Adobe Experience Manager as a Cloud Service に対する Same Site Cookie の のサポート

バージョン 80 以降、Chrome およびそれ以降の Safari では、cookie セキュリティの新しいモデルが導入されました。このモードは、SameSite と呼ばれる設定を通じて、cookie の利用に関するセキュリティ制御をサードパーティサイトに導入するように設計されています。詳しくは、こちらの記事を参照してください。

この設定のデフォルト値(SameSite=Lax)により、AEM インスタンスまたはサービス間の認証が機能しないことがあります。これは、これらのサービスのドメインや URL 構造が、この cookie ポリシーの制約に該当しない可能性があるためです。

これを回避するには、ログイントークンの SameSite cookie 属性を None に設定する必要があります。

注意

この SameSite=None の設定は、プロトコルがセキュア (HTTPS) の場合にのみ適用されます。

プロトコルがセキュアでない場合 (HTTP)、設定は無視され、サーバーは次の WARN メッセージを表示します。

WARN com.day.crx.security.token.TokenCookie Skip 'SameSite=None'

次の手順に従って、設定を追加できます。

  1. AEM SDK クイックスタートのバージョンをローカルにインストールする
  2. Web コンソール(http://serveraddress:serverport/system/console/configMgr)にアクセスします。
  3. Adobe Granite Token Authentication Handler を検索してクリックします。
  4. 次の図に示すように、login-token cookie の SameSite 属性​を None に設定します。
    samesite
  5. 「保存」をクリックします。
  6. 🔗AEM SDK クイックスタートを使用した OSGi 設定の生成で説明されている手順に従って、この特定の設定の JSON 形式の設定を生成します。
  7. プロパティ設定用の Cloud Manager API 形式 OSGiドキュメントの手順に従って設定を適用します。

この設定が更新され、ユーザーがログアウトしてから再度ログインすると、login-token cookieに None 属性が設定され、クロスサイトリクエストに含められるようになります。

このページ