단일 사인온 single-sign-on
SSO(Single Sign-On)를 사용하면 인증 자격 증명(사용자 이름 및 암호 등)을 한 번 제공한 후 여러 시스템에 액세스할 수 있습니다. 별도의 시스템(신뢰할 수 있는 인증자라고도 함)이 인증을 수행하고 Experience Manager에게 사용자 자격 증명을 제공합니다. Experience Manager은 사용자에 대한 액세스 권한을 확인하고 적용합니다(즉, 사용자가 액세스할 수 있는 리소스를 결정합니다).
SSO 인증 처리기 서비스(com.adobe.granite.auth.sso.impl.SsoAuthenticationHandler)는 신뢰할 수 있는 인증자가 제공하는 인증 결과를 처리합니다. SSO 인증 처리기는 다음 위치에서 SSO 식별자(SSID)를 특수 속성의 값으로 이 순서로 검색합니다.
- 요청 헤더
- 쿠키
- 요청 매개 변수
값이 발견되면 검색이 완료되고 이 값이 사용됩니다.
다음 두 서비스를 구성하여 SSID 를 저장하는 속성의 이름을 인식합니다.
- 로그인 모듈입니다.
- SSO 인증 서비스입니다.
두 서비스에 대해 동일한 속성 이름을 지정합니다. Repository.login에 제공된 SimpleCredentials에 특성이 포함되어 있습니다. 속성의 값은 상관없고 무시되며, 속성의 존재만으로도 중요하고 검증된다.
SSO 구성 configuring-sso
AEM 인스턴스에 대한 SSO를 구성하려면 SSO 인증 처리기를 구성합니다.
-
AEM을 사용하여 작업할 때 이러한 서비스에 대한 구성 설정을 관리할 수 있는 방법에는 몇 가지가 있습니다. 자세한 내용 및 권장 사례를 보려면 OSGi 구성을 참조하십시오.
예를 들어 NTLM 세트의 경우:
-
경로:(예:
/) -
헤더 이름:
LOGON_USER -
ID 형식:
^<DOMAIN>\\(.+)$여기서
<*DOMAIN*>은(는) 고유한 도메인 이름으로 대체됩니다.
CoSign의 경우:
- 경로:(예:
/) - 헤더 이름: remote_user
- ID 형식: 현재 상태
SiteMinder의 경우:
- 경로:(예:
/) - 헤더 이름: SM_USER
- ID 형식: 현재 상태
-
-
SSO(Single Sign-On)가 인증을 포함하여 필요에 따라 작동하는지 확인합니다.
disp_iis.ini- IIS
servervariables=1(IIS 서버 변수를 요청 헤더로 원격 인스턴스에 전달함)replaceauthorization=1("Basic" 이외의 "Authorization"이라는 헤더를 "Basic"에 해당하는 헤더로 바꾸기)
-
익명 액세스 사용 안 함
-
통합 Windows 인증 사용
Felix 콘솔의 인증자 옵션을 사용하여 콘텐츠 트리의 모든 섹션에 적용되는 인증 처리기를 확인할 수 있습니다. 예:
http://localhost:4502/system/console/slingauth
경로와 가장 일치하는 핸들러를 먼저 쿼리합니다. 예를 들어 / 경로에 대해 handler-A를 구성하고 /content 경로에 대해 handler-B를 구성한 경우 /content/mypage.html에 대한 요청이 먼저 handler-B를 쿼리합니다.
예 example
쿠키 요청(URL http://localhost:4502/libs/wcm/content/siteadmin.html 사용)의 경우:
GET /libs/cq/core/content/welcome.html HTTP/1.1
Host: localhost:4502
Cookie: TestCookie=admin
다음 구성 사용:
-
경로:
/ -
헤더 이름:
TestHeader -
쿠키 이름:
TestCookie -
매개 변수 이름:
TestParameter -
ID 형식:
AsIs
응답은 다음과 같습니다.
HTTP/1.1 200 OK
Connection: Keep-Alive
Server: Day-Servlet-Engine/4.1.24
Content-Type: text/html;charset=utf-8
Date: Thu, 23 Aug 2012 09:58:39 GMT
Transfer-Encoding: chunked
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "https://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<title>Welcome to Adobe® CQ5</title>
....
이는 다음 요청에도 작동합니다.http://localhost:4502/libs/cq/core/content/welcome.html?TestParameter=admin
또는 다음 curl 명령을 사용하여 TestHeader 헤더를 admin:(으)로 보낼 수 있습니다curl -D - -H "TestHeader: admin" http://localhost:4502/libs/cq/core/content/welcome.html
AEM 로그아웃 링크 제거 removing-aem-sign-out-links
SSO를 사용하는 경우 로그인 및 로그아웃이 외부에서 처리되므로 AEM의 자체 로그아웃 링크를 더 이상 적용할 수 없어 제거해야 합니다.
시작 화면의 로그아웃 링크는 다음 단계를 사용하여 제거할 수 있습니다.
-
/apps/cq/core/components/welcome/welcome.jsp에/libs/cq/core/components/welcome/welcome.jsp오버레이 -
jsp에서 다음 부분을 제거합니다.
<a href="#" onclick="signout('<%= request.getContextPath() %>');" class="signout"><%= i18n.get("sign out", "welcome screen") %>
오른쪽 상단의 사용자 개인 메뉴에서 사용할 수 있는 로그아웃 링크를 제거하려면 다음 단계를 따르십시오.
-
/apps/cq/ui/widgets/source/widgets/UserInfo.js에/libs/cq/ui/widgets/source/widgets/UserInfo.js오버레이 -
파일에서 다음 부품을 제거합니다.
code language-none menu.addMenuItem({ "text":CQ.I18n.getMessage("Sign out"), "cls": "cq-userinfo-logout", "handler": this.logout }); menu.addSeparator();