Supporto per i cookie dello stesso sito per Adobe Experience Manager as a Cloud Service same-site-cookie-support-for-adobe-experience-manager-as-a-cloud-service
A partire dalla versione 80, Chrome, e successivamente Safari, hanno introdotto un nuovo modello per la sicurezza dei cookie. Questa modalità è progettata per introdurre controlli di sicurezza riguardo alla disponibilità di cookie per i siti di terze parti, tramite un’impostazione denominata SameSite. Per informazioni più dettagliate, consulta questo articolo.
Il valore predefinito di questa impostazione (SameSite=Lax) potrebbe impedire il funzionamento dell’autenticazione tra istanze o servizi AEM. Questo perché i domini o le strutture URL di questi servizi potrebbero non rientrare nei vincoli di questo criterio dei cookie.
Per ovviare a questo problema, è necessario impostare l’attributo per cookie dello stesso sito su None per il token di accesso.
SameSite=None viene applicata solo se il protocollo è protetto (HTTPS).WARN com.day.crx.security.token.TokenCookie Skip 'SameSite=None'Per aggiungere l’impostazione, segui questi passaggi:
- Installa localmente una versione QuickStart per SDK AEM
- Passa alla console Web all’indirizzo
http://serveraddress:serverport/system/console/configMgr - Cerca e fai clic sull’handler di autenticazione token di Adobe Granite
- Imposta l’attributo SameSite per il cookie token di accesso su
None, come illustrato nell’immagine seguente
- Fai clic su Salva
- Genera le configurazioni del formato JSON per questa particolare impostazione seguendo i passaggi descritti in Generazione di configurazioni OSGi tramite QuickStart per SDK AEM
- Applica le impostazioni seguendo i passaggi descritti nella sezione relativa al formato API di Cloud Manager per l’impostazione delle proprietà della documentazione di OSGi.
Una volta aggiornata questa impostazione e dopo che gli utenti avranno eseguito di nuovo l’accesso, i cookie login-token avranno l’attributo None impostato e saranno inclusi nelle richieste cross-site.