SAML 2.0-autentiseringshanterare saml-authentication-handler

AEM levererar en SAML autentiseringshanterare. Hanteraren har stöd för SAML 2.0 Authentication Request Protocol (Web-SSO-profil) med HTTP POST bindning.

Den stöder:

  • signering och kryptering av meddelanden
  • automatiskt skapa användare
  • synkronisera grupper med befintliga grupper i AEM
  • Tjänsteleverantören och identitetsleverantören initierade autentisering

Den här hanteraren lagrar det krypterade SAML-svarsmeddelandet i användarnoden ( usernode/samlResponse) för att underlätta kommunikationen med en tredjeparts tjänsteleverantör.

Konfigurera autentiseringshanteraren för SAML 2.0 configuring-the-saml-authentication-handler

The Webbkonsol ger åtkomst till SAML 2.0-konfiguration för autentiseringshanterare har anropats Autentiseringshanterare för Adobe Granite SAML 2.0. Följande egenskaper kan anges.

NOTE
Autentiseringshanteraren för SAML 2.0 är inaktiverad som standard. Aktivera hanteraren genom att ange minst en av följande egenskaper:
  • Identity Provider POST URL eller IDP URL.
  • Tjänstleverantörens enhets-ID.
NOTE
SAML-försäkringar är signerade och kan eventuellt krypteras. För att detta ska fungera måste du tillhandahålla minst det offentliga certifikatet för identitetsleverantören i TrustStore. Se Lägger till IdP-certifikatet till TrustStore för mer information.

Bana Databassökväg som den här autentiseringshanteraren ska användas för av Sling. Om detta är tomt inaktiveras autentiseringshanteraren.

Servicerangordning OSGi Framework Service Ranking-värde för att ange i vilken ordning tjänsten ska anropas. Detta är ett heltalsvärde där högre värden anger högre prioritet.

IDP-certifikatalias Aliaset för IdP:s certifikat i det globala förtroendearkivet. Om den här egenskapen är tom inaktiveras autentiseringshanteraren. Se kapitlet"Add the IdP Certificate to the AEM TrustStore" nedan om hur du konfigurerar det.

IDP-URL URL för den IDP dit SAML-autentiseringsbegäran ska skickas. Om den här egenskapen är tom inaktiveras autentiseringshanteraren.

CAUTION
Identitetsleverantörens värdnamn måste läggas till i Apache Sling Referer-filter OSGi-konfiguration. Se Webbkonsol för mer information.

Tjänstleverantörens enhets-ID ID som unikt identifierar den här tjänstleverantören med identitetsleverantören. Om den här egenskapen är tom inaktiveras autentiseringshanteraren.

Standardomdirigering Standardplatsen att omdirigera till efter lyckad autentisering.

NOTE
Den här platsen används bara om request-path cookie har inte angetts. Om du begär en sida under den konfigurerade sökvägen utan en giltig inloggningstoken, lagras den begärda sökvägen i en cookie
och webbläsaren kommer att omdirigeras till den här platsen igen när autentiseringen är klar.

Användar-ID-attribut Namnet på attributet som innehåller det användar-ID som används för att autentisera och skapa användaren i CRX-databasen.

NOTE
Användar-ID hämtas inte från saml:Subject noden i SAML-försäkran men från den saml:Attribute.

Använd kryptering Om den här autentiseringshanteraren förväntar sig krypterade SAML-försäkringar eller inte.

Skapa CRX-användare automatiskt Om icke-befintliga användare ska skapas automatiskt i databasen efter att autentiseringen lyckades eller inte.

CAUTION
Om det automatiska skapandet av CRX-användare är inaktiverat måste användarna skapas manuellt.

Lägg till i grupper Anger om en användare automatiskt ska läggas till i CRX-grupper efter lyckad autentisering.

Gruppmedlemskap Namnet på saml:Attribute som innehåller en lista med CRX-grupper som den här användaren ska läggas till i.

Lägg till IdP-certifikatet i AEM TrustStore add-the-idp-certificate-to-the-aem-truststore

SAML-försäkringar är signerade och kan eventuellt krypteras. För att detta ska fungera måste du ange minst det offentliga certifikatet för IdP i databasen. För att göra detta måste du:

  1. Gå till http:/serveraddress:serverport/libs/granite/security/content/truststore.html

  2. Tryck på Create TrustStore link

  3. Ange lösenordet för TrustStore och tryck på Save.

  4. Klicka på Manage TrustStore.

  5. Överför IdP-certifikatet.

  6. Notera certifikatet Alias. Aliaset är admin#1436172864930 i exemplet nedan.

    chlimage_1-372

Lägg till tjänstleverantörens nyckel och certifikatkedja i AEM nyckelbehållare add-the-service-provider-key-and-certificate-chain-to-the-aem-keystore

NOTE
Stegen nedan är obligatoriska, annars kommer följande undantag att inträffa: com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
  1. Gå till: http://localhost:4502/libs/granite/security/content/useradmin.html
  2. Redigera authentication-service användare.
  3. Skapa en KeyStore genom att klicka på Skapa KeyStore under Kontoinställningar.
NOTE
Stegen nedan är bara obligatoriska om hanteraren ska kunna signera eller dekryptera meddelanden.
  1. Skapa certifikat/nyckelpar för AEM. Kommandot för att generera det via openssl bör likna exemplet nedan:

    openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out certificate.crt -keyout key.pem

  2. Konvertera nyckeln till PKCS#8-format med DER-kodning. Detta är det format som krävs för AEM nyckelbehållare.

    openssl pkcs8 -topk8 -inform PEM -outform DER -in key.pem -out key.der -nocrypt

  3. Överför filen med den privata nyckeln genom att klicka på Välj privat nyckelfil.

  4. Överför certifikatfilen genom att klicka på Välj filer för certifikatkedja.

  5. Tilldela ett alias enligt nedan:

    chlimage_1-373

Konfigurera en loggare för SAML configure-a-logger-for-saml

Du kan konfigurera en loggare för att felsöka problem som kan uppstå när SAML felkonfigureras. Du kan göra detta genom att:

  1. Gå till webbkonsolen på http://localhost:4502/system/console/configMgr

  2. Sök efter och klicka på den anropade posten Konfiguration av loggningsloggare för Apache Sling

  3. Skapa en loggare med följande konfiguration:

    • Loggnivå: Felsök
    • Loggfil: logs/saml.log
    • Logger: com.adobe.granite.auth.saml
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2