Autenticazione in AEM Author tramite OKTA

Il primo passo è quello di configurare la tua app sul portale OKTA. Una volta approvata l’app dal tuo amministratore OKTA avrai accesso al certificato IdP e all’URL di accesso single sign on. Di seguito sono riportate le impostazioni tipicamente utilizzate per la registrazione di una nuova applicazione.

  • Nome applicazione: questo è il nome dell'applicazione. Assicurati di assegnare un nome univoco all'applicazione.
  • Destinatario SAML: dopo l’autenticazione da OKTA, questo è l’URL che verrebbe colpito sulla tua istanza AEM con la risposta SAML. Il gestore di autenticazione SAML normalmente intercetta tutti gli URL con / saml_login, ma sarebbe preferibile aggiungerlo dopo la radice dell'applicazione.
  • Pubblico SAML: Questo è l'URL di dominio dell'applicazione. Non utilizzare il protocollo (http o https) nell'URL del dominio.
  • ID nome SAML: seleziona E-mail dall’elenco a discesa.
  • Ambiente: Scegli l’ambiente appropriato.
  • Attributi: Questi sono gli attributi che ottieni sull'utente nella risposta SAML. Specificali in base alle tue esigenze.

okta-application

Aggiungi il certificato OKTA (IdP) all’archivio AEM trust

Poiché le asserzioni SAML sono crittografate, è necessario aggiungere il certificato IdP (OKTA) all’archivio AEM trust per consentire una comunicazione sicura tra OKTA e AEM.
Inizializza l'archivio di attendibilità, se non è già inizializzato.
Ricordare la password dell'archivio di attendibilità. Sarà necessario utilizzare questa password in un secondo momento in questa procedura.

  • Passa a Global Trust Store.

  • Fai clic su "Aggiungi certificato dal file CER". Aggiungi il certificato IdP fornito da OKTA e fai clic su invia.

    NOTA

    Non mappare il certificato ad alcun utente

Al momento dell’aggiunta del certificato all’archivio attendibili, devi ottenere l’alias del certificato come mostrato nella schermata sottostante. Il nome dell’alias potrebbe essere diverso nel tuo caso.

Alias certificato

Prendi nota dell’alias del certificato. Questo è necessario nei passaggi successivi.

Configura il gestore di autenticazione SAML

Passa a configMgr.
Cerca e apri "Adobe Granite SAML 2.0 Authentication Handler".
Fornisci le seguenti proprietà come specificato di seguito
Di seguito sono riportate le proprietà chiave da specificare:

  • path - Questo è il percorso in cui verrà attivato il gestore di autenticazione
  • Url IdP: questo è il tuo URL IdP fornito da OKTA
  • Alias del certificato IDP: alias ricevuto quando hai aggiunto il certificato IdP nell'archivio AEM trust
  • ID entità provider di servizi: nome del server AEM
  • Password dell'archivio chiavi: password dell'archivio attendibilità utilizzata
  • Reindirizzamento predefinito:URL a cui reindirizzare in caso di autenticazione riuscita
  • Attributo UserID:uid
  • Usa crittografia: false
  • Creare automaticamente utenti CRX:true
  • Aggiungi ai gruppi:true
  • Gruppi predefiniti:oktausers(Questo è il gruppo a cui verranno aggiunti gli utenti. Puoi fornire qualsiasi gruppo esistente all'interno di AEM)
  • NamedIDPolicy: Specifica i vincoli relativi all'identificatore del nome da utilizzare per rappresentare l'oggetto richiesto. Copia e incolla la seguente stringa evidenziata urn:oasis:names:tc:SAML:2.0:nameidformat:emailAddress
  • Attributi sincronizzati : si tratta degli attributi che vengono memorizzati dall'asserzione SAML nel profilo AEM

saml-authentication-handler

Configurare il filtro di riferimento Apache Sling

Passa a configMgr.
Cerca e apri "Apache Sling Referrer Filter".Imposta le seguenti proprietà come specificato di seguito:

  • Consenti valori vuoti: false
  • Consenti host: Nome host dell'IdP (nel tuo caso sarà diverso)
  • Consenti host regexp: Nome host dell'IdP(Sarà diverso nel tuo caso) La schermata delle proprietà del referente del filtro Sling Referrer

referrer-filter

Configurare la registrazione DEBUG per l’integrazione OKTA

Quando si imposta l'integrazione OKTA su AEM, può essere utile rivedere i registri DEBUG per AEM gestore di autenticazione SAML. Per impostare il livello di registro su DEBUG, crea una nuova configurazione Sling Logger tramite la AEM OSGi Web Console.

Ricorda di rimuovere o disabilitare questo logger su Stage e Production per ridurre il rumore del log.

Quando si imposta l'integrazione OKTA su AEM, può essere utile rivedere i registri DEBUG per AEM gestore di autenticazione SAML. Per impostare il livello di registro su DEBUG, crea una nuova configurazione Sling Logger tramite la AEM OSGi Web Console.
Ricorda di rimuovere o disabilitare questo logger su Stage e Production per ridurre il rumore del log.

  • Passa a configMgr

  • Cerca e apri "Apache Sling Logging Logger Configuration" (Configurazione logger di registrazione Apache Sling)

  • Crea un logger con la seguente configurazione:

    • Livello log: Debug
    • File di log: logs/saml.log
    • Logger: com.adobe.granite.auth.saml
  • Fai clic su salva per salvare le impostazioni

Verifica la configurazione OKTA

Disconnessione dall'istanza AEM. Prova ad accedere al collegamento. Dovresti vedere OKTA SSO in azione.

In questa pagina