Adobe Experience Manager as a Cloud Service に対する SameSite cookie のサポート same-site-cookie-support-for-adobe-experience-manager-as-a-cloud-service
バージョン 80 以降、Chrome およびそれ以降の Safari では、cookie セキュリティの新しいモデルが導入されました。このモードは、SameSite
と呼ばれる設定を通じて、cookie の利用に関するセキュリティ制御をサードパーティサイトに導入するように設計されています。詳しくは、web.dev - SameSite cookie の説明を参照してください。
この設定のデフォルト値(SameSite=Lax
)により、AEM インスタンスまたはサービス間の認証が機能しないことがあります。これは、これらのサービスのドメインや URL 構造が、この cookie ポリシーの制約に該当しない可能性があるためです。
これを回避するには、ログイントークンの SameSite cookie 属性を None
に設定します。
CAUTION
SameSite=None
の設定は、セキュアプロトコル(HTTPS)の場合にのみ適用されます。セキュアプロトコルでない(HTTP)場合、この設定は無視され、サーバーは次の警告メッセージを表示します。
WARN com.day.crx.security.token.TokenCookie Skip 'SameSite=None'
次の手順に従って、設定を追加できます。
- AEM SDK クイックスタートのバージョンをローカルにインストールする
- Web コンソール(
http://serveraddress:serverport/system/console/configMgr
)にアクセスします。 - Adobe Granite Token Authentication Handler を検索してクリックします。
- 次の図に示すように、login-token cookie の SameSite 属性 を
None
に設定します。
- 「保存」をクリックします。
- ](https://experienceleague.adobe.com/docs/experience-manager-cloud-service/content/implementing/deploying/configuring-osgi.html?lang=ja#generating-osgi-configurations-using-the-aem-sdk-quickstart)AEM SDK クイックスタートを使用した OSGi 設定の生成[で説明されている手順に従って、この特定の設定の JSON 形式の設定を生成します。
- プロパティ設定用の Cloud Manager API 形式 OSGiドキュメントの手順に従って設定を適用します。
この設定が更新され、ユーザーがログオフしてから再度ログオンすると、login-token
cookie に None
属性が設定され、クロスサイトリクエストに含められるようになります。
recommendation-more-help
fbcff2a9-b6fe-4574-b04a-21e75df764ab