AEM Forms에서 Single Sign-On 활성화 enabling-single-sign-on-in-aem-forms

관리 콘솔에서 설정 > 사용자 관리 > 구성 > 포털 속성 구성을 클릭합니다.

SSO를 활성화하려면 예를 선택합니다. 아니오를 선택하면 페이지의 나머지 설정을 사용할 수 없습니다.

페이지의 나머지 옵션을 필요에 따라 설정하고 [확인]을 클릭합니다.

• SSO 유형:(필수) HTTP 헤더를 선택하여 HTTP 헤더를 사용하여 SSO를 사용하도록 설정합니다.

• 사용자 ID에 대한 HTTP 헤더:(필수) 값이 로그인한 사용자의 고유 식별자를 포함하는 헤더의 이름입니다. User Management는 이 값을 사용하여 User Management 데이터베이스에서 사용자를 찾습니다. 이 헤더에서 얻은 값은 LDAP 디렉터리에서 동기화된 사용자의 고유 식별자와 일치해야 합니다. 사용자 설정을 참조하세요.

• 사용자 고유 식별자 대신 사용자의 사용자 ID에 식별자 값이 매핑됩니다. 사용자의 고유 식별자 값을 사용자 ID에 매핑합니다. 사용자의 고유 식별자가 HTTP 헤더를 통해 쉽게 전달할 수 없는 이진 값인 경우 이 옵션을 선택합니다(예를 들어 Active Directory에서 사용자를 동기화하는 경우 objectGUID).

• 도메인:​에 대한 HTTP 헤더(필수 아님) 값에 도메인 이름이 포함된 헤더의 이름입니다. 사용자를 고유하게 식별하는 단일 HTTP 헤더가 없는 경우에만 이 설정을 사용합니다. 여러 도메인이 존재하고 고유 식별자가 도메인 내에서만 고유한 경우에 이 설정을 사용합니다. 이 경우 이 텍스트 상자에 헤더 이름을 지정하고 도메인 매핑 상자에 여러 도메인에 대한 도메인 매핑을 지정합니다. 기존 도메인 편집 및 변환을 참조하십시오.

• 도메인 매핑:(필수) 헤더 값=도메인 이름 형식으로 여러 도메인에 대한 매핑을 지정합니다.

  예를 들어 도메인의 HTTP 헤더가 domainName이고 도메인1, 도메인2 또는 도메인3의 값을 가질 수 있는 상황을 생각해 보겠습니다. 이 경우 도메인 매핑을 사용하여 domainName 값을 사용자 관리 도메인 이름에 매핑합니다. 각 매핑은 다른 줄에 있어야 합니다.

  domain1=UMdomain1

  domain2=UMdomain2

  domain3=UMdomain3

SSO를 활성화하는 데 사용할 도메인을 결정합니다. AEM Forms 서버 및 사용자는 동일한 Windows 도메인 또는 트러스트된 도메인에 속해야 합니다.

Active Directory에서 AEM Forms 서버를 나타내는 사용자를 만듭니다. (사용자 계정 만들기를 참조하세요.) SPNEGO를 사용하도록 두 개 이상의 도메인을 구성하는 경우 이러한 각 사용자의 암호가 서로 다른지 확인하십시오. 암호가 다르지 않으면 SPNEGO SSO가 작동하지 않습니다.

서비스 사용자 이름을 매핑합니다. (SPN(서비스 사용자 이름) 매핑을 참조하십시오.)

도메인 컨트롤러를 구성합니다. (Kerberos 무결성 검사 실패 방지를 참조하십시오.)

도메인 추가 또는 기존 도메인 편집 및 변환에 설명된 대로 Enterprise 도메인을 추가하거나 편집합니다. Enterprise 도메인을 생성하거나 편집할 때 다음 작업을 수행합니다.

• Active Directory 정보가 포함된 디렉터리를 추가하거나 편집합니다.

• LDAP를 인증 공급자로 추가합니다.

• Kerberos를 인증 공급자로 추가합니다. Kerberos의 새 인증 또는 인증 편집 페이지에 다음 정보를 입력합니다.

  • 인증 공급자: Kerberos
  • DNS IP: AEM Forms가 실행되는 서버의 DNS IP 주소입니다. 명령줄에서 ipconfig/all을(를) 실행하여 이 IP 주소를 확인할 수 있습니다.
  • KDC 호스트: 인증에 사용되는 Active Directory 서버의 정규화된 호스트 이름 또는 IP 주소
  • 서비스 사용자: KtPass 도구에 전달된 SPN(서비스 사용자 이름)입니다. 앞에서 사용한 예제에서 서비스 사용자는 HTTP/lcserver.um.lc.com입니다.
  • Active Directory의 서비스 영역: 도메인 이름입니다. 앞에서 사용한 예제에서 도메인 이름은 UM.LC.COM.입니다.
  • 서비스 암호: 서비스 사용자의 암호입니다. 앞에서 사용한 예제에서 서비스 암호는 password입니다.
  • SPNEGO 활성화: SSO(Single Sign-On)를 위해 SPNEGO 사용을 활성화합니다. 이 옵션을 선택합니다.

SPNEGO 클라이언트 브라우저 설정을 구성합니다. (SPNEGO 클라이언트 브라우저 설정 구성을 참조하십시오.)

SPNEGO에서 AEM 양식을 나타내도록 도메인 컨트롤러의 Active Directory에 서비스를 사용자로 등록합니다. 도메인 컨트롤러에서 시작 메뉴 > 관리 도구 > Active Directory 사용자 및 컴퓨터로 이동합니다. 관리 도구가 시작 메뉴에 없으면 Campaign 컨트롤 패널을 사용하십시오.

사용자 폴더를 클릭하여 사용자 목록을 표시합니다.

사용자 폴더를 마우스 오른쪽 단추로 클릭하고 새로 만들기 > 사용자를 선택합니다.

이름/성 및 사용자 로그온 이름을 입력한 후 다음 을 클릭합니다. 예를 들어 다음 값을 설정합니다.

• 이름: umspnego
• 사용자 로그온 이름: spnegodemo

암호를 입력합니다. 예를 들어 암호(으)로 설정합니다. 암호 만료 안 함 을 선택하고 다른 옵션을 선택하지 않았는지 확인합니다.

다음 을 클릭한 다음 마침 을 클릭합니다.

KtPass 유틸리티를 가져옵니다. 이 유틸리티는 SPN을 REALM에 매핑하는 데 사용됩니다. Windows Server Tool Pack 또는 Resource Kit의 일부로 KtPass 유틸리티를 사용할 수 있습니다. (Windows Server 2003 서비스 팩 1 지원 도구를 참조하십시오.)

명령 프롬프트에서 다음 인수를 사용하여 ktpass을(를) 실행하십시오.

ktpass -princ HTTP/호스트 @영역 -mapuser사용자

예를 들어 다음 텍스트를 입력합니다.

ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo

제공해야 하는 값은 다음과 같이 설명되어 있습니다.

호스트: Forms 서버의 정규화된 이름 또는 고유한 URL입니다. 이 예제에서는 lcserver.um.lc.com으로 설정되어 있습니다.

영역: 도메인 컨트롤러에 대한 Active Directory 영역입니다. 이 예제에서는 UM.LC.COM으로 설정되어 있습니다. 대문자를 사용하여 영역을 입력해야 합니다. Windows 2003 영역을 확인하려면 다음 단계를 완료하십시오.

• 내 컴퓨터 를 마우스 오른쪽 단추로 클릭하고 속성 을 선택합니다.
• 컴퓨터 이름 탭을 클릭합니다. 도메인 이름 값은 영역 이름입니다.

사용자: 이전 작업에서 만든 사용자 계정의 로그인 이름입니다. 이 예제에서는 spnegodemo로 설정됩니다.

브라우저 URL 상자에 about:config

about:config - Mozilla Firefox 대화 상자가 나타납니다.

필터 상자에 negotiate을(를) 입력합니다.

표시된 목록에서 network.negotiate-auth.trusted-uri 를 클릭하고 환경에 맞게 다음 명령 중 하나를 입력합니다.

.um.lc.com- um.lc.com으로 끝나는 모든 URL에 대해 SPNEGO를 허용하도록 Firefox를 구성합니다. 점(“.”)을 포함해야 합니다. 시작 부분에서.

lcserver.um.lc.com - 특정 서버에만 SPNEGO를 허용하도록 Firefox를 구성합니다. 이 값은 점(“.”)으로 시작하지 마십시오.

애플리케이션에 액세스하여 구성을 테스트합니다. 대상 응용 프로그램에 대한 시작 페이지가 표시됩니다.