DocumentatieAEM 6.4Gids voor beheerders

SAML 2.0-verificatiehandler saml-authentication-handler

Last update: Thu May 04 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Gemaakt voor:

  • Admin
CAUTION
AEM 6.4 heeft het einde van de uitgebreide ondersteuning bereikt en deze documentatie wordt niet meer bijgewerkt. Raadpleeg voor meer informatie onze technische ondersteuningsperioden. Ondersteunde versies zoeken hier.

AEM schepen SAML verificatiehandler. Deze handler biedt ondersteuning voor de SAML 2.0 het Protocol van het Verzoek van de Authentificatie (Web-SSO profiel) gebruikend HTTP POST binding.

Het steunt:

  • ondertekening en versleuteling van berichten
  • automatisch maken van gebruikers
  • groepen synchroniseren met bestaande groepen in AEM
  • Serviceleverancier en identiteitsprovider hebben verificatie gestart

Deze handler slaat het gecodeerde SAML-responsbericht op in het user-node ( usernode/samlResponse) om de communicatie met een externe serviceprovider te vergemakkelijken.

NOTE
Zie een demonstratie van AEM en SAML-integratie.
Als u het einde van het communityartikel wilt lezen, klikt u op: SAML integreren met Adobe Experience Manager.

De SAML 2.0-verificatiehandler configureren configuring-the-saml-authentication-handler

De Webconsole verleent toegang tot SAML 2.0 de geroepen Configuratie van de Handler van de Authentificatie Adobe granite SAML 2.0-verificatiehandler. De volgende eigenschappen kunnen worden ingesteld.

NOTE
De SAML 2.0-verificatiehandler is standaard uitgeschakeld. U moet minstens één van de volgende eigenschappen plaatsen om de manager toe te laten:
  • De URL van de POST Identity Provider.
  • De Service Provider Entiteit ID.
NOTE
SAML-beweringen worden ondertekend en kunnen optioneel worden versleuteld. Dit werkt alleen als u ten minste het openbare certificaat van de Identiteitsprovider in de TrustStore opgeeft. Zie Het IdP-certificaat toevoegen aan de TrustStore voor meer informatie.

Pad Pad naar opslagplaats waarvoor deze verificatiehandler door Sling moet worden gebruikt. Als dit leeg is, zal de authentificatiemanager worden onbruikbaar gemaakt.

Servicereeks OSGi de Rangschikkende waarde van de Dienst van het Kader om op de orde te wijzen waarin om deze dienst te roepen. Dit is een geheel getal waarbij hogere waarden een hogere prioriteit aangeven.

IDP-certificaatalias De alias van het certificaat van IdP in globale truststore. Als deze eigenschap leeg is, wordt de verificatiehandler uitgeschakeld. Zie het hoofdstuk "Add the IdP Certificate to the AEM TrustStore" hieronder over hoe u het instelt.

URL van identiteitsprovider URL van IDP waar het verzoek van de Authentificatie van SAML zou moeten worden verzonden naar. Als deze eigenschap leeg is, wordt de verificatiehandler uitgeschakeld.

CAUTION
De hostnaam van de identiteitsprovider moet worden toegevoegd aan de Filter Apache Sling Referrer OSGi-configuratie. Zie de Webconsole voor meer informatie.

Entiteit Service Provider ID Id die deze serviceprovider op unieke wijze identificeert met de identiteitsprovider. Als deze eigenschap leeg is, wordt de verificatiehandler uitgeschakeld.

Standaardomleiding De standaardlocatie waarnaar moet worden omgeleid na geslaagde verificatie.

NOTE
Deze locatie wordt alleen gebruikt als de request-path cookie is niet ingesteld. Als u om het even welke pagina onder de gevormde weg zonder geldig login-teken verzoekt, wordt het gevraagde weg opgeslagen in een koekje
en de browser wordt opnieuw omgeleid naar deze locatie nadat de verificatie is voltooid.

Kenmerk gebruikersnaam De naam van het kenmerk met de gebruikers-id die wordt gebruikt voor het verifiëren en maken van de gebruiker in de CRX-opslagruimte.

NOTE
De gebruikersnaam wordt niet overgenomen uit de saml:Subject knooppunt van de SAML-bewering, maar vanuit dit saml:Attribute.

Codering gebruiken Of deze authentificatiemanager gecodeerde beweringen van SAML verwacht of niet.

CRX-gebruikers automatisch maken Al dan niet automatisch niet-bestaande gebruikers in de repository maken na succesvolle verificatie.

CAUTION
Als het automatisch maken van CRX-gebruikers is uitgeschakeld, moeten de gebruikers handmatig worden gemaakt.

Toevoegen aan groepen Of een gebruiker automatisch aan CRX groepen na succesvolle authentificatie zou moeten worden toegevoegd of niet.

Groepslidmaatschap The name of the sample:Attribute containing a list of CRX groups this user should be added to.

Het IdP-certificaat toevoegen aan de AEM TrustStore add-the-idp-certificate-to-the-aem-truststore

SAML-beweringen worden ondertekend en kunnen optioneel worden versleuteld. Dit werkt alleen als u ten minste het openbare certificaat van de IdP in de opslagplaats verstrekt. Hiervoor moet u:

  1. Ga naar http:/serveraddress:serverport/libs/granite/security/content/truststore.html

  2. Druk op Create TrustStore link

  3. Voer het wachtwoord voor de TrustStore in en druk op Save.

  4. Klikken op Manage TrustStore.

  5. Upload het IdP-certificaat.

  6. Noteer het certificaat Alias. De alias is admin#1436172864930 in het onderstaande voorbeeld.

    chlimage_1-372

De sleutel en certificaatketen van de Serviceleverancier toevoegen aan het AEM sleutelarchief add-the-service-provider-key-and-certificate-chain-to-the-aem-keystore

NOTE
De onderstaande stappen zijn verplicht, anders wordt de volgende uitzondering gegenereerd: com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
  1. Ga naar: http://localhost:4502/libs/granite/security/content/useradmin.html
  2. Bewerk de authentication-service gebruiker.
  3. Een KeyStore maken door op KeyStore maken krachtens Accountinstellingen.
NOTE
De onderstaande stappen zijn alleen vereist als de handler berichten kan ondertekenen of ontsleutelen.

  1. Upload het bestand met de persoonlijke sleutel door op Bestand met persoonlijke sleutel selecteren. De sleutel moet in PKCS#8 formaat met DER het coderen zijn.

  2. Het certificaatbestand uploaden door op Certificaatketenbestanden selecteren.

  3. Een alias toewijzen, zoals hieronder wordt getoond:

    chlimage_1-373

Vorm Logger voor SAML configure-a-logger-for-saml

U kunt opstelling een Logger om het even welke kwesties zuiveren die uit het misconfigureren SAML zouden kunnen voortvloeien. U kunt dit doen door:

  1. Ga naar de webconsole, op http://localhost:4502/system/console/configMgr

  2. Zoeken naar en klikken op het item dat wordt aangeroepen Logboekconfiguratie Apache Sling Logging

  3. Maak een logger met de volgende configuratie:

    • Logniveau: Foutopsporing
    • Logbestand: logs/saml.log
    • Logger: com.adobe.granite.auth.saml
recommendation-more-help
5ce3024a-cbea-458b-8b2f-f9b8dda516e8