Autenticar para o autor do AEM usando OKTA

O primeiro passo é configurar seu aplicativo no portal OKTA. Depois que o aplicativo for aprovado pelo administrador OKTA, você terá acesso ao certificado IdP e à URL de logon único. A seguir estão as configurações normalmente usadas para registrar o novo aplicativo.

  • Nome do aplicativo: Este é o nome do seu aplicativo. Atribua um nome exclusivo ao aplicativo.
  • Destinatário SAML: Após a autenticação do OKTA, este é o URL que seria acessado em sua instância AEM com a resposta SAML. O manipulador de autenticação SAML normalmente intercepta todos os URLs com / saml_login, mas seria preferível anexá-lo após a raiz do aplicativo.
  • Público-alvo de SAML: este é o URL do domínio do seu aplicativo. Não use o protocolo (http ou https) no URL do domínio.
  • ID do nome SAML: Selecione Email na lista suspensa.
  • Ambiente: escolha o ambiente apropriado.
  • Atributos: estes são os atributos que você obtém sobre o usuário na resposta SAML. Especifique-os de acordo com suas necessidades.

okta-application

Adicionar o certificado OKTA (IdP) ao armazenamento de confiança AEM

Como as asserções SAML são criptografadas, precisamos adicionar o certificado IdP (OKTA) ao armazenamento de confiança do AEM para permitir a comunicação segura entre o OKTA e o AEM.
Inicializar armazenamento de confiança, se ainda não tiver sido inicializado.
Lembrar a senha do armazenamento de confiança. Precisaremos usar essa senha posteriormente neste processo.

  • Navegue até Armazenamento global de confiança.

  • Clique em "Adicionar certificado do arquivo CER". Adicione o certificado IdP fornecido pelo OKTA e clique em enviar.

    note note
    NOTE
    Não mapeie o certificado para nenhum usuário

Ao adicionar o certificado ao armazenamento confiável, você deve obter o alias do certificado conforme mostrado na captura de tela abaixo. O nome do alias pode ser diferente no seu caso.

Alias de certificado

Anote o alias do certificado. Você precisará disso nas etapas posteriores.

Configurar manipulador de autenticação SAML

Navegue até configMgr.
Pesquise e abra "Manipulador de autenticação Adobe Granite SAML 2.0".
Forneça as seguintes propriedades conforme especificado abaixo As propriedades principais que precisam ser especificadas são as seguintes:

  • caminho - Esse é o caminho em que o manipulador de autenticação é acionado
  • URL do IdP: Este é o URL do seu IdP fornecido pelo OKTA
  • Alias do certificado IDP:Este é o alias que você recebeu quando adicionou o certificado IdP ao AEM trust store
  • ID da entidade do provedor de serviços:Este é o nome do seu Servidor AEM
  • Senha do armazenamento de chaves: esta é a senha do armazenamento de confiança que você usou
  • Redirecionamento padrão:Este é o URL para redirecionar na autenticação bem-sucedida
  • Atributo UserID:uid
  • Usar criptografia:false
  • Criar automaticamente usuários do CRX:true
  • Adicionar a grupos:true
  • Grupos padrão:oktausers(Este é o grupo ao qual os usuários são adicionados. Você pode fornecer qualquer grupo existente dentro de AEM)
  • NamedIDPolicy: especifica restrições no identificador de nome a ser usado para representar o assunto solicitado. Copie e cole a seguinte cadeia de caracteres destacada urn:oasis:nomes:tc:SAML:2.0:nameidformat:emailAddress
  • Atributos Sincronizados - Esses são os atributos que estão sendo armazenados da asserção SAML no perfil AEM

saml-authentication-handler

Configurar o filtro referenciador do Apache Sling

Navegue até configMgr.
Pesquise e abra "Filtro referenciador do Apache Sling". Defina as seguintes propriedades conforme especificado abaixo:

  • Permitir vazio: falso
  • Permitir hosts: nome de host do IdP (no seu caso, é diferente)
  • Permitir host de expressão regular: nome de host do IdP (diferente no seu caso) Captura de tela das propriedades do referenciador de filtro do Sling

referrer-filter

Configurar o log DEBUG para a integração OKTA

Ao configurar a integração OKTA no AEM, pode ser útil revisar os logs DEBUG para o manipulador de autenticação AEM SAML. Para definir o nível de log como DEBUG, crie uma nova configuração do Sling Logger por meio do console da Web AEM OSGi.

Lembre-se de remover ou desativar esse agente de log no Palco e na Produção para reduzir o ruído de log.

Ao configurar a integração OKTA no AEM, pode ser útil revisar os logs DEBUG para o manipulador de autenticação AEM SAML. Para definir o nível de log como DEBUG, crie uma nova configuração do Sling Logger por meio do console da Web AEM OSGi.
Lembre-se de remover ou desativar esse agente de log no Palco e na Produção para reduzir o ruído de log.

  • Navegue até configMgr

  • Pesquise e abra "Configuração do logger de log do Apache Sling"

  • Crie um agente de log com a seguinte configuração:

    • Nível de registro: Depuração
    • Arquivo de log: logs/saml.log
    • Logger: com.adobe.granite.auth.saml
  • Clique em Salvar para salvar as configurações

Testar a configuração OKTA

Faça logoff da sua instância do AEM. Tente acessar o link. Você deve ver o SSO OKTA em ação.

recommendation-more-help
8de24117-1378-413c-a581-01e660b7163e