Single Sign-On inschakelen in AEM formulieren enabling-single-sign-on-in-aem-forms

AEM formulieren bieden twee manieren om SSO (Single Sign-On) - HTTP-headers en SPNEGO in te schakelen.

Wanneer SSO is geïmplementeerd, zijn de aanmeldingspagina's voor AEM formulieren niet vereist en worden deze niet weergegeven als de gebruiker al is geverifieerd via het bedrijfsportaal.

Als AEM formulieren een gebruiker niet kunnen verifiëren met een van deze methoden, wordt de gebruiker omgeleid naar een aanmeldingspagina.

SSO inschakelen met HTTP-headers enable-sso-using-http-headers

U kunt de Poortconfiguratiepagina gebruiken om enige sign-on (SSO) tussen toepassingen en om het even welke toepassing toe te laten die het overbrengen van de identiteit over de kopbal van HTTP steunt. Wanneer SSO is geïmplementeerd, zijn de aanmeldingspagina's voor AEM formulieren niet vereist en worden deze niet weergegeven als de gebruiker al is geverifieerd via het bedrijfsportaal.

U kunt SSO ook toelaten door SPNEGO te gebruiken. (Zie SSO inschakelen met SPNEGO.)

  1. Klik in de beheerconsole op Instellingen > Gebruikersbeheer > Configuratie > Portal kenmerken configureren.

  2. Selecteer Ja om SSO in te schakelen. Als u Nee selecteert, zijn de overige instellingen op de pagina niet beschikbaar.

  3. Stel de resterende opties op de pagina naar wens in en klik op OK:

    • SSO-type: (Verplicht) Selecteer HTTP-koptekst om SSO in te schakelen via HTTP-headers.

    • HTTP-header voor de id van de gebruiker: (Verplicht) Naam van de koptekst waarvan de waarde de unieke id van de aangemelde gebruiker bevat. Het Beheer van de gebruiker gebruikt deze waarde om de gebruiker in het gegevensbestand van het Gebruikersbeheer te vinden. De waarde die via deze header wordt verkregen, moet overeenkomen met de unieke id van de gebruiker die vanuit de LDAP-directory is gesynchroniseerd. (Zie Gebruikersinstellingen.)

    • De id-waarde wordt toegewezen aan de gebruikersnaam van de gebruiker in plaats van aan de unieke id van de gebruiker: Wijst de unieke-id van de gebruiker toe aan de gebruikersnaam. Selecteer deze optie als het unieke herkenningsteken van de gebruiker een binaire waarde is die niet gemakkelijk door de kopballen van HTTP kan worden verspreid (bijvoorbeeld, objectGUID als u gebruikers van Actieve Folder synchroniseert).

    • HTTP-header voor domein: (Niet verplicht) Naam van de koptekst waarvan de waarde de domeinnaam bevat. Gebruik deze instelling alleen als geen enkele HTTP-header de gebruiker uniek identificeert. Gebruik deze instelling voor gevallen waarin meerdere domeinen bestaan en de unieke id alleen binnen een domein uniek is. In dit geval geeft u de headernaam op in dit tekstvak en geeft u domeintoewijzing op voor de meerdere domeinen in het vak Domeintoewijzing. (Zie Bestaande domeinen bewerken en converteren.)

    • Domeintoewijzing: (Verplicht) Geeft toewijzing voor meerdere domeinen in de notatie aan header value=domain name.

      Neem bijvoorbeeld een situatie waarin de HTTP-header voor een domein domain domainName is en waarden van domain1, domain2 of domain3 kan hebben. In dit geval, gebruik domeinafbeelding om de domainName waarden aan de domeinnamen van het Beheer van de Gebruiker in kaart te brengen. Elke toewijzing moet op een andere regel staan:

      domain1=UMdomain1

      domain2=UMdomain2

      domain3=UMdomain3

Toegestane verwijzingen configureren configure-allowed-referers

Voor de stappen om toegelaten verwijzers te vormen, zie Toegestane verwijzingen configureren.

SSO inschakelen met SPNEGO enable-sso-using-spnego

U kunt het Eenvoudige en Beschermde Mechanisme van de Onderhandeling van GSSAPI (SPNEGO) gebruiken om enige sign-on (SSO) toe te laten wanneer het gebruiken van Actieve Folder als uw server LDAP in een milieu van Vensters. Als SSO is ingeschakeld, zijn de aanmeldingspagina's voor AEM formulieren niet vereist en worden deze niet weergegeven.

U kunt SSO ook toelaten door de kopballen van HTTP te gebruiken. (Zie SSO inschakelen met HTTP-headers.)

NOTE
AEM Forms op JEE steunt het vormen SSO gebruikend Kerberos/SPNEGO in een veelvoudige milieu's van het kinddomein niet.
  1. Bepaal welk domein om SSO toe te laten te gebruiken. De AEM Forms-server en de gebruikers moeten deel uitmaken van hetzelfde Windows-domein of vertrouwde domein.

  2. In Actieve Folder, creeer een gebruiker die de Server van AEM Forms vertegenwoordigt. (Zie Een gebruikersaccount maken.) Als u meer dan één domein om SPNEGO te gebruiken vormt, zorg ervoor dat de wachtwoorden voor elk van deze gebruikers verschillend zijn. Als de wachtwoorden niet verschillend zijn, werkt SPNEGO SSO niet.

  3. Wijs de de dienstbelangrijkste naam toe. (Zie Wijs een Belangrijkste Naam van de Dienst (SPN) toe.)

  4. Configureer de domeincontroller. (Zie Vermijd Kerberos integriteit-controle mislukkingen.)

  5. Een ondernemingsdomein toevoegen of bewerken zoals beschreven in Domeinen toevoegen of Bestaande domeinen bewerken en converteren. Wanneer u creeert of het ondernemingsdomein uitgeeft, voer deze taken uit:

    • Voeg of geef een folder uit die uw Actieve informatie van de Folder bevat.

    • Voeg LDAP toe als verificatieprovider.

    • Voeg Kerberos als authentificatieleverancier toe. Verstrek de volgende informatie over de Nieuwe pagina of geef de pagina van de Authentificatie voor Kerberos uit:

      • Verificatieprovider: Kerberos
      • DNS IP: Het DNS IP-adres van de server waarop AEM formulieren worden uitgevoerd. U kunt dit IP adres bepalen door te lopen ipconfig/all op de opdrachtregel.
      • KDC-host: Volledig - gekwalificeerde gastheernaam of IP adres van de Actieve server van de Folder die voor authentificatie wordt gebruikt
      • Servicegebruiker: De service principal name (SPN) die wordt doorgegeven aan het gereedschap KtPass. In het eerder gebruikte voorbeeld is de servicegebruiker HTTP/lcserver.um.lc.com.
      • Servicerealm: Domeinnaam voor Active Directory. In het eerder gebruikte voorbeeld is de domeinnaam UM.LC.COM.
      • Servicewachtwoord: Wachtwoord van de gebruiker van de dienst. In het eerder gebruikte voorbeeld is het servicewachtwoord password.
      • SPNEGO inschakelen: Hiermee wordt het gebruik van SPNEGO voor Single Sign-On (SSO) ingeschakeld. Selecteer deze optie.
  6. Configureer de instellingen van de SPNEGO-clientbrowser. (Zie Instellingen van SPNEGO-clientbrowser configureren.)

Een gebruikersaccount maken create-a-user-account

  1. In SPNEGO, registreer de dienst als gebruiker in Actieve Folder op het domeincontrolemechanisme om AEM vormen te vertegenwoordigen. Voor het domeincontrolemechanisme, ga het Menu van het Begin > Administratieve Hulpmiddelen > de Actieve Gebruikers en Computers van de Folder. Als de Administratieve Hulpmiddelen niet in het menu van het Begin is, gebruik het Controlebord.

  2. Klik op de map Users om een lijst met gebruikers weer te geven.

  3. Klik met de rechtermuisknop op de gebruikersmap en selecteer Nieuw > Gebruiker.

  4. Typ de voornaam/achternaam en de gebruikersnaam en klik op Volgende. Stel bijvoorbeeld de volgende waarden in:

    • Voornaam: umspnego
    • Naam gebruikersaanmelding: spnegodemo
  5. Typ een wachtwoord. Stel bijvoorbeeld in op password. Zorg ervoor dat de optie Wachtwoord nooit verloopt is geselecteerd en dat er geen andere opties zijn geselecteerd.

  6. Klik op Volgende en vervolgens op Voltooien.

Wijs een Belangrijkste Naam van de Dienst (SPN) toe map-a-service-principal-name-spn

  1. Haal het hulpprogramma KtPass op. Dit nut wordt gebruikt om SPN aan REALM in kaart te brengen. U kunt het nut KtPass als deel van het pak van het Hulpmiddel van de Server van Vensters of het Uitrusting van het Middel verkrijgen. (Zie Windows Server 2003 Service Pack 1 Support Tools.)

  2. In een bevelherinnering, looppas ktpass met de volgende argumenten:

    ktpass -princ HTTP/host @REALM -mapuseruser

    Typ bijvoorbeeld de volgende tekst:

    ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo

    De waarden die u moet verstrekken worden beschreven als volgt:

    host: Volledig gekwalificeerde naam van de Forms-server of elke unieke URL. In dit voorbeeld is deze ingesteld op lcserver.um.lc.com.

    REALM: Het Actieve domein van de Folder voor het domeincontrolemechanisme. In dit voorbeeld is deze ingesteld op UM.LC.COM. Zorg ervoor dat u het domein in hoofdletters invoert. Voer de volgende stappen uit om het domein voor Windows 2003 te bepalen:

    • Klik met de rechtermuisknop op Deze computer en selecteer Eigenschappen
    • Klik op het tabblad Computernaam. De waarde van de Naam van het Domein is de domeinnaam.

    gebruiker: De aanmeldnaam van de gebruikersaccount die u in de vorige taak hebt gemaakt. In dit voorbeeld is deze ingesteld op spnegodemo.

Als deze fout optreedt:

DsCrackNames returned 0x2 in the name entry for spnegodemo.
ktpass:failed getting target domain for specified user.

Geef de gebruiker op als spnegodemo@um.lc.com:

ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo

Vermijd Kerberos integriteit-controle mislukkingen prevent-kerberos-integrity-check-failures

  1. Voor het domeincontrolemechanisme, ga het Menu van het Begin > Administratieve Hulpmiddelen > de Actieve Gebruikers en Computers van de Folder. Als de Administratieve Hulpmiddelen niet in het menu van het Begin is, gebruik het Controlebord.
  2. Klik op de map Users om een lijst met gebruikers weer te geven.
  3. Klik met de rechtermuisknop op de gebruikersaccount die u in een vorige taak hebt gemaakt. In dit voorbeeld is de gebruikersaccount spnegodemo.
  4. Klik op Wachtwoord opnieuw instellen.
  5. Typ en bevestig hetzelfde wachtwoord dat u eerder hebt getypt. In dit voorbeeld wordt ingesteld op password.
  6. Schakel Wachtwoord wijzigen bij volgende aanmelding uit en klik op OK.

Instellingen van SPNEGO-clientbrowser configureren configuring-spnego-client-browser-settings

Voor op SPNEGO-Gebaseerde authentificatie om te werken, moet de cliëntcomputer deel van het domein uitmaken de gebruikersrekening wordt gecreeerd in. U moet cliëntbrowser ook vormen om op SPNEGO-Gebaseerde authentificatie toe te staan. Ook moet de site die verificatie op basis van SPNEGO vereist, een vertrouwde site zijn.

Als de server wordt betreden door de computernaam, zoals https://lcserver:8080 te gebruiken, worden geen montages vereist voor Internet Explorer. Als u een URL invoert die geen punten (".") bevat, behandelt Internet Explorer de site als een lokale intranetsite. Als u een volledig gekwalificeerde naam voor de site gebruikt, moet de site worden toegevoegd als een vertrouwde site.

Internet Explorer 6.x configureren

  1. Ga naar Extra > Internetopties en klik op het tabblad Beveiliging.
  2. Klik op het pictogram Lokaal intranet en klik vervolgens op Sites.
  3. Klik op Geavanceerd en typ in het vak Deze website toevoegen aan zone de URL van uw Forms-server. Typ bijvoorbeeld https://lcserver.um.lc.com
  4. Klik op OK totdat alle dialoogvensters zijn gesloten.
  5. Test de configuratie door de URL van uw AEM Forms-server te openen. Typ bijvoorbeeld in het vak URL van de browser https://lcserver.um.lc.com:8080/um/login?um_no_redirect=true

Mozilla Firefox configureren

  1. Typ in het vak URL van de browser about:config

    Het dialoogvenster Info:config - Mozilla Firefox wordt weergegeven.

  2. Typ in het vak Filter negotiate

  3. In de getoonde lijst, klik network.onderhandelingen-auth.trusted-uri en typ één van de volgende bevelen zoals aangewezen voor uw milieu:

    .um.lc.com- Configureert Firefox om SPNEGO toe te staan voor elke URL die eindigt met um.lc.com. Zorg ervoor dat u de punt (".") opneemt aan het begin.

    lcserver.um.lc.com - Vormt Firefox om SPNEGO voor uw specifieke server slechts toe te staan. Begin deze waarde niet met een punt (".").

  4. Test de configuratie door de toepassing te openen. De welkomstpagina voor de doeltoepassing moet worden weergegeven.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2