混合域需要至少一個身份驗證提供程式,而企業域需要至少一個身份驗證提供程式或目錄提供程式。
如果使用SPNEGO啟用SSO,請添加已啟用SPNEGO的Kerberos身份驗證提供程式和作為備份的LDAP提供程式。 如果SPNEGO不工作,此配置將允許使用用戶ID和密碼進行用戶身份驗證。 (請參閱 使用SPNEGO啟用SSO.)
下列設定可供使用,具體取決於您選擇的域類型和驗證類型。
如果要為企業域或混合域配置身份驗證,並選擇LDAP身份驗證,則可以選擇使用目錄配置中指定的LDAP伺服器,或者可以選擇其他LDAP伺服器以用於身份驗證。 如果選擇不同的伺服器,則您的用戶必須存在於兩個LDAP伺服器上。
要使用在目錄配置中指定的LDAP伺服器,請選擇LDAP作為身份驗證提供程式,然後按一下確定。
要使用其他LDAP伺服器來執行身份驗證,請選擇LDAP作為身份驗證提供程式,然後選擇「自定義LDAP身份驗證」複選框。 將顯示以下配置設定。
伺服器: (強制)目錄伺服器的完全限定域名(FQDN)。 例如,對於example.com網路上名為x的電腦,FQDN為x.example.com。 可以使用IP地址來取代FQDN伺服器名稱。
埠: (強制)目錄伺服器使用的埠。 如果使用安全套接字層(SSL)協定通過網路發送身份驗證資訊,則通常為389或636。
SSL: (必要)指定在通過網路發送資料時目錄伺服器是否使用SSL。 預設為「否」。 當設定為「是」時,應用程式伺服器的Java™運行時環境(JRE)必須信任相應的LDAP伺服器證書。
綁定 (強制)指定如何訪問目錄。
匿名: 不需要用戶名或密碼。
用戶: 需要驗證。 在「名稱」框中,指定可訪問目錄的用戶記錄的名稱。 最好輸入用戶帳戶的完整可分辨名稱(DN),如cn=Jane Doe、ou=user、dc=can、dc=com。 在「密碼」框中,指定關聯的密碼。 選擇「用戶」作為「綁定」選項時,需要這些設定。
檢索基本DN: (非必要)擷取基本DN並在下拉式清單中顯示。 當您有多個基本DN且需要選取值時,此設定很實用。
基本DN: (必要)用作從LDAP階層同步使用者和群組的起點。 最好在層次結構的最低級別指定基本DN,該DN包含所有需要同步服務的用戶和組。 請勿在此設定中加入使用者的DN。 要同步特定用戶,請使用「搜索篩選器」設定。
將下列項目填入頁面: (非必要)選取後,使用對應的預設LDAP值填入「使用者」和「群組」設定頁面上的屬性。
搜尋篩選器: (必要)用於查找與用戶關聯的記錄的搜索篩選器。 請參閱搜尋篩選語法。
如果您正在為企業域或混合域配置身份驗證並選擇Kerberos身份驗證,則可使用以下設定。
DNS IP: 運行AEM表單的伺服器的DNS IP地址。 在Windows上,可以通過在命令行中運行ipconfig /all來確定此IP地址。
KDC主機: 用於身份驗證的Active Directory伺服器的完全限定的主機名或IP地址。
服務用戶: 如果您使用Active Directory 2003,則此值是為窗體中的服務主體建立的映射 HTTP/<server name>
. 如果您使用Active Directory 2008,則此值是服務主體的登錄ID。 例如,假設服務主體名為um spnego,用戶ID為spnegodemo,映射為HTTP/example.yourcompany.com。 使用Active Directory 2003,可將服務用戶設定為HTTP/example.yourcompany.com。 使用Active Directory 2008,可將Service User設定為spnegodemo。 (請參閱使用SPNEGO啟用SSO。)
服務領域: Active Directory的域名
服務密碼: 服務用戶密碼
啟用SPNEGO: 啟用SPNEGO進行單一登入(SSO)。 (請參閱使用SPNEGO啟用SSO。)
如果您要為企業或混合網域設定驗證,並選取SAML驗證,則可使用下列設定。 如需其他SAML設定的相關資訊,請參閱 配置SAML服務提供程式設定.
請選擇要導入的SAML身份提供程式元資料檔案: 按一下「瀏覽」 ,選取從IDP產生的SAML身分提供者中繼資料檔案,然後按一下「匯入」 。 系統會顯示來自IDP的詳細資訊。
標題: 由EntityID表示的URL的別名。 企業和本機使用者的登入頁面也會顯示標題。
身份提供程式支援客戶端基本身份驗證: 當IDP使用SAML工件解析設定檔時,會使用用戶端基本驗證。 在此設定檔中,使用者管理會將連線回在IDP執行的Web服務,以擷取實際的SAML斷言。 IDP可能需要驗證。 如果IDP確實需要驗證,請選取此選項,並在提供的方塊中指定使用者名稱和密碼。
自訂屬性: 可讓您指定其他屬性。 其他屬性是由新行分隔的name=value對。
如果使用對象綁定,則需要以下自定義屬性。
新增下列自訂屬性,以指定代表AEM表單服務提供者的使用者名稱,該使用者名稱將用來驗證IDP工件解決服務。
saml.idp.resolve.username=<username>
新增下列自訂屬性,以指定中指定之使用者的密碼 saml.idp.resolve.username
.
saml.idp.resolve.password=<password>
新增下列自訂屬性,以允許服務提供者在建立與SSL上的工件解決服務的連線時忽略憑證驗證。
saml.idp.resolve.ignorecert=true
如果您要為企業或混合域配置身份驗證,並選擇「自定義身份驗證」,請選擇自定義身份驗證提供程式的名稱。
在通過驗證提供程式成功驗證用戶後,即時置備將在用戶管理資料庫中自動建立用戶。 相關角色和群組也會以動態方式指派給新使用者。 您可以為企業和混合網域啟用及時布建。
此程式說明傳統驗證在AEM表單中的運作方式:
當使用者嘗試登入AEM表單時,「使用者管理」會依序將其憑證傳遞至所有可用的驗證提供者。 (登錄憑據包括用戶名/密碼組合、Kerberos票證、PKCS7簽名等。)
驗證提供程式驗證憑據。
然後,驗證提供程式將檢查用戶是否存在於用戶管理資料庫中。 可能的狀態如下:
存在 如果用戶是最新的和未鎖定的,則用戶管理返回身份驗證成功。 但是,如果用戶不是當前用戶或已鎖定用戶,則User Management將返回身份驗證失敗。
不存在 用戶管理返回驗證失敗。
無效 用戶管理返回驗證失敗。
評估驗證提供程式返回的結果。 如果驗證提供程式返回驗證成功,則允許用戶登錄。 否則,「使用者管理」會與下一個驗證提供者檢查(步驟2-3)。
如果沒有可用的驗證提供程式驗證用戶憑據,則返回驗證失敗。
啟用即時布建時,如果其中一個驗證提供者驗證其憑證,則會在「使用者管理」中動態建立新使用者。 (在上述程式的步驟3之後。)
如果沒有及時設定,當用戶成功驗證但在用戶管理資料庫中找不到用戶時,驗證將失敗。 即時預配在驗證過程中添加一個步驟,以建立用戶並為用戶分配角色和組。
編寫實現IdentityCreator和AssignmentProvider介面的服務容器。 (請參閱 使用AEM表單進行程式設計.)
將服務容器部署到表單伺服器。
在管理控制台中,按一下「設定>使用者管理>網域管理」。
選擇現有域或按一下「新建企業域」。
若要建立網域,請按一下「新增企業網域」或「新增混合網域」。 要編輯現有域,請按一下域的名稱。
選擇「Enable Just Time Provisioning(啟用準時預配)」。
附註:如果缺少「Enable Just In Time Provisioning(啟用準時置備)」複選框,請按一下「Home(首頁)」>「Settings(設定)」>「User Management(用戶管理)」>「Configuration(配置)」>「Advanced System Attributes(高級系統屬性)」,然後按一下「Reload(重新載入)」。
添加身份驗證提供程式。 添加身份驗證提供程式時,在「新建身份驗證」螢幕上,選擇註冊的身份建立者和分配提供程式。 (請參閱 配置身份驗證提供程式.)
儲存網域。