Prise en charge du cookie Same Site pour Adobe Experience Manager as a Cloud Service same-site-cookie-support-for-adobe-experience-manager-as-a-cloud-service
Depuis la version 80, Chrome et ultérieurement Safari ont introduit un nouveau modèle de sécurité des cookies. Ce modèle a été conçu pour introduire des contrôles de sécurité dans les sites tiers sur la disponibilité des cookies par le biais d’un paramètre appelé SameSite. Pour en savoir plus, consultez cet article.
La valeur par défaut de ce paramètre (SameSite=Lax) peut entraîner l’échec de l’authentification entre les instances ou services AEM. Ce dysfonctionnement est dû au fait que les domaines ou les structures d’URL de ces services peuvent ne pas être soumis aux contraintes de cette politique de cookies.
Pour contourner ce problème, vous devez définir l’attribut de cookie SameSite sur None pour le jeton de connexion.
SameSite=None n’est appliqué que si le protocole est sécurisé (HTTPS).WARN com.day.crx.security.token.TokenCookie Skip 'SameSite=None'Vous pouvez ajouter ce paramètre en procédant comme suit :
- Installez localement une version du SDK AEM Quickstart
- Accédez à la console web à l’adresse
http://serveraddress:serverport/system/console/configMgr - Recherchez et cliquez sur le gestionnaire d’authentification de jeton Granite Adobe
- Définissez l’attribut SameSite pour le cookie de jeton de connexion sur
None, comme illustré dans l’image ci-dessous
- Cliquez sur Enregistrer
- Générez les configurations de format JSON pour ce paramètre en particulier en suivant les étapes décrites dans la section Génération de configurations OSGi à l’aide du SDK AEM Quickstart
- Appliquez les paramètres en suivant les étapes décrites dans le document OSGi Format d’API Cloud Manager pour la configuration des propriétés.
Après la mise à jour de ce paramètre et la déconnexion puis reconnexion des utilisateurs et utilisatrices, les cookies login-token ont les attributs None, et sont inclus dans les requêtes intersites.