認証プロバイダーの設定 configuring-authentication-providers
ハイブリッドドメインには少なくとも 1 つの認証プロバイダー、エンタープライズドメインには少なくとも 1 つの認証プロバイダーまたはディレクトリプロバイダーが必要です。
SPNEGO を使用して SSO を有効にする場合、SPNEGO を有効にした Kerberos 認証プロバイダーのほか、バックアップとして LDAP プロバイダーを追加します。この設定にすると、SPNEGO が機能しない場合でもユーザー ID とパスワードを使用したユーザー認証が可能になります(SPNEGO を使用した SSO の有効化を参照。)
認証プロバイダーの追加 add-an-authentication-provider
- 管理コンソールで、設定/User Management/ドメイン管理をクリックします。
- リストから既存のドメインをクリックします。新しいドメインに認証を追加する場合は、エンタープライズドメインの追加または ハイブリッドドメインの追加を参照してください。
- 「認証を追加」をクリックし、認証プロバイダーリストで、組織が使用している認証メカニズムに応じてプロバイダーを選択します。
- 必要な追加情報をページに入力します(認証の設定を参照)。
- (オプション)「テスト」をクリックして設定をテストします。
- 「OK」をクリックし、「OK」を再度クリックします。
既存の認証プロバイダーの編集 edit-an-existing-authentication-provider
- 管理コンソールで、設定/User Management/ドメイン管理をクリックします。
- リストから目的のドメインをクリックします。
- 表示されるページで、リストから適切な認証プロバイダーを選択し、必要に応じて変更します。(認証の設定を参照。)
- 「OK」をクリックします。
認証プロバイダーの削除 delete-an-authentication-provider
- 管理コンソールで、設定/User Management/ドメイン管理をクリックします。
- リストから目的のドメインをクリックします。
- 削除する認証プロバイダーのチェックボックスをオンにし、「削除」をクリックします。
- 表示される確認ページで「OK」をクリックし、「OK」を再度クリックします。
認証の設定 authentication-settings
選択したドメインの種類と認証の種類に応じて、次の設定を使用できます。
LDAP 設定 ldap-settings
エンタープライズドメインまたはハイブリッドドメインの認証を設定している場合、LDAP 認証を選択すると、ディレクトリ設定で指定した LDAP サーバーを選択して使用するか、異なる LDAP サーバーを選択して認証に使用することができます。異なるサーバーを選択する場合、ユーザーは両方の LDAP サーバーに存在する必要があります。
ディレクトリ設定で指定した LDAP サーバーを使用するには、認証プロバイダーとして LDAP を選択し、「OK」をクリックします。
認証を実行するために異なる LDAP サーバーを使用するには、認証プロバイダーとして LDAP を選択し、「カスタム LDAP 認証」チェックボックスをオンにします。次の環境設定が表示されます。
サーバー:(必須)ディレクトリサーバーの完全修飾ドメイン名(FQDN)。例えば、example.com ネットワーク上の x というコンピューターの場合、FQDN は x.example.com となります。FQDN サーバー名の代わりに IP アドレスを使用することもできます。
ポート:(必須)ディレクトリサーバーが使用するポート。通常は 389 で、Secure Sockets Layer(SSL)プロトコルを使用してネットワーク経由で認証情報を送信する場合は 636 です。
SSL:(必須)ネットワーク経由でデータを送信するときにディレクトリサーバーで SSL を使用するかどうかを指定します。デフォルトは「いいえ」です。「はい」に設定する場合、対応する LDAP サーバー証明書はアプリケーションサーバーの Java™ ランタイム環境(JRE)によって信頼されている必要があります。
連結(必須)ディレクトリへのアクセス方法を指定します。
匿名: ユーザー名またはパスワードは不要です。
ユーザー: 認証が必要です。「名前」ボックスに、ディレクトリにアクセスできるユーザーレコードの名前を指定します。ユーザーアカウントの完全な識別名(DN)を入力することをお勧めします。例えば、cn=Jane Doe, ou=user, dc=can, dc=com などです。「パスワード」ボックスに、関連付けられているパスワードを指定します。これらの設定は、「バインド」オプションとして「ユーザー」を選択する場合は必須です。
ベース DN の取得:(非必須)ベース DN を取得し、ドロップダウンリストに表示します。この設定は、複数のベース DN がある場合に 1 つの値を選択する必要があるときに便利です。
ベース DN:(必須)LDAP 階層からユーザーとグループを同期するための開始点として使用されます。サービスのために同期する必要があるすべてのユーザーおよびグループを含む、階層の最下位レベルでベース DN を指定することをお勧めします。この設定にユーザーの DN は含めないでください。特定のユーザーを同期するには、検索フィルター設定を使用します。
ページに次の値を入力:(非必須)選択すると、ユーザー設定ページとグループの設定ページの属性に、対応するデフォルトの LDAP 値が入力されます。
検索フィルター:(必須)ユーザーに関連付けられているレコードを検索するために使用する検索フィルター。「検索フィルターの構文」を参照してください。
Kerberos 設定 kerberos-settings
エンタープライズドメインまたはハイブリッドドメインの認証を設定している場合、Kerberos 認証を選択するには、次の設定を使用できます。
DNS IP: AEM Forms を実行しているサーバーの DNS IP アドレス。Windows の場合、この IP アドレスは、コマンドラインで ipconfig /all を実行して確認できます。
KDC ホスト: 認証に使用する Active Directory サーバーの完全修飾ホスト名または IP アドレス。
サービスユーザー: Active Directory 2003 を使用している場合、この値は HTTP/<server name>
の形式でサービスプリンシパル用に作成されたマッピングになります。Active Directory 2008 を使用している場合、この値はサービスプリンシパルのログイン ID になります。例えば、サービスプリンシパル名が um spnego、ユーザー ID が spnegodemo、マッピングが HTTP/example.yourcompany.com であるとします。この場合、Active Directory 2003 では、「サービスユーザー」を HTTP/example.yourcompany.com に設定します。Active Directory 2008 では、「サービスユーザー」を spnegodemo に設定します。(SPNEGO を使用した SSO の有効化を参照。)
サービス領域: Active Directory のドメイン名。
サービスパスワード: サービスユーザーのパスワード
SPNEGO を有効にする: シングルサインオン(SSO)で SPNEGO を使用できるようにします。(SPNEGO を使用した SSO の有効化を参照)。
SAML 設定 saml-settings
エンタープライズドメインまたはハイブリッドドメインの認証を設定している場合、SAML 認証を選択するには、次の設定を使用できます。SAML 設定について詳しくは、SAML サービスプロバイダーの設定を参照してください。
読み込む SAML ID プロバイダーメタデータファイルを選択してください:「参照」をクリックして、IDP から生成された SAML ID プロバイダーメタデータファイルを選択し、「読み込み」をクリックします。IDP の詳細が表示されます。
タイトル: EntityID で示される URL のエイリアス。タイトルは、エンタープライズユーザーとローカルユーザーのログインページにも表示されます。
ID プロバイダーは、クライアントの基本認証をサポートします。 クライアント基本認証は、IDP が SAML アーティファクト解決プロファイルを使用する場合に使用されます。このプロファイルでは、User Management は、実際の SAML アサーションを取得するために、IDP で実行されている web サービスに接続します。IDP では認証を必要とする場合があります。IDP で認証が必要であれば、このオプションを選択して、表示されたボックスにユーザー名とパスワードを指定します。
カスタムプロパティ: 追加のプロパティを指定できます。追加のプロパティは新しい行で区切られた名前=値のペアです。
アーティファクトバインディングを使用する場合は、次のカスタムプロパティが必要です。
-
次のカスタムプロパティを追加して、AEM forms サービスプロバイダーを表すユーザー名を指定します。これは IDP アーティファクト解決サービスへの認証に使用されます。
saml.idp.resolve.username=<username>
-
次のカスタムプロパティを追加して、
saml.idp.resolve.username
で指定したユーザーのパスワードを指定します。saml.idp.resolve.password=<password>
-
次のカスタムプロパティを追加して、サービスプロバイダーが SSL でアーティファクト解決サービスに接続を確立中に証明書検証を無視できるようにします。
saml.idp.resolve.ignorecert=true
カスタム設定 custom-settings
エンタープライズドメインまたはハイブリッドドメインの認証を設定していてカスタム認証を選択する場合は、カスタム認証プロバイダーの名前を選択します。
ユーザーのジャストインタイムプロビジョニング just-in-time-provisioning-of-users
ユーザーが認証プロバイダーに認証されると、ジャストインタイムプロビジョニングによってユーザー管理データベースにユーザーが自動的に作成されます。この新しいユーザーには、関連するロールとグループも動的に割り当てられます。エンタープライズドメインおよびハイブリッドドメインに対して、ジャストインタイムプロビジョニングを有効にできます。
以下では、従来の認証が AEM Forms で機能する手順を説明します。
-
ユーザーが AEM Forms にログインしようとすると、User Management はユーザーの資格情報をすべての利用可能な認証プロバイダーに対して連続的に渡します(ログイン資格情報には、ユーザー名とパスワードの組み合わせ、Kerberos チケット、PKCS7 署名などが含まれます)。
-
認証プロバイダーは、秘密鍵証明書を検証します。
-
認証プロバイダーは、次に、ユーザーが User Management データベースに存在するかどうかを確認します。可能性のあるステータスは、次のとおりです。
存在する ユーザーが登録されており、ロックされていない場合、User Management は認証成功を返します。これに対して、ユーザーが登録されていないか、ロックされている場合、User Management は認証失敗を返します。
存在しない User Management は認証失敗を返します。
無効 User Management は認証失敗を返します。
-
認証プロバイダーが返した結果が評価されます。認証プロバイダーが認証成功を返した場合、ユーザーのログインが許可されます。そうでない場合は、User Management は次の認証プロバイダーに対して確認(手順 2~3)を行います。
-
ユーザーの秘密鍵証明書を検証する利用可能な認証プロバイダーがなくなると、認証の失敗が返されます。
ジャストインタイムプロビジョニングが有効になっているときに、いずれかの認証プロバイダーがユーザーの資格情報を検証すると、User Management に新しいユーザーが動的に作成されます(上記の手順 3 後)。
ジャストインタイムプロビジョニングが有効になっていないと、ユーザーが認証されても、User Management データベースに存在しない場合は、その認証は失敗します。ジャストインタイムプロビジョニングによって、ユーザーを作成し、そのユーザーにロールとグループを割り当てる手順が認証プロセスに追加されます。
ドメインに対するジャストインタイムプロビジョニングの有効化 enable-just-in-time-provisioning-for-a-domain
-
IdentityCreator および AssignmentProvider インターフェイスを実装するサービスコンテナを作成します(AEM Forms によるプログラミングを参照してください)。
-
そのサービスコンテナを AEM Forms サーバーにデプロイします。
-
管理コンソールで、設定/User Management/ドメイン管理をクリックします。
既存のドメインを選択するか、または「新規エンタープライズドメイン」をクリックします。
-
ドメインを作成する場合は、「新規エンタープライズドメイン」または「新しいハイブリッドドメイン」をクリックします。既存のドメインを編集する場合は、ドメインの名前をクリックします。
-
「ジャストインタイムプロビジョニングを有効にする」を選択します。
注意:「ジャストインタイムプロビジョニングを有効にする」チェックボックスが見つからない場合は、ホーム/設定/User Management/設定/システム属性の詳細設定をクリックし、「再読み込み」をクリックします。
-
認証プロバイダーを追加します。認証プロバイダーを追加する際に、新規認証画面で、登録された「ID 作成者」および「割り当てプロバイダー」を選択します。(認証プロバイダーの設定を参照)。
-
ドメインを保存します。