Abilitazione del single sign-on nei moduli AEM enabling-single-sign-on-in-aem-forms
I moduli AEM forniscono due modi per abilitare il single sign-on (SSO): intestazioni HTTP e SPNEGO.
Quando l’SSO viene implementato, le pagine di accesso degli utenti dei moduli AEM non sono obbligatorie e non vengono visualizzate se l’utente è già autenticato tramite il portale aziendale.
Se i moduli AEM non sono in grado di autenticare un utente utilizzando uno di questi metodi, l’utente viene reindirizzato a una pagina di accesso.
Abilita SSO tramite intestazioni HTTP enable-sso-using-http-headers
È possibile utilizzare la pagina Configurazione portale per abilitare il Single Sign-On (SSO) tra le applicazioni e qualsiasi applicazione che supporti la trasmissione dell'identità tramite un'intestazione HTTP. Quando l’SSO viene implementato, le pagine di accesso degli utenti dei moduli AEM non sono obbligatorie e non vengono visualizzate se l’utente è già autenticato tramite il portale aziendale.
È inoltre possibile abilitare SSO utilizzando SPNEGO. (Vedi Abilitare l'SSO tramite SPNEGO.)
-
Nella console di amministrazione, fai clic su Impostazioni > Gestione utente > Configurazione > Configura attributi del portale.
-
Selezionare Sì per abilitare l'SSO. Se si seleziona No, le altre impostazioni della pagina non sono disponibili.
-
Impostare le opzioni rimanenti sulla pagina come desiderato e fare clic su OK:
-
Tipo SSO: (obbligatorio) Selezionare Intestazione HTTP per abilitare SSO tramite intestazioni HTTP.
-
Intestazione HTTP per l'identificatore dell'utente: (obbligatorio) Nome dell'intestazione il cui valore contiene l'identificatore univoco dell'utente connesso. User Management utilizza questo valore per trovare l'utente nel database User Management. Il valore ottenuto da questa intestazione deve corrispondere all'identificatore univoco dell'utente sincronizzato dalla directory LDAP. (Vedi Impostazioni utente.)
-
Il valore dell'identificatore viene mappato sull'ID utente dell'utente anziché sull'identificatore univoco dell'utente: Il valore dell'identificatore univoco dell'utente viene mappato sull'ID utente. Selezionare questa opzione se l'identificatore univoco dell'utente è un valore binario che non può essere facilmente propagato tramite intestazioni HTTP (ad esempio, objectGUID se si sincronizzano gli utenti da Active Directory).
-
Intestazione HTTP per il dominio: (non obbligatoria) Nome dell'intestazione il cui valore contiene il nome di dominio. Usa questa impostazione solo se nessuna singola intestazione HTTP identifica l’utente in modo univoco. Utilizza questa impostazione per i casi in cui esistono più domini e l’identificatore univoco è univoco solo all’interno di un dominio. In questo caso, specificare il nome dell'intestazione in questa casella di testo e specificare il mapping dei domini per i domini multipli nella casella Mapping domini. (Vedi Modifica e conversione di domini esistenti.)
-
Mappatura dominio: (obbligatoria) Specifica la mappatura per più domini nel formato valore intestazione=nome dominio.
Consideriamo ad esempio una situazione in cui l’intestazione HTTP per un dominio è domainName e può avere valori di domain1, domain2 o domain3. In questo caso, utilizza la mappatura del dominio per mappare i valori domainName ai nomi di dominio User Management. Ogni mappatura deve essere su una riga diversa:
domain1=dominioUM1
domain2=dominioUM2
domain3=dominioUM3
-
Configurare i referenti consentiti configure-allowed-referers
Per i passaggi per configurare i referenti consentiti, vedere Configurare i referenti consentiti.
Assegnare ruoli a utenti e gruppi
Fai clic per conoscere i passaggi per assegnare ruoli a utenti e gruppi.
Abilita SSO tramite SPNEGO enable-sso-using-spnego
È possibile utilizzare il meccanismo di negoziazione GSSAPI (SPNEGO) semplice e protetto per abilitare il Single Sign-On (SSO) quando si utilizza Active Directory come server LDAP in un ambiente Windows. Quando l’SSO è abilitato, le pagine di accesso degli utenti dei moduli AEM non sono obbligatorie e non vengono visualizzate.
Puoi anche abilitare il SSO utilizzando le intestazioni HTTP. (Vedi Abilitare SSO tramite intestazioni HTTP.)
-
Decidi quale dominio utilizzare per abilitare l'SSO. Il server AEM Forms e gli utenti devono far parte dello stesso dominio Windows o dominio trusted.
-
In Active Directory, creare un utente che rappresenti il server AEM Forms. (Vedi Creare un account utente.) Se configuri più domini per l'utilizzo di SPNEGO, assicurati che le password di ciascuno di questi utenti siano diverse. Se le password non sono diverse, SPNEGO SSO non funziona.
-
Mappare il nome dell'entità servizio. (Vedere Mappare un nome principale di servizio (SPN).)
-
Configurare il controller di dominio. (Vedi Impedisci errori di verifica integrità Kerberos.)
-
Aggiungere o modificare un dominio enterprise come descritto in Aggiunta di domini o Modifica e conversione di domini esistenti. Quando si crea o si modifica il dominio enterprise, eseguire le operazioni seguenti:
-
Aggiungere o modificare una directory contenente le informazioni di Active Directory.
-
Aggiungere LDAP come provider di autenticazione.
-
Aggiungere Kerberos come provider di autenticazione. Nella pagina Nuova o Modifica autenticazione per Kerberos specificare le informazioni seguenti:
- Provider autenticazione: Kerberos
- IP DNS: indirizzo IP DNS del server in cui sono in esecuzione i moduli AEM. È possibile determinare questo indirizzo IP eseguendo
ipconfig/all
sulla riga di comando. - Host KDC: Nome host completo o indirizzo IP del server Active Directory utilizzato per l'autenticazione
- Utente servizio: il nome dell'entità servizio (SPN) passato allo strumento KtPass. Nell'esempio precedente, l'utente del servizio è
HTTP/lcserver.um.lc.com
. - Area di autenticazione servizio: Nome di dominio per Active Directory. Nell'esempio utilizzato in precedenza, il nome di dominio è
UM.LC.COM.
- Password servizio: Password dell'utente del servizio. Nell'esempio utilizzato in precedenza, la password del servizio è
password
. - Abilita SPNEGO: Abilita l'utilizzo di SPNEGO per Single Sign-On (SSO). Seleziona questa opzione.
-
-
Configurare le impostazioni del browser client SPNEGO. (Vedi Configurazione delle impostazioni del browser client SPNEGO.)
Creare un account utente create-a-user-account
-
In SPNEGO, registrare un servizio come utente in Active Directory sul controller di dominio per rappresentare i moduli AEM. Nel controller di dominio passare a Menu Start > Strumenti di amministrazione > Utenti e computer di Active Directory. Se Strumenti di amministrazione non è disponibile nel menu Start, utilizzare il Pannello di controllo Campaign.
-
Fare clic sulla cartella Utenti per visualizzare un elenco di utenti.
-
Fare clic con il pulsante destro del mouse sulla cartella utente e selezionare Nuovo > Utente.
-
Digitare Nome/Cognome e Nome di accesso utente, quindi fare clic su Avanti. Ad esempio, imposta i seguenti valori:
- Nome: umspnego
- Nome di accesso utente: spnegodemo
-
Digitare una password. Ad esempio, impostarlo su password. Assicurati che l’opzione Password Never Expires (Password senza scadenza) sia selezionata e che non siano selezionate altre opzioni.
-
Fare clic su Avanti e quindi su Fine.
Mappare un nome principale di servizio (SPN) map-a-service-principal-name-spn
-
Ottenere l'utilità KtPass. Questa utility viene utilizzata per mappare un SPN a un realm. È possibile ottenere l'utilità KtPass come parte di Windows Server Tool Pack o Resource Kit. (Vedere Strumenti di supporto di Windows Server 2003 Service Pack 1.)
-
Al prompt dei comandi eseguire
ktpass
utilizzando i seguenti argomenti:ktpass -princ HTTP/
host@
AREA DI AUTENTICAZIONE-mapuser
utenteDigitare ad esempio il testo seguente:
ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo
I valori da fornire sono descritti come segue:
host: Nome completo di Forms Server o di qualsiasi URL univoco. In questo esempio, è impostato su lcserver.um.lc.com.
AREA DI AUTENTICAZIONE: Area di autenticazione di Active Directory per il controller di dominio. In questo esempio, è impostato su UM.LC.COM. Assicurati di immettere il realm in caratteri maiuscoli. La procedura seguente illustra come determinare il realm per Windows 2003:
- Fare clic con il pulsante destro del mouse su Risorse del computer e selezionare Proprietà
- Fare clic sulla scheda Nome computer. Il valore Nome dominio è il nome del realm.
utente: il nome di accesso dell'account utente creato nell'attività precedente. In questo esempio, è impostato su spnegodemo.
Se riscontri questo errore:
DsCrackNames returned 0x2 in the name entry for spnegodemo.
ktpass:failed getting target domain for specified user.
prova a specificare l’utente come spnegodemo@um.lc.com:
ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo
Impedisci errori di verifica integrità Kerberos prevent-kerberos-integrity-check-failures
- Nel controller di dominio passare a Menu Start > Strumenti di amministrazione > Utenti e computer di Active Directory. Se Strumenti di amministrazione non è disponibile nel menu Start, utilizzare il Pannello di controllo Campaign.
- Fare clic sulla cartella Utenti per visualizzare un elenco di utenti.
- Fare clic con il pulsante destro del mouse sull'account utente creato in un'attività precedente. In questo esempio, l'account utente è
spnegodemo
. - Fare clic su Reimposta password.
- Digitare e confermare la stessa password digitata in precedenza. In questo esempio è impostato su
password
. - Deselezionare Cambia password all'accesso successivo e quindi fare clic su OK.
Configurazione delle impostazioni del browser client SPNEGO configuring-spnego-client-browser-settings
Affinché l'autenticazione basata su SPNEGO funzioni, il computer client deve far parte del dominio in cui viene creato l'account utente. È inoltre necessario configurare il browser client per consentire l'autenticazione basata su SPNEGO. Inoltre, il sito che richiede l'autenticazione basata su SPNEGO deve essere attendibile.
Se si accede al server utilizzando il nome del computer, ad esempio https://lcserver:8080, non sono necessarie impostazioni per Internet Explorer. Se si immette un URL che non contiene punti ("."), Internet Explorer considera il sito come sito Intranet locale. Se si utilizza un nome completo per il sito, è necessario aggiungerlo come sito attendibile.
Configura Internet Explorer 6.x
- Vai a Strumenti > Opzioni Internet e fai clic sulla scheda Sicurezza.
- Fare clic sull'icona Intranet locale e quindi su Sites.
- Fare clic su Avanzate e nella casella Aggiungi il sito Web all'area digitare l'URL del server Forms. Digitare ad esempio
https://lcserver.um.lc.com
- Fare clic su OK fino a quando tutte le finestre di dialogo non vengono chiuse.
- Verifica la configurazione accedendo all’URL del server AEM Forms. Nella casella URL browser, ad esempio, digitare
https://lcserver.um.lc.com:8080/um/login?um_no_redirect=true
Configura Mozilla Firefox
-
Nella casella URL browser digitare
about:config
Viene visualizzata la finestra di dialogo about:config - Mozilla Firefox.
-
Nella casella Filtro digitare
negotiate
-
Nell'elenco visualizzato fare clic su network.NEGOTIate-auth.trusted-uri e digitare uno dei comandi seguenti in base alle esigenze dell'ambiente:
.um.lc.com
- Configura Firefox per consentire SPNEGO per qualsiasi URL che termina con um.lc.com. Assicurati di includere il punto (".") all'inizio.lcserver.um.lc.com
- Configura Firefox per consentire SPNEGO solo per il tuo server specifico. Non iniziare questo valore con un punto ("."). -
Verifica la configurazione accedendo all’applicazione. Viene visualizzata la pagina di benvenuto per l’applicazione di destinazione.
Fai clic per conoscere i passaggi per assegnare ruoli a utenti e gruppi.
Assegnare ruoli a utenti e gruppi assign-roles-to-users-groups
- Accedi all’ambiente AEM Forms su JEE.
- Nella console di amministrazione, fai clic su Impostazioni > Gestione utente > Gestione dominio.
- Seleziona la configurazione del dominio, ad esempio LDAP, e fai clic su di essa. Nella Directory sono disponibili tutti gli utenti e i gruppi creati. Se necessario, puoi creare nuovi utenti o gruppi.
- Fare clic su Autenticazione. Nella nuova pagina selezionare un provider di autenticazione, ad esempio LDAP.
- Passare alla pagina Gestione dominio, selezionare LDAP, quindi fare clic su Sincronizza ora per sincronizzare la directory con lo schema di autenticazione configurato per l'accesso AEM.
- Vai a Gestione utenti e fai clic su Utenti e gruppi.
- Cerca utenti o gruppi con i loro nomi, come mostrato nell'immagine seguente.
- Assegna i ruoli agli utenti o ai gruppi in base alle esigenze.