

​Propriedades personalizadas: Permite que você especifique propriedades adicionais. As propriedades adicionais são pares name=value separados por novas linhas.

As seguintes propriedades personalizadas são necessárias se a vinculação de artefato for usada.

  • Adicione a seguinte propriedade personalizada para especificar um nome de usuário que representa o Provedor de serviços de formulários AEM, que será usado para autenticação no serviço de Resolução de artefatos IDP.
    saml.idp.resolve.username=<username>

  • Adicione a seguinte propriedade personalizada para especificar a senha para o usuário especificado em saml.idp.resolve.username.
    saml.idp.resolve.password=<password>

  • Adicione a seguinte propriedade personalizada para permitir que o provedor de serviços ignore a validação do certificado ao estabelecer a conexão com o serviço de Resolução de artefato por SSL.
    saml.idp.resolve.ignorecert=true

Custom settings

Se você estiver configurando a autenticação para um domínio corporativo ou híbrido e selecionar Autenticação personalizada, selecione o nome do provedor de autenticação personalizada.

Provisionamento just-in-time de usuários

O provisionamento just-in-time cria automaticamente um usuário no banco de dados Gerenciamento de usuários depois que ele é autenticado com êxito por meio de um provedor de autenticação. As funções e grupos relevantes também são atribuídos dinamicamente ao novo usuário. Você pode ativar o provisionamento just-in-time para domínios corporativos e híbridos.

Este procedimento descreve como a autenticação tradicional funciona nos formulários AEM:

  1. Quando um usuário tenta fazer logon em formulários AEM, o Gerenciamento de usuários transmite suas credenciais sequencialmente a todos os provedores de autenticação disponíveis. (As credenciais de logon incluem combinação de nome de usuário/senha, ticket Kerberos, assinatura PKCS7 e assim por diante.)

  2. O provedor de autenticação valida as credenciais.

  3. O provedor de autenticação verifica se o usuário existe no banco de dados Gerenciamento de usuários. Os seguintes status são possíveis:

    Existe Se o usuário estiver atual e desbloqueado, o Gerenciamento de usuários retornará a autenticação bem-sucedida. No entanto, se o usuário não estiver atualizado ou estiver bloqueado, o Gerenciamento de usuários retornará uma falha de autenticação.

    Não existe Gerenciamento de usuários que retorna falha de autenticação.

    O Gerenciamento de usuários inválido retorna a falha de autenticação.

  4. O resultado retornado pelo provedor de autenticação é avaliado. Se o provedor de autenticação retornar a autenticação bem-sucedida, o usuário poderá fazer logon. Caso contrário, o Gerenciamento de usuários verifica o próximo provedor de autenticação (etapas 2-3).

  5. A falha de autenticação será retornada se nenhum provedor de autenticação disponível validar as credenciais do usuário.

Quando o provisionamento just-in-time é ativado, novos usuários são criados dinamicamente no Gerenciamento de usuários se um dos provedores de autenticação validar suas credenciais. (Após a etapa 3 do procedimento acima.)

Sem provisionamento just-in-time, quando um usuário é autenticado com êxito, mas não é encontrado no banco de dados Gerenciamento de usuários, a autenticação falha. O provisionamento just-in-time adiciona uma etapa no procedimento de autenticação para criar o usuário e atribuir funções e grupos ao usuário.

Habilitar provisionamento just-in-time para um domínio

  1. Grave um contêiner de serviço que implemente as interfaces IdentityCreator e AssignmentProvider. (Consulte Programação com formuláriosAEM.)

  2. Implante o contêiner de serviço no servidor de formulários.

  3. No console de administração, clique em Configurações > Gerenciamento de usuário > Gerenciamento de domínio.

    Selecione um domínio existente ou clique em Novo domínio corporativo.

  4. Para criar um domínio, clique em Novo domínio corporativo ou Novo domínio híbrido. Para editar um domínio existente, clique no nome do domínio.

  5. Selecione Ativar apenas no provisionamento de tempo.

    observação: Se a caixa de seleção Ativar apenas no provisionamento de tempo estiver ausente, clique em Início > Configurações > Gerenciamento do usuário > Configuração > Atributos avançados do sistema e clique em Recarregar.

  6. Adicione provedores de autenticação. Ao adicionar provedores de autenticação, na tela Nova autenticação, selecione um Criador de identidade e Provedor de atribuição registrados. (Consulte Configuração de provedoresde autenticação.)

  7. Salve o domínio.

Nesta página