AEM Forms unterstützt die Just-in-time-Bereitstellung von Benutzern, die noch nicht in User Management vorhanden sind. Mit der Just-in-time-Bereitstellung werden Benutzer automatisch User Management hinzugefügt, nachdem die Benutzeranmeldeinformationen erfolgreich authentifiziert wurden. Darüber hinaus werden relevante Rollen und Gruppen dynamisch dem neuen Benutzer zugewiesen.
So funktioniert die herkömmliche Authentifizierung:
Wenn ein Benutzer versucht, sich bei AEM Forms anzumelden, übergibt Benutzer-Management die Anmeldedaten des Benutzers nacheinander an alle verfügbaren Authentifizierungsanbieter. (Anmeldedaten enthalten eine Benutzername/Kennwort-Kombination, Kerberos-Ticket, PKCS7-Signatur usw.)
Der Authentifizierungsanbieter überprüft die Anmeldeinformationen.
Der Authentifizierungsanbieter prüft anschließend, ob der Benutzer in der User Management-Datenbank vorhanden ist. Die folgenden Ergebnisse sind möglich:
Existiert: Wenn der Benutzer aktuell und freigeschaltet ist, gibt die Benutzerverwaltung einen Authentifizierungserfolg zurück. Wenn der Benutzer nicht aktuell oder gesperrt ist, gibt User Management an, dass die Authentifizierung nicht erfolgreich war.
Nicht vorhanden: Die Benutzerverwaltung meldet einen Authentifizierungsfehler.
Ungültig: Das User Management meldet einen Authentifizierungsfehler.
Das vom Authentifizierungsanbieter zurückgegebene Ergebnis wird ausgewertet. Wenn der Authentifizierungsanbieter angibt, dass die Authentifizierung erfolgreich war, kann sich der Benutzer anmelden. Andernfalls nimmt User Management mit dem nächsten Authentifizierungsanbieter eine Überprüfung vor (Schritte 2 bis 3).
Die Authentifizierung war nicht erfolgreich, wenn kein verfügbarer Authentifizierungsanbieter die Anmeldeinformationen des Benutzers überprüft.
Wenn Just-in-time-Bereitstellung implementiert ist, werden neue Benutzer dynamisch in User Management erstellt, wenn einer der Authentifizierungsanbieter deren Anmeldedaten überprüft. (Nach Schritt 3 im obigen herkömmlichen Authentifizierungsverfahren.)
AEM Forms bietet die folgenden APIs für die Just-in-time-Bereitstellung:
package com.adobe.idp.um.spi.authentication ;
publ ic interface IdentityCreator {
/**
* Tries to create a user with the in formation provided in the <code>UserProvisioningBO</code> object.
* If the user is successfully created, a valid AuthResponse is returned along with the information using which the user was created.
* It is the responsibility of the IdentityCreator to set the User obje ct in the cre dential map with th e ke y <code>UMA u thenticationUtil.authenticatedUserKey</code>
* The credentials are available in the <code>UserProvisioningBO</code> object in the 'credentials' property.
* If the IdentityCreator is unable to create a user due to any reason, it returns <code>null</code>
* @param userBO An object of <code>com.adobe. i dp.um . spi.authenti c ationUserProvisioningBO</code>
* @return */public AuthResponse create(UserProvisioningBO userBO);
/**
* Returns the name of the IdentityCreator which will be registered in preferences.
* This name is used to associate the IdentityProvider with the Auth Provider Configuration in the domain.
* @return The name of the Identity Creator which is recognized in Configuration.
*/
public String getName();
}
package com.adobe.idp.um.spi.authentication;
import com.adobe.idp.um.api.infomodel.User;
public interface AssignmentProvider {
/**
* Tries to assign roles or permissions or group memberships to users created via Just-in-time provisioning.
* @param user The User created via the Just-in-time provisioning process.
* @return a Boolean flag indicating whether the assignment was successful or not.
*/
public Boolean assign(User user);
/**
* Returns the name of the AssignmentProvider through which it is registered under preferences.
* This name is used to associate the AssignmentProvider with the Auth Provider Configuration in the domain.
* @return The name of the AssignmentProvider which is recognized in Configuration.
*/public String getName();
}
IdentityCreator
für eine Hybrid-Domain stellen Sie sicher, dass für den lokalen Benutzer ein Platzhalter-Kennwort angegeben wird. Lassen Sie das Kennwortfeld nicht leer.DomainSpecificAuthentication
, um die Benutzerinformationen für eine bestimmte Domain zu überprüfen.Schreiben Sie ein DSC, das die API im Abschnitt „APIs für Just-in-time-Bereitstellung“ implementiert.
Stellen Sie das DSC auf dem Formularserver bereit.
Erstellen Sie eine Just-in-time-Domain:
Speichern Sie die neue Domain.
Angenommen, ein Benutzer versucht, sich bei AEM Forms anzumelden und ein Authentifizierungsanbieter akzeptiert seine Benutzerdaten. Wenn der Benutzer noch nicht in der User Management-Datenbank vorhanden ist, schlägt die Identitätsprüfung für den Benutzer fehl. AEM Forms führt jetzt folgende Aktionen durch:
UserProvisioningBO
-Objekt mit den Authentifizierungsdaten erstellen und in einer Benutzerdatenzuordnung ablegen.UserProvisioningBO
zurückgegebenen Domain-Namensdaten IdentityCreator
und AssignmentProvider
für die Domain laden und aufrufen.IdentityCreator
auf. Wenn ein erfolgreichesAuthResponse
zurückgegeben wird, UserInfo
aus der Benutzerdatenzuordnung extrahieren. An AssignmentProvider
für Gruppen-/Rollenzuweisung und andere Nachbearbeitungsvorgänge übergeben, nachdem der Benutzer erstellt wurde.Bei der Just-in-time-Bereitstellung ist IdentityCreator
standardmäßig implementiert. Damit können Sie Benutzer dynamisch erstellen. Benutzer werden mit den Daten erstellt, die mit den Ordnern in der Domain verknüpft sind.