Controlador de autenticación SAML 2.0 saml-authentication-handler
AEM se envía con un controlador de autenticación SAML. Este controlador admite el protocolo de solicitud de autenticación SAML 2.0 (perfil Web-SSO) mediante el enlace HTTP POST.
Admite lo siguiente:
- firma y cifrado de mensajes
- creación automática de usuarios
- AEM sincronización de grupos con los existentes en la
- Autenticación iniciada por el proveedor de servicios y el proveedor de identidad
Este controlador almacena el mensaje de respuesta SAML cifrado en el nodo de usuario ( usernode/samlResponse) para facilitar la comunicación con un proveedor de servicios de terceros.
Configuración del controlador de autenticación SAML 2.0 configuring-the-saml-authentication-handler
La consola web proporciona acceso a la configuración del Controlador de autenticación SAML 2.0 llamada Controlador de autenticación Adobe Granite SAML 2.0. Se pueden configurar las siguientes propiedades.
- La URL del POST del proveedor de identidad o la URL del IDP.
- El ID de entidad de Service Provider.
Ruta de acceso al repositorio para el cual Sling debe usar este controlador de autenticación. Si está vacío, el controlador de autenticación se deshabilitará.
Clasificación del servicio Valor de clasificación del servicio del marco OSGi para indicar el orden en que se debe llamar a este servicio. Es un valor entero en el que los valores más altos designan una prioridad mayor.
Alias de certificado IDP El alias del certificado del IdP en el almacén de confianza global. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado. AEM Consulte el capítulo "Añadir el certificado IdP al almacén de confianza de" a continuación sobre cómo configurarlo.
URL de IDP URL del IDP al que se debe enviar la solicitud de autenticación SAML. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado.
ID de entidad de proveedor de servicios que identifica de forma exclusiva a este proveedor de servicios con el proveedor de identidad. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado.
Redirección predeterminada: La ubicación predeterminada a la que se redirigirá tras la autenticación correcta.
request-path. Si solicita cualquier página por debajo de la ruta configurada sin un token de inicio de sesión válido, la ruta solicitada se almacenará en una cookiey el explorador se redirigirá a esta ubicación de nuevo después de la autenticación correcta.
Atributo de Id. de usuario El nombre del atributo que contiene el Id. de usuario usado para autenticar y crear al usuario en el repositorio de CRX.
saml:Subject de la afirmación de SAML, sino de este saml:Attribute.Usar cifrado Indica si este controlador de autenticación espera o no afirmaciones SAML cifradas.
Crear automáticamente usuarios de CRX Indica si se crearán o no automáticamente usuarios no existentes en el repositorio después de la autenticación correcta.
Agregar a grupos Indica si un usuario debe agregarse automáticamente a los grupos de CRX después de la autenticación correcta.
Pertenencia a grupo El nombre del saml:Atributo que contiene una lista de grupos de CRX a los que este usuario debe agregarse.
AEM Añadir el certificado IdP al almacén de confianza de la add-the-idp-certificate-to-the-aem-truststore
Las afirmaciones de SAML están firmadas y pueden cifrarse de forma opcional. Para que esto funcione, debe proporcionar al menos el certificado público del IdP en el repositorio. Para ello, debe:
-
Ir a http:/serveraddress:serverport/libs/granite/security/content/truststore.html
-
Presione el vínculo Crear TrustStore
-
Escriba la contraseña de TrustStore y presione Guardar.
-
Haz clic en Administrar almacén de confianza.
-
Cargue el certificado IdP.
-
Tome nota del alias del certificado. El alias es admin#1436172864930 en el ejemplo siguiente.
AEM Agregue la cadena de certificado y la clave del proveedor de servicios al almacén de claves de la add-the-service-provider-key-and-certificate-chain-to-the-aem-keystore
com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store- Ir a: http://localhost:4502/libs/granite/security/content/useradmin.html
- Editar el usuario
authentication-service. - Para crear un almacén de claves, haga clic en Crear almacén de claves en Configuración de la cuenta.
-
AEM Cree el certificado/par de claves para la. El comando para generarlo mediante openssl debe ser similar al ejemplo siguiente:
openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out certificate.crt -keyout key.pem -
Convertir la clave al formato PKCS#8 con codificación DER. AEM Este es el formato que requiere el almacén de claves de la.
openssl pkcs8 -topk8 -inform PEM -outform DER -in key.pem -out key.der -nocrypt -
Cargue el archivo de clave privada haciendo clic en Seleccionar archivo de clave privada.
-
Cargue el archivo de certificado haciendo clic en Seleccionar archivos de cadena de certificados.
-
Asigne un alias, como se muestra a continuación:
Configuración de un registrador para SAML configure-a-logger-for-saml
Puede configurar un registrador para depurar cualquier problema que pueda surgir por una configuración incorrecta de SAML. Para ello:
-
Va a la consola web, en http://localhost:4502/system/console/configMgr
-
Busque y haga clic en la entrada Configuración del registrador de Apache Sling
-
Cree un registrador con la siguiente configuración:
- Nivel de registro: depuración
- Archivo de registro: logs/saml.log
- Registrador: com.adobe.granite.auth.saml