Documentation

Résolution des échecs d’authentification avec plusieurs fournisseurs d’identité dans Adobe Experience Manager

Last update: Fri May 09 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Lors de l’intégration de plusieurs fournisseurs d’identité (IDP) dans Adobe Experience Manager (AEM), les utilisateurs et utilisatrices rencontrent des échecs d’authentification. Ces problèmes sont dus à l’utilisation de noms principaux non uniques entre différents IDP, ce qui entraîne des conflits dans AEM. Pour résoudre ces problèmes de connexion, assurez-vous que chaque fournisseur d’identité utilise des noms principaux uniques et gère les statuts utilisateur de manière appropriée.

Description description

Environnement

Adobe Experience Manager (AEM)

Problème/Symptômes

  • Le problème est dû au fait que le rep:principalName reste identique sur les différents IDP, ce qui empêche AEM de distinguer les utilisateurs qui se connectent par le biais de divers fournisseurs OAuth. Ce manque de différenciation entraîne des problèmes de connexion.

Détails techniques

  • Dans AEM, lorsqu’un utilisateur se connecte à l’aide d’un IDP, une entrée utilisateur est créée avec des attributs tels que rep:principalName et rep:externalId. Le rep:principalName représente l’ID d’utilisateur local dans AEM, tandis que rep:externalId lie l’utilisateur au fournisseur d’identité externe.
    • Exemple de nœud utilisateur dans AEM :
{
  "jcr:primaryType": "rep:User",
  "jcr:mixinTypes": [ "rep:AccessControllable"] ,
  "jcr:createdBy": "",
  "jcr:created": "Date and Time",
  "rep:principalName": "unique_principal_name",
  "rep:lastSynced": "Date and Time",
  "jcr:uuid": "unique-identifier",
  "rep:externalId": "user@domain.com;idp_identifier",
  "rep:authorizableId": "unique_principal_name"
}

Résolution resolution

Pour résoudre ce problème :

  • Modifiez la méthode mapUserId dans l’implémentation de votre fournisseur OAuth afin d’ajouter un identifiant ou un préfixe unique spécifique à chaque fournisseur OAuth. Cela garantit que rep:principalName est unique pour chaque fournisseur et élimine les conflits.
  • Si un utilisateur se connecte avec un second fournisseur d’identité et que le gestionnaire de synchronisation ne correspond pas, il peut être désactivé dans AEM. Cela est indiqué par l’attribut rep:disabled :
{  "rep:disabled": "No longer exists on external identity provider 'idp_identifier'"}
  • Effectuez des tests approfondis après l’implémentation des modifications pour garantir la réussite des connexions avec différents IDP. Si les problèmes persistent, passez en revue la mise en œuvre et envisagez de rouvrir le ticket d’assistance pour une enquête plus approfondie.

Pour toute question ou assistance supplémentaire, contactez l’assistance Adobe.

recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f