AEM Autenticar con OKTA para crear un

Consulte Autenticación SAML 2.0 AEM para obtener instrucciones sobre cómo configurar OKTA con as a Cloud Service de la.

El primer paso es configurar la aplicación en el portal OKTA. Una vez que el administrador de OKTA apruebe la aplicación, tendrá acceso al certificado IdP y a la URL de inicio de sesión único. A continuación se indican las opciones que se suelen utilizar para registrar una nueva aplicación.

  • Nombre de la aplicación: El nombre de su aplicación. Asegúrese de asignar un nombre único a la aplicación.
  • Destinatario de SAML: AEM Después de la autenticación de OKTA, esta es la dirección URL que se visita en la instancia de la instancia de la con la respuesta de SAML. El controlador de autenticación SAML normalmente intercepta todas las direcciones URL con / saml_login, pero sería preferible anexarlo después de la raíz de la aplicación.
  • Audiencia de SAML: es la dirección URL de dominio de la aplicación. No utilice protocol(http o https) en la dirección URL del dominio.
  • ID de nombre de SAML: Seleccione Correo electrónico en la lista desplegable.
  • Entorno: elija el entorno adecuado.
  • Atributos: estos son los atributos que obtiene sobre el usuario en la respuesta de SAML. Especifíquelas según sus necesidades.

okta-application

AEM Añadir el certificado OKTA (IdP) al almacén de confianza de la

AEM AEM Dado que las afirmaciones de SAML están cifradas, es necesario añadir el certificado IdP (OKTA) al almacén de confianza de, para permitir la comunicación segura entre OKTA y los.
Inicializar almacén de confianza, si no se ha inicializado ya.
Recuerde la contraseña del almacén de confianza. Necesitaremos usar esta contraseña más adelante en este proceso.

  • Vaya a Almacén de confianza global.

  • Haga clic en "Agregar certificado del archivo CER". Añada el certificado IdP proporcionado por OKTA y haga clic en enviar.

    note note
    NOTE
    No asigne el certificado a ningún usuario

Al agregar el certificado al almacén de confianza, debe obtener el alias de certificado como se muestra en la captura de pantalla siguiente. El nombre del alias podría ser diferente en su caso.

Alias de certificado

Anote el alias del certificado. Lo necesita en los pasos posteriores.

Configurar el controlador de autenticación SAML

Vaya a configMgr.
Busque y abra "Controlador de autenticación de Adobe Granite SAML 2.0".
Proporcione las siguientes propiedades, tal como se especifica a continuación. A continuación se indican las propiedades clave que deben especificarse:

  • ruta - Esta es la ruta donde se activa el controlador de autenticación
  • Url de IdP:Esta es la URL de IdP proporcionada por OKTA
  • Alias de certificado IDP AEM : Este es el alias que obtuvo cuando agregó el certificado IdP al almacén de confianza de la organización de certificados de la compañía de datos (CIDsIdP) en el almacén de confianza de la aplicación de datos
  • ID de entidad de Service Provider AEM :Este es el nombre de su servidor de
  • Contraseña del almacén de claves: Esta es la contraseña del almacén de confianza que utilizó
  • Redirección predeterminada:Esta es la URL a la que se redirigirá si la autenticación se realiza correctamente
  • Atributo UserID:uid
  • Utilizar cifrado:false
  • Crear automáticamente usuarios CRX:true
  • Añadir a grupos:true
  • Grupos predeterminados:oktausers(Este es el grupo al que se agregan los usuarios. AEM Puede proporcionar cualquier grupo existente dentro de la lista de grupos de trabajo
  • NamedIDPolicy: especifica restricciones en el identificador de nombre que se utilizará para representar el asunto solicitado. Copie y pegue la siguiente cadena resaltada urna:oasis:nombres:tc:SAML:2.0:nameidformat:emailAddress
  • Atributos sincronizados AEM : estos son los atributos que se almacenan desde la afirmación de SAML en el perfil de la

saml-authentication-handler

Configurar el filtro de referente de Apache Sling

Vaya a configMgr.
Busque y abra "Filtro de referente de Apache Sling". Establezca las siguientes propiedades como se especifica a continuación:

  • Permitir vaciado: false
  • Permitir hosts: Nombre de host de IdP (esto es diferente en su caso)
  • Permitir host de Regexp: Nombre de host de IdP (esto es diferente en su caso) Captura de pantalla de las propiedades del referente del filtro de referente de Sling

referrer-filter

Configurar el registro de depuración para la integración de OKTA

AEM AEM Al configurar la integración de OKTA en el, puede resultar útil revisar los registros de DEPURACIÓN para el controlador de autenticación SAML de la. AEM Para establecer el nivel de registro en DEPURACIÓN, cree una nueva configuración de Sling Logger a través de la consola web de OSGi de OSGi.

Recuerde quitar o deshabilitar este registrador en Fase y Producción para reducir el ruido de registro.

AEM AEM Al configurar la integración de OKTA en el, puede resultar útil revisar los registros de DEPURACIÓN para el controlador de autenticación SAML de la. AEM Para establecer el nivel de registro en DEPURACIÓN, cree una nueva configuración de Sling Logger a través de la consola web de OSGi de OSGi.
Recuerde quitar o deshabilitar este registrador en Fase y Producción para reducir el ruido de registro.

  • Vaya a configMgr

  • Busque y abra "Configuración del registrador de Apache Sling"

  • Cree un registrador con la siguiente configuración:

    • Nivel de registro: Depurar
    • Archivo de registro: logs/saml.log
    • Logger: com.adobe.granite.auth.saml
  • Haga clic en Guardar para guardar la configuración.

Pruebe la configuración de OKTA

AEM Cierre la sesión de la instancia de. Intente acceder al vínculo. Debería ver el SSO de OKTA en acción.

recommendation-more-help
c92bdb17-1e49-4e76-bcdd-89e4f85f45e6