SAML 2.0-autentiseringshanterare saml-authentication-handler

AEM levereras med en SAML-autentiseringshanterare. Hanteraren stöder SAML 2.0 Authentication Request Protocol (Web-SSO-profil) med bindningen HTTP POST.

Den stöder:

  • signering och kryptering av meddelanden
  • automatiskt skapa användare
  • synkronisera grupper med befintliga grupper i AEM
  • Tjänsteleverantören och identitetsleverantören initierade autentisering

Den här hanteraren lagrar det krypterade SAML-svarsmeddelandet i användarnoden ( usernode/samlResponse) för att underlätta kommunikationen med en tredjeparts tjänsteleverantör.

Konfigurera autentiseringshanteraren för SAML 2.0 configuring-the-saml-authentication-handler

Webbkonsolen ger åtkomst till autentiseringshanterarkonfigurationen SAML 2.0 med namnet Adobe Granite SAML 2.0 Authentication Handler. Följande egenskaper kan anges.

NOTE
Autentiseringshanteraren för SAML 2.0 är inaktiverad som standard. Aktivera hanteraren genom att ange minst en av följande egenskaper:
  • Identity Provider POST URL eller IDP URL.
  • Tjänstleverantörens enhets-ID.
NOTE
SAML-försäkringar är signerade och kan eventuellt krypteras. För att detta ska fungera måste du tillhandahålla minst det offentliga certifikatet för identitetsleverantören i TrustStore. Mer information finns i Lägga till IdP-certifikatet i avsnittet TrustStore.

Sökväg Databassökväg som den här autentiseringshanteraren ska användas för av Sling. Om detta är tomt inaktiveras autentiseringshanteraren.

Rankning av tjänst OSGi Framework Service Ranking-värde som anger i vilken ordning tjänsten ska anropas. Detta är ett heltalsvärde där högre värden anger högre prioritet.

IDP-certifikatalias Aliaset för IdP-certifikatet i det globala förtroendelagret. Om den här egenskapen är tom inaktiveras autentiseringshanteraren. Se kapitlet"Add the IdP Certificate to the AEM TrustStore" nedan om hur du konfigurerar det.

IDP URL för IDP där SAML-autentiseringsbegäran ska skickas. Om den här egenskapen är tom inaktiveras autentiseringshanteraren.

CAUTION
Identitetsproviderns värdnamn måste läggas till i OSGi-konfigurationen för Apache Sling Referrer Filter . Mer information finns i avsnittet Webbkonsol.

Tjänstleverantörens enhets-ID som unikt identifierar den här tjänstprovidern med identitetsprovidern. Om den här egenskapen är tom inaktiveras autentiseringshanteraren.

Standardomdirigering Standardplatsen att omdirigera till efter lyckad autentisering.

NOTE
Den här platsen används bara om cookien request-path inte har angetts. Om du begär en sida under den konfigurerade sökvägen utan en giltig inloggningstoken, lagras den begärda sökvägen i en cookie
och webbläsaren kommer att omdirigeras till den här platsen igen när autentiseringen är klar.

Användar-ID-attribut Namnet på attributet som innehåller det användar-ID som används för att autentisera och skapa användaren i CRX-databasen.

NOTE
Användar-ID:t hämtas inte från noden saml:Subject i SAML-försäkran utan från denna saml:Attribute.

Använd kryptering Om den här autentiseringshanteraren förväntar sig krypterade SAML-kontroller eller inte.

Skapa CRX-användare automatiskt Om icke-befintliga användare ska skapas automatiskt i databasen efter lyckad autentisering eller inte.

CAUTION
Om CRX-användare inte kan skapas automatiskt måste de skapas manuellt.

Lägg till i grupper Om en användare automatiskt ska läggas till i CRX-grupper efter lyckad autentisering eller inte.

Gruppmedlemskap Namnet på saml:Attribute som innehåller en lista över CRX-grupper som den här användaren ska läggas till i.

Lägg till IdP-certifikatet i AEM TrustStore add-the-idp-certificate-to-the-aem-truststore

SAML-försäkringar är signerade och kan eventuellt krypteras. För att detta ska fungera måste du ange minst det offentliga certifikatet för IdP i databasen. För att göra detta måste du:

  1. Gå till http:/serveraddress:serverport/libs/granite/security/content/truststore.html

  2. Tryck på Create TrustStore link

  3. Ange lösenordet för TrustStore och tryck på Save.

  4. Klicka på Manage TrustStore.

  5. Överför IdP-certifikatet.

  6. Notera certifikatet Alias. Aliaset är admin#1436172864930 i exemplet nedan.

    chlimage_1-372

Lägg till tjänstleverantörens nyckel och certifikatkedja i AEM nyckelbehållare add-the-service-provider-key-and-certificate-chain-to-the-aem-keystore

NOTE
Nedanstående steg är obligatoriska, annars kommer följande undantag att genereras: com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
  1. Gå till: http://localhost:4502/libs/granite/security/content/useradmin.html
  2. Redigera användaren authentication-service.
  3. Skapa en KeyStore genom att klicka på Create KeyStore under Kontoinställningar.
NOTE
Stegen nedan är bara obligatoriska om hanteraren ska kunna signera eller dekryptera meddelanden.
  1. Skapa certifikat/nyckelpar för AEM. Kommandot för att generera det via openssl bör likna exemplet nedan:

    openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out certificate.crt -keyout key.pem

  2. Konvertera nyckeln till PKCS#8-format med DER-kodning. Detta är det format som krävs för AEM nyckelbehållare.

    openssl pkcs8 -topk8 -inform PEM -outform DER -in key.pem -out key.der -nocrypt

  3. Överför filen med den privata nyckeln genom att klicka på Välj filen med den privata nyckeln.

  4. Ladda upp certifikatfilen genom att klicka på Välj certifikatkedjefiler.

  5. Tilldela ett alias enligt nedan:

    chlimage_1-373

Konfigurera en loggare för SAML configure-a-logger-for-saml

Du kan konfigurera en loggare för att felsöka problem som kan uppstå när SAML felkonfigureras. Du kan göra detta genom att:

  1. Gå till webbkonsolen, på http://localhost:4502/system/console/configMgr

  2. Sök efter och klicka på posten Konfiguration för Apache Sling Logger

  3. Skapa en loggare med följande konfiguration:

    • Loggnivå: Felsökning
    • Loggfil: logs/saml.log
    • Logger:.com.adobe.granite.auth.saml
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2