- Présentation
- Administration
- Authentification
- Adobe Cloud Manager
- Développement
- Projets
- Sécurité
- Workflow
- Résolution des problèmes
- Comment activer le rapport de téléchargement des ressources
- Comment forcer la recompilation dans AEM 6.4
- Comment examiner les problèmes liés à l’indexation dans AEM
- Comment enquêter sur les problèmes liés à SAML dans AEM
- Comment examiner les problèmes liés à la recherche dans AEM
- Comment définir l’expiration de la session du jeton de connexion Oak
- Comment résoudre les problèmes liés à la configuration Jetty
- Comment résoudre les problèmes liés aux performances
- Procédure de résolution des problèmes liés à la mémoire dans AEM
- Procédure de résolution des problèmes de réplication dans AEM
Authentification à l’auteur AEM à l’aide d’OKTA
Voir Authentification SAML 2.0 pour obtenir des instructions sur la configuration d’OKTA avec AEM as a Cloud Service.
La première étape consiste à configurer votre application sur le portail OKTA. Une fois votre application approuvée par votre administrateur OKTA, vous avez accès au certificat IdP et à l’URL de connexion unique. Voici les paramètres généralement utilisés pour enregistrer une nouvelle application.
- Nom de l’application : Il s’agit du nom de votre application. Veillez à attribuer un nom unique à votre application.
- Destinataire SAML : Après l’authentification à partir d’OKTA, il s’agit de l’URL qui sera atteinte sur votre instance AEM avec la réponse SAML. Le gestionnaire d’authentification SAML intercepte normalement toutes les URL de avec / saml_login, mais il est préférable de l’ajouter après la racine de votre application.
- Audience SAML: Il s’agit de l’URL du domaine de votre application. N’utilisez pas le protocole (http ou https) dans l’URL du domaine.
- ID de nom SAML : Sélectionnez Email dans la liste déroulante.
- Environnement: Choisissez l’environnement approprié.
- Attributs: Il s’agit des attributs que vous obtenez sur l’utilisateur dans la réponse SAML. Indiquez-les selon vos besoins.
Ajoutez le certificat OKTA (IdP) au Trust Store d’AEM
Puisque les assertions SAML sont chiffrées, nous devons ajouter le certificat IdP (OKTA) au trust store d’AEM, afin de permettre une communication sécurisée entre OKTA et AEM.
Initialisation de Trust Store, s’il n’est pas déjà initialisé.
Souvenez-vous du mot de passe du Trust Store. Nous devrons utiliser ce mot de passe plus tard dans ce processus.
-
Accédez à Trust Store mondial.
-
Cliquez sur "Ajouter un certificat à partir du fichier CER". Ajoutez le certificat IdP fourni par OKTA et cliquez sur Envoyer.
REMARQUENe mappez le certificat à aucun utilisateur.
Lors de l’ajout du certificat au Trust Store, vous devez obtenir l’alias du certificat comme illustré dans la capture d’écran ci-dessous. Le nom d’alias peut être différent dans votre cas.
Notez l’alias du certificat. Vous en aurez besoin lors des étapes suivantes.
Configuration du gestionnaire d’authentification SAML
Accédez à configMgr.
Recherchez et ouvrez "Adobe Granite SAML 2.0 Authentication Handler".
Indiquez les propriétés suivantes, comme indiqué ci-dessous. Voici les propriétés clés à spécifier :
- path - Il s’agit du chemin d’accès où le gestionnaire d’authentification est déclenché.
- IdP Url: il s’agit de votre URL IdP fournie par OKTA.
- Alias de certificat IDP: alias obtenu lorsque vous avez ajouté le certificat IdP au Trust Store d’AEM
- Identifiant d’entité du fournisseur de services: il s’agit du nom de votre serveur AEM.
- Mot de passe du KeyStore: mot de passe du trust store que vous avez utilisé
- Redirection par défaut: URL vers laquelle rediriger une authentification réussie
- Attribut UserID:uid
- Utiliser le chiffrement:false
- Création automatique d’utilisateurs CRX:true
- Ajouter aux groupes:true
- Groupes par défaut:ktausers(groupe auquel les utilisateurs sont ajoutés. Vous pouvez fournir n’importe quel groupe existant dans AEM)
- NamedIDPolicy: Spécifie les contraintes sur l’identifiant de nom à utiliser pour représenter l’objet demandé. Copiez et collez la chaîne mise en surbrillance suivante urn:oasis:names:tc:SAML:2.0:nameidformat:emailAddress
- Attributs synchronisés - Il s’agit des attributs stockés à partir de l’assertion SAML dans AEM profil.
Configuration du filtre de référent Apache Sling
Accédez à configMgr.
Recherchez et ouvrez "Apache Sling Referrer Filter". Définissez les propriétés suivantes comme indiqué ci-dessous :
- Autoriser vide: false
- Autorisation des hôtes: Nom d’hôte IdP (différent dans votre cas)
- Autoriser l’hôte Regexp: Nom d’hôte IdP (différent dans votre cas) Copie d’écran des propriétés du référent du filtre de référent Sling
Configuration de la journalisation DEBUG pour l’intégration OKTA
Lors de la configuration de l’intégration OKTA sur AEM, il peut s’avérer utile de consulter les journaux DEBUG pour AEM gestionnaire d’authentification SAML. Pour définir le niveau de journalisation sur DEBUG, créez une configuration Sling Logger via la console web OSGi AEM.
N’oubliez pas de supprimer ou de désactiver cet enregistreur dans les environnements intermédiaire et de production pour réduire le bruit de journal.
Lors de la configuration de l’intégration OKTA sur AEM, il peut s’avérer utile de consulter les journaux DEBUG pour AEM gestionnaire d’authentification SAML. Pour définir le niveau de journalisation sur DEBUG, créez une configuration Sling Logger via la console web OSGi AEM.
N’oubliez pas de supprimer ou de désactiver cet enregistreur dans les environnements intermédiaire et de production pour réduire le bruit de journal.
-
Accédez à configMgr
-
Recherchez et ouvrez "Configuration de l’enregistreur de journalisation Apache Sling".
-
Créez un enregistreur avec la configuration suivante :
- Niveau de journal: Déboguer
- Fichier journal: logs/saml.log
- Enregistreur: com.adobe.granite.auth.saml
-
Cliquez sur Enregistrer pour enregistrer vos paramètres.
Test de votre configuration OKTA
Déconnectez-vous de votre instance AEM. Essayez d’accéder au lien. Vous devriez voir OKTA SSO en action.
Ressources Business.Adobe.com
Ressources
Compte Adobe
