DokumentationAEMSjälvstudiekurser om AEMSjälvstudiekurser om AEM as a Cloud Service

SAML 2.0-autentisering saml-2-0-authentication

Last update: Mon Nov 04 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Ämnen:

Skapat för:

  • Mellanliggande
  • Utvecklare

Lär dig hur du konfigurerar och autentiserar slutanvändare (inte AEM författare) till en SAML 2.0-kompatibel IDP som du väljer.

Vilken SAML för AEM as a Cloud Service?

SAML 2.0-integrering med AEM Publish (eller Preview) gör det möjligt för slutanvändare av en AEM-baserad webbupplevelse att autentisera till en icke-Adobe IDP (Identity Provider) och få åtkomst AEM som namngiven, auktoriserad användare.

AEM
AEM Publish
Stöd för SAML 2.0
Förstå SAML 2.0-flödet med AEM

Det typiska flödet av en AEM Publish SAML-integrering är följande:

  1. Användaren begär att få AEM Publish att ange att autentisering krävs.

    • Användaren begär en CUG/ACL-skyddad resurs.
    • Användaren begär en resurs som är föremål för ett autentiseringskrav.
    • Användaren följer en länk till AEM inloggningsslutpunkt (dvs. /system/sling/login) som uttryckligen begär inloggningsåtgärden.

  2. AEM gör en AuthnRequest till IDP och begär att IDP ska starta autentiseringsprocessen.

  3. Användaren autentiserar mot IDP.

    • Användaren uppmanas att ange autentiseringsuppgifter av IDP:n.
    • Användaren är redan autentiserad med IDP och behöver inte ange ytterligare autentiseringsuppgifter.

  4. IDP genererar en SAML-försäkran som innehåller användarens data och signerar den med IDP:s privata certifikat.

  5. IDP skickar SAML-försäkran via HTTP-POST via användarens webbläsare till AEM Publish.

  6. AEM Publish får SAML-försäkran och validerar SAML-intygets integritet och autenticitet med IDP:s offentliga certifikat.

  7. AEM Publish hanterar den AEM användarposten baserat på SAML 2.0 OSGi-konfigurationen och innehållet i SAML Assertion.

    • Skapar användare
    • Synkroniserar användarattribut
    • Uppdateringar AEM användargruppsmedlemskap

  8. AEM Publish anger AEM login-token-cookien i HTTP-svaret, som används för att autentisera efterföljande begäranden till AEM Publish.

  9. AEM Publish dirigerar om användaren till en URL på AEM Publish enligt specifikationen i cookien saml_request_path.

Genomgång av konfiguration

https://video.tv.adobe.com/v/343040?quality=12&learn=on

I den här videon går vi igenom hur man konfigurerar SAML 2.0-integrering med AEM as a Cloud Service Publish och använder Okta som IDP.

Förutsättningar

Följande krävs när du konfigurerar SAML 2.0-autentisering:

  • Tillgång till Cloud Manager för Distributionshanteraren
  • AEM administratörsåtkomst till AEM as a Cloud Service-miljön
  • Administratörsåtkomst till IDP:n
  • Tillgång till ett offentligt/privat nyckelpar som används för att kryptera SAML-nyttolaster

SAML 2.0 stöds endast för att autentisera användning för att AEM Publish eller Preview. Integrera IDP med Adobe IMS om du vill hantera autentiseringen av AEM författare med hjälp av och IDP.

Installera det offentliga IDP-certifikatet på AEM

IDP:s offentliga certifikat läggs till i AEM Global Trust Store och används för att validera att SAML-försäkran som skickas av IDP är giltig.

SAML-kontrollsigneringsflöde

SAML 2.0 - IDP SAML Assertion signing

  1. Användaren autentiserar mot IDP.
  2. IDP genererar en SAML-försäkran som innehåller användarens data.
  3. IDP signerar SAML-försäkran med IDP:s privata certifikat.
  4. IDP initierar en HTTP-POST på klientsidan till AEM Publish SAML-slutpunkt (.../saml_login) som innehåller den signerade SAML-kontrollen.
  5. AEM Publish tar emot den HTTP-POST som innehåller den signerade SAML-försäkran, kan validera signaturen med det offentliga IDP-certifikatet.

Lägg till det offentliga IDP-certifikatet i Global Trust Store

  1. Hämta filen public certificate från IDP:n. Det här certifikatet gör att AEM kan validera SAML-försäkran som tillhandahålls AEM av IDP.

    Certifikatet är i PEM-format och bör likna:

    code language-none 
    -----BEGIN CERTIFICATE-----
MIIC4jCBAcoCCQC33wnybT5QZDANBgkqhkiG9w0BAQsFADAyMQswCQYDVQQGEwJV
...
m0eo2USlSRTVl7QHRTuiuSThHpLKQQ==
-----END CERTIFICATE-----

  2. Logga in AEM författare som AEM administratör.

  3. Navigera till Verktyg > Säkerhet > Lita på butik.

  4. Skapa eller öppna Global Trust Store. Om du skapar en Global Trust Store ska du spara lösenordet på ett säkert ställe.

  5. Expandera Lägg till certifikat från CER-fil.

  6. Välj Välj certifikatfil och överför certifikatfilen från IDP:n.

  7. Lämna mappningscertifikatet till användaren tomt.

  8. Välj Skicka.

  9. Det nya certifikatet visas ovanför avsnittet Lägg till certifikat från CRT-fil.

  10. Observera alias, eftersom det här värdet används i SAML 2.0 Authentication Handler OSGi-konfigurationen.

  11. Välj Spara och stäng.

Global Trust Store är konfigurerad med IDP:s offentliga certifikat på AEM Author, men eftersom SAML bara används på AEM Publish måste Global Trust Store replikeras till AEM Publish för att IDP:s offentliga certifikat ska vara tillgängligt där.

Replikera Global Trust Store till AEM Publish

  1. Navigera till Verktyg > Distribution > Paket.

  2. Skapa ett paket

    • Paketnamn: Global Trust Store
    • Version: 1.0.0
    • Grupp: com.your.company

  3. Redigera det nya paketet Global Trust Store.

  4. Markera fliken Filter och lägg till ett filter för rotsökvägen /etc/truststore.

  5. Välj Klar och sedan Spara.

  6. Välj knappen Skapa för paketet Global Trust Store .

  7. När du har skapat den väljer du Mer > Replikera för att aktivera noden Global Trust Store (/etc/truststore) för att AEM Publish.

Skapa nyckelbehållare för autentiseringstjänster authentication-service-keystore

Det krävs att du skapar en nyckelbehållare för autentiseringstjänsten när SAML 2.0-autentiseringshanterarens OSGi-konfigurationsegenskap handleLogout är inställd på true eller när AuthnRequest-signering/SAML-försäkrankrävs

  1. Logga in på AEM författare som AEM administratör för att överföra den privata nyckeln.

  2. Navigera till Verktyg > Dokumentskydd > Användare och välj authentication-service användare. Välj sedan Egenskaper i det övre åtgärdsfältet.

  3. Välj fliken Nyckelbehållare.

  4. Skapa eller öppna nyckelbehållaren. Om du skapar en nyckelbehållare ska du se till att lösenordet är säkert.

  5. Välj Spara och stäng.

  6. Skapa ett paket som innehåller den uppdaterade användaren authentication-service.

    Använd följande tillfälliga lösning med paket:

    1. Navigera till Verktyg > Distribution > Paket.

    2. Skapa ett paket

      • Paketnamn: Authentication Service
      • Version: 1.0.0
      • Grupp: com.your.company

    3. Redigera det nya nyckelarkivet för autentiseringstjänsten.

    4. Markera fliken Filter och lägg till ett filter för rotsökvägen /home/users/system/cq:services/internal/security/<AUTHENTICATION SERVICE UUID>/keystore.

      • Du hittar <AUTHENTICATION SERVICE UUID> genom att gå till Verktyg > Säkerhet > Användare och välja authentication-service-användare. UUID är den sista delen av URL:en.

    5. Välj Klar och sedan Spara.

    6. Välj knappen Skapa för nyckelarkivet för autentiseringstjänsten-paketet.

    7. Välj Mer > Replikera när du har skapat autentiseringstjänstens nyckelarkiv för att AEM Publish.

Installera AEM publika/privata nyckelpar install-aem-public-private-key-pair

Det är valfritt att installera det offentliga/privata nyckelparet AEM

AEM Publish kan konfigureras att signera AuthnRequests (till IDP) och kryptera SAML-försäkringar (till AEM). Detta uppnås genom att tillhandahålla en privat nyckel till AEM Publish, och den matchar den offentliga nyckeln till IDP.

Förstå signeringsflödet för AuthnRequest (valfritt)

AuthnRequest (begäran till IDP från AEM Publish som initierar inloggningsprocessen) kan signeras av AEM Publish. För att göra detta signerar AEM Publish AuthnRequest med hjälp av den privata nyckeln, som IDP sedan validerar signaturen med den offentliga nyckeln. Detta garanterar IDP att AuthnRequest initierades och begärdes av AEM Publish och inte av en skadlig tredje part.

SAML 2.0 - SP AuthnRequest-signering

  1. Användaren gör en HTTP-begäran till AEM Publish som resulterar i en SAML-autentiseringsbegäran till IDP:n.
  2. AEM Publish genererar SAML-begäran som ska skickas till IDP.
  3. AEM Publish signerar SAML-begäran med AEM privata nyckel.
  4. AEM Publish initierar AuthnRequest, en HTTP-klientomdirigering till IDP som innehåller den signerade SAML-begäran.
  5. IDP tar emot AuthnRequest och validerar signaturen med AEM publika nyckel, vilket garanterar AEM Publish initierade AuthnRequest.
  6. AEM Publish validerar sedan den dekrypterade SAML-kontrollens integritet och autenticitet med det offentliga IDP-certifikatet.
Förstå krypteringsflödet för SAML-försäkran (valfritt)

All HTTP-kommunikation mellan IDP och AEM Publish ska ske via HTTPS och därmed vara säker som standard. Om det behövs kan SAML-kontroller krypteras om extra sekretess krävs utöver HTTPS. För att göra detta krypterar IDP SAML-kontrolldata med den privata nyckeln och AEM Publish dekrypterar SAML-försäkran med den privata nyckeln.

SAML 2.0 - SP SAML-verifieringskryptering

  1. Användaren autentiserar mot IDP.
  2. IDP genererar en SAML-försäkran som innehåller användarens data och signerar den med IDP:s privata certifikat.
  3. IDP krypterar sedan SAML-försäkran med AEM offentlig nyckel, vilket kräver att den AEM privata nyckeln dekrypteras.
  4. Den krypterade SAML-kontrollen skickas via användarens webbläsare till AEM Publish.
  5. AEM Publish får SAML-försäkran och dekrypterar den med AEM privata nyckel.
  6. IDP uppmanar användaren att autentisera.

Både AuthnRequest-signering och SAML-verifieringskryptering är valfria, men båda är aktiverade med SAML 2.0-autentiseringshanterarens OSGi-konfigurationsegenskap useEncryption , vilket innebär att båda eller ingen kan användas.

AEM nyckelarkiv för autentiseringstjänst

  1. Hämta den offentliga nyckeln, privata nyckeln (PKCS#8 i DER-format) och certifikatkedjefilen (detta kan vara den offentliga nyckeln) som används för att signera AuthnRequest och kryptera SAML-försäkran. Nycklarna tillhandahålls vanligtvis av IT-organisationens säkerhetsteam.

    • Ett självsignerat nyckelpar kan genereras med openssl:
    code language-none 
    $ openssl req -x509 -sha256 -days 365 -newkey rsa:4096 -keyout aem-private.key -out aem-public.crt

# Provide a password (keep in safe place), and other requested certificate information

# Convert the keys to AEM's required format
$ openssl rsa -in aem-private.key -outform der -out aem-private.der
$ openssl pkcs8 -topk8 -inform der -nocrypt -in aem-private.der -outform der -out aem-private-pkcs8.der

  2. Överför den offentliga nyckeln till IDP.

    • Med metoden openssl ovan är den offentliga nyckeln filen aem-public.crt.

  3. Logga in på AEM författare som AEM administratör för att överföra den privata nyckeln.

  4. Navigera till Verktyg > Säkerhet > Lita på butik och välj authentication-service användare. Välj sedan Egenskaper i det övre åtgärdsfältet.

  5. Navigera till Verktyg > Dokumentskydd > Användare och välj authentication-service användare. Välj sedan Egenskaper i det övre åtgärdsfältet.

  6. Välj fliken Nyckelbehållare.

  7. Skapa eller öppna nyckelbehållaren. Om du skapar en nyckelbehållare ska du se till att lösenordet är säkert.

  8. Välj Lägg till privat nyckel från DER-filen och lägg till den privata nyckeln och kedjefilen i AEM:

    • Alias: Ange ett beskrivande namn, ofta namnet på IDP:n.
    • Privat nyckelfil: Överför den privata nyckelfilen (PKCS#8 i DER-format).
      • Med metoden openssl ovan är detta filen aem-private-pkcs8.der
    • Välj certifikatkedjefil: Överför den medföljande kedjefilen (det kan vara den offentliga nyckeln).
      • Med metoden openssl ovan är detta filen aem-public.crt
    • Välj Skicka

  9. Det nya certifikatet visas ovanför avsnittet Lägg till certifikat från CRT-fil.

  10. Välj Spara och stäng.

  11. Skapa ett paket som innehåller den uppdaterade användaren authentication-service.

    Använd följande tillfälliga lösning med paket:

    1. Navigera till Verktyg > Distribution > Paket.

    2. Skapa ett paket

      • Paketnamn: Authentication Service
      • Version: 1.0.0
      • Grupp: com.your.company

    3. Redigera det nya nyckelarkivet för autentiseringstjänsten.

    4. Markera fliken Filter och lägg till ett filter för rotsökvägen /home/users/system/cq:services/internal/security/<AUTHENTICATION SERVICE UUID>/keystore.

      • Du hittar <AUTHENTICATION SERVICE UUID> genom att gå till Verktyg > Säkerhet > Användare och välja authentication-service-användare. UUID är den sista delen av URL:en.

    5. Välj Klar och sedan Spara.

    6. Välj knappen Skapa för nyckelarkivet för autentiseringstjänsten-paketet.

    7. Välj Mer > Replikera när du har skapat autentiseringstjänstens nyckelarkiv för att AEM Publish.

Konfigurera autentiseringshanteraren för SAML 2.0 configure-saml-2-0-authentication-handler

AEM SAML-konfigurationen utförs via OSGi-konfigurationen Adobe Granite SAML 2.0 Authentication Handler .
Konfigurationen är en OSGi-fabrikskonfiguration, vilket innebär att en enda AEM as a Cloud Service Publish-tjänst kan ha flera SAML-konfigurationsträd som täcker diskreta resursträd i databasen. Detta är användbart vid driftsättning AEM flera platser.

Konfigurationsordlista för SAML 2.0 Authentication Handler OSGi

Adobe Granite SAML 2.0 Authentication Handler OSGi configuration configure-saml-2-0-authentication-handler-osgi-configuration

table 0-row-6 1-row-6 2-row-6 3-row-6 4-row-6 5-row-6 6-row-6 7-row-6 8-row-6 9-row-6 10-row-6 11-row-6 12-row-6 13-row-6 14-row-6 15-row-6 16-row-6 17-row-6 18-row-6 19-row-6 20-row-6 21-row-6 22-row-6 23-row-6 24-row-6 25-row-6 26-row-6 27-row-6 3-align-center 4-align-center 10-align-center 11-align-center 17-align-center 18-align-center 24-align-center 25-align-center 31-align-center 32-align-center 38-align-center 39-align-center 45-align-center 46-align-center 52-align-center 53-align-center 59-align-center 60-align-center 66-align-center 67-align-center 73-align-center 74-align-center 80-align-center 81-align-center 87-align-center 88-align-center 94-align-center 95-align-center 101-align-center 102-align-center 108-align-center 109-align-center 115-align-center 116-align-center 122-align-center 123-align-center 129-align-center 130-align-center 136-align-center 137-align-center 143-align-center 144-align-center 150-align-center 151-align-center 157-align-center 158-align-center 164-align-center 165-align-center 171-align-center 172-align-center 178-align-center 179-align-center 185-align-center 186-align-center 192-align-center 193-align-center
OSGi, egenskap Obligatoriskt Värdeformat Standardvärde Beskrivning
Banor path Strängarray / AEM sökvägar som den här autentiseringshanteraren används för.
IDP-URL idpUrl Sträng IDP-URL som SAML-autentiseringsbegäran skickas till.
ID-certifikatalias idpCertAlias Sträng Aliaset för IDP-certifikatet som finns i AEM Global Trust Store
IDP HTTP-omdirigering idpHttpRedirect Boolean false Anger om en HTTP-omdirigering till IDP-URL:en används i stället för att en AuthnRequest skickas. Ange till true för IDP-initierad autentisering.
IDP-identifierare idpIdentifier Sträng Unikt ID för att säkerställa att AEM användare och grupper är unika. Om den är tom används serviceProviderEntityId i stället.
URL för konsumenttjänst för försäkran assertionConsumerServiceURL Sträng URL-attributet AssertionConsumerServiceURL i AuthnRequest som anger var meddelandet <Response> måste skickas till AEM.
SP-enhets-ID serviceProviderEntityId Sträng Identifierar AEM till IDP, vanligtvis det AEM värdnamnet.
SP-kryptering useEncryption Boolean true Anger om IDP krypterar SAML-försäkringar. Kräver att spPrivateKeyAlias och keyStorePassword anges.
Lösenordsalias för privat nyckel spPrivateKeyAlias Sträng Aliaset för den privata nyckeln i användarens nyckelarkiv för authentication-service. Krävs om useEncryption är inställt på true.
Lösenord för SP-nyckelarkiv keyStorePassword Sträng Lösenordet för användarens nyckellager för authentication-service. Krävs om useEncryption är inställt på true.
Standardomdirigering defaultRedirectUrl Sträng / Standardomdirigerings-URL efter lyckad autentisering. Kan vara relativ till AEM (till exempel /content/wknd/us/en/html).
Användar-ID-attribut userIDAttribute Sträng uid Namnet på SAML-kontrollattributet som innehåller användar-ID:t för den AEM användaren. Lämna tomt om du vill använda Subject:NameId.
Skapa AEM användare automatiskt createUser Boolean true Anger om AEM användare skapas vid lyckad autentisering.
AEM användarmellanliggande sökväg userIntermediatePath Sträng När du skapar AEM används det här värdet som mellanliggande sökväg (till exempel /home/users/<userIntermediatePath>/jane@wknd.com). createUser måste anges till true.
AEM synchronizeAttributes Strängarray Lista med SAML-attributmappningar som ska lagras på den AEM användaren i formatet [ "saml-attribute-name=path/relative/to/user/node" ] (till exempel [ "firstName=profile/givenName" ]). Se den fullständiga listan över AEM.
Lägg till användare i AEM addGroupMemberships Boolean true Anger om en AEM automatiskt läggs till i AEM användargrupper efter lyckad autentisering.
AEM groupMembershipAttribute Sträng groupMembership Namnet på SAML-kontrollattributet som innehåller en lista AEM användargrupper som användaren ska läggas till i. addGroupMemberships måste anges till true.
AEM defaultGroups Strängarray En lista AEM autentiserade användare i användargrupper läggs alltid till (till exempel [ "wknd-user" ]). addGroupMemberships måste anges till true.
NameIDPolicy-format nameIdFormat Sträng urn:oasis:names:tc:SAML:2.0:nameid-format:transient Värdet på formatparametern NameIDPolicy som ska skickas i AuthnRequest-meddelandet.
Spara SAML-svar storeSAMLResponse Boolean false Anger om värdet samlResponse lagras på noden AEM cq:User.
Hantera utloggning handleLogout Boolean false Anger om utloggningsbegäran hanteras av den här SAML-autentiseringshanteraren. Kräver att logoutUrl anges.
Utloggnings-URL logoutUrl Sträng IDP:s URL dit SAML-utloggningsbegäran skickas. Krävs om handleLogout är inställt på true.
Klocktolerans clockTolerance Heltal 60 IDP och AEM (SP), klockskevningstolerans vid validering av SAML-försäkran.
Sammanfattningsmetod digestMethod Sträng http://www.w3.org/2001/04/xmlenc#sha256 Den sammandragsalgoritm som IDP använder vid signering av ett SAML-meddelande.
Signaturmetod signatureMethod Sträng http://www.w3.org/2001/04/xmldsig-more#rsa-sha256 Den signaturalgoritm som IDP använder när ett SAML-meddelande signeras.
Identitetssynkroniseringstyp identitySyncType default eller idp default Ändra inte from som standard för AEM as a Cloud Service.
Servicerankning service.ranking Heltal 5002 Högre rangordningskonfigurationer rekommenderas för samma path.

AEM aem-user-attributes

AEM använder följande användarattribut, som kan fyllas i via egenskapen synchronizeAttributes i Adobe Granite SAML 2.0 Authentication Handler OSGi-konfigurationen. Alla IDP-attribut kan synkroniseras med valfri AEM användaregenskap, men mappning till AEM använd attributegenskaper (som listas nedan) gör att AEM kan använda dem på ett naturligt sätt.

table 0-row-2 1-row-2 2-row-2 3-row-2 4-row-2 5-row-2 6-row-2 7-row-2 8-row-2 9-row-2 10-row-2 11-row-2
Användarattribut Relativ egenskapssökväg från noden rep:User
Titel (till exempel Mrs) profile/title
Förnamn (dvs förnamn) profile/givenName
Efternamn (t.ex. efternamn) profile/familyName
Befattning profile/jobTitle
E-postadress profile/email
Gatuadress profile/street
Ort profile/city
Postnummer profile/postalCode
Land profile/country
Telefonnummer profile/phoneNumber
Om mig profile/aboutMe

  1. Skapa en OSGi-konfigurationsfil i ditt projekt på /ui.config/src/main/content/jcr_root/wknd-examples/osgiconfig/config.publish/com.adobe.granite.auth.saml.SamlAuthenticationHandler~saml.cfg.json och öppna den i din IDE.

    • Ändra /wknd-examples/ till din /<project name>/
    • Identifieraren efter ~ i filnamnet bör unikt identifiera den här konfigurationen, så det kan vara namnet på IDP:n, till exempel ...~okta.cfg.json. Värdet ska vara alfanumeriskt med bindestreck.

  2. Klistra in följande JSON i filen com.adobe.granite.auth.saml.SamlAuthenticationHandler~...cfg.json och uppdatera wknd-referenserna efter behov.

    code language-json 
    {
    "path": [ "/content/wknd", "/content/dam/wknd" ],
    "idpCertAlias": "$[env:SAML_IDP_CERT_ALIAS;default=certalias___1652125559800]",
    "idpIdentifier": "$[env:SAML_IDP_ID;default=http://www.okta.com/exk4z55r44Jz9C6am5d7]",
    "idpUrl": "$[env:SAML_IDP_URL;default=https://dev-5511372.okta.com/app/dev-5511372_aemasacloudservice_1/exk4z55r44Jz9C6am5d7/sso/saml]",
    "serviceProviderEntityId": "$[env:SAML_AEM_ID;default=https://publish-p123-e456.adobeaemcloud.com]",
    "useEncryption": false,
    "createUser": true,
    "userIntermediatePath": "wknd/idp",
    "synchronizeAttributes":[
        "firstName=profile/givenName"
    ],
    "addGroupMemberships": true,
    "defaultGroups": [
        "wknd-users"
    ]
}

  3. Uppdatera de värden som krävs för projektet. Se SAML 2.0 Authentication Handler OSGi configuration glossary ovan för beskrivningar av konfigurationsegenskaper

  4. Vi rekommenderar, men behöver inte göra det, att du använder OSGi-miljövariabler och hemligheter när värdena kan ändras osynkroniserade med versionscykeln eller när värdena skiljer sig åt mellan liknande miljötyper/tjänstnivåer. Standardvärden kan anges med syntaxen $[env:..;default=the-default-value]" enligt ovan.

OSGi-konfigurationer per miljö (config.publish.dev, config.publish.stage och config.publish.prod) kan definieras med specifika attribut om SAML-konfigurationen varierar mellan olika miljöer.

Använd kryptering

När krypterar AuthnRequest och SAML-försäkran krävs följande egenskaper: useEncryption, spPrivateKeyAlias och keyStorePassword. keyStorePassword innehåller ett lösenord och därför får värdet inte lagras i OSGi-konfigurationsfilen utan injiceras med hemliga konfigurationsvärden

Som tillval kan du uppdatera OSGi-konfigurationen så att kryptering används

  1. Öppna /ui.config/src/main/content/jcr_root/wknd-examples/osgiconfig/config.publish/com.adobe.granite.auth.saml.SamlAuthenticationHandler~saml.cfg.json i din IDE.

  2. Lägg till de tre egenskaperna useEncryption, spPrivateKeyAlias och keyStorePassword enligt nedan.

    code language-json 
    {
"path": [ "/content/wknd", "/content/dam/wknd" ],
"idpCertAlias": "$[env:SAML_IDP_CERT_ALIAS;default=certalias___1234567890]",
"idpIdentifier": "$[env:SAML_IDP_ID;default=http://www.okta.com/abcdef1235678]",
"idpUrl": "$[env:SAML_IDP_URL;default=https://dev-5511372.okta.com/app/dev-123567890_aemasacloudservice_1/abcdef1235678/sso/saml]",
"serviceProviderEntityId": "$[env:SAML_AEM_ID;default=https://publish-p123-e456.adobeaemcloud.com]",
"useEncryption": true,
"spPrivateKeyAlias": "$[env:SAML_AEM_KEYSTORE_ALIAS;default=aem-saml-encryption]",
"keyStorePassword": "$[secret:SAML_AEM_KEYSTORE_PASSWORD]",
"createUser": true,
"userIntermediatePath": "wknd/idp"
"synchronizeAttributes":[
    "firstName=profile/givenName"
],
"addGroupMemberships": true,
"defaultGroups": [
    "wknd-users"
]
}

  3. De tre OSGi-konfigurationsegenskaperna som krävs för kryptering är:

  • useEncryption inställd på true
  • spPrivateKeyAlias innehåller nyckelbehållarpostens alias för den privata nyckel som används av SAML-integreringen.
  • keyStorePassword innehåller en OSGi-hemlig konfigurationsvariabelsom innehåller lösenordet för användarens nyckelbehållare authentication-service.

Konfigurera referensfilter

Under SAML-autentiseringsprocessen initierar IDP en HTTP-POST på klientsidan som AEM Publish .../saml_login-slutpunkten. Om IDP och AEM Publish finns på en annan ursprung, konfigureras AEM Publish referensfilter via OSGi-konfigurationen så att HTTP POST från IDP:ens ursprung tillåts.

  1. Skapa (eller redigera) en OSGi-konfigurationsfil i ditt projekt på /ui.config/src/main/content/jcr_root/wknd-examples/osgiconfig/config.publish/org.apache.sling.security.impl.ReferrerFilter.cfg.json.

    • Ändra /wknd-examples/ till din /<project name>/

  2. Kontrollera att värdet allow.empty är inställt på true, att allow.hosts (eller om du föredrar allow.hosts.regexp) innehåller IDP:ns ursprung och att filter.methods inkluderar POST. OSGi-konfigurationen ska vara som:

    code language-json 
    {
    "allow.empty": true,
    "allow.hosts.regexp": [ ],
    "allow.hosts": [
        "$[env:SAML_IDP_REFERRER;default=dev-123567890.okta.com]"
    ],
    "filter.methods": [
        "POST",
    ],
    "exclude.agents.regexp": [ ]
}

AEM Publish har stöd för en enda konfiguration av referensfilter, så sammanfoga SAML-konfigurationskraven med befintliga konfigurationer.

OSGi-konfigurationer per miljö (config.publish.dev, config.publish.stage och config.publish.prod) kan definieras med specifika attribut om allow.hosts (eller allow.hosts.regex) varierar mellan miljöer.

Konfigurera Cross-Origin Resource Sharing (CORS)

Under SAML-autentiseringsprocessen initierar IDP en HTTP-POST på klientsidan som AEM Publish .../saml_login-slutpunkten. Om IDP och AEM Publish finns på olika värdar/domäner måste AEM Publish CRoss-Origin Resource Sharing (CORS) konfigureras så att HTTP POST tillåts från IDP:s värd/domän.

Rubriken Origin för den här HTTP-POSTEN har vanligtvis ett annat värde än den AEM Publish-värden, vilket kräver CORS-konfiguration.

När SAML-autentisering testas på den lokala AEM SDK (localhost:4503) kan IDP ange Origin header som null. Om så är fallet lägger du till "null" i listan alloworigin.

  1. Skapa en OSGi-konfigurationsfil i ditt projekt på /ui.config/src/main/content/jcr_root/wknd-examples/osgiconfig/config.publish/com.adobe.granite.cors.impl.CORSPolicyImpl~saml.cfg.json

    • Ändra /wknd-examples/ till ditt projektnamn
    • Identifieraren efter ~ i filnamnet bör unikt identifiera den här konfigurationen, så det kan vara namnet på IDP:n, till exempel ...CORSPolicyImpl~okta.cfg.json. Värdet ska vara alfanumeriskt med bindestreck.

  2. Klistra in följande JSON i filen com.adobe.granite.cors.impl.CORSPolicyImpl~...cfg.json.

{
    "alloworigin": [
        "$[env:SAML_IDP_ORIGIN;default=https://dev-1234567890.okta.com]",
        "null"
    ],
    "allowedpaths": [
        ".*/saml_login"
    ],
    "supportedmethods": [
        "POST"
    ]
}

OSGi-konfigurationer per miljö (config.publish.dev, config.publish.stage och config.publish.prod) kan definieras med specifika attribut om alloworigin och allowedpaths varierar mellan miljöer.

Konfigurera AEM Dispatcher så att SAML HTTP POST tillåts

När autentiseringen till IDP är klar kommer IDP att dirigera en HTTP-POST tillbaka till AEM registrerade /saml_login-slutpunkten (konfigurerad i IDP). Den här HTTP-POSTEN till /saml_login blockeras som standard i Dispatcher, så den måste uttryckligen tillåtas med följande Dispatcher-regel:

  1. Öppna dispatcher/src/conf.dispatcher.d/filters/filters.any i din IDE.
  2. Lägg till längst ned i filen, en Tillåt-regel för HTTP POST i URL:er som slutar med /saml_login.
...

# Allow SAML HTTP POST to ../saml_login end points
/0190 { /type "allow" /method "POST" /url "*/saml_login" }

Om URL-omskrivning på Apache-webbservern är konfigurerad (dispatcher/src/conf.d/rewrites/rewrite.rules) kontrollerar du att begäranden till .../saml_login-slutpunkterna inte av misstag bemannas.

Aktivera dynamiskt gruppmedlemskap för SAML-användare i nya miljöer

För att avsevärt förbättra prestandan vid grupputvärdering i nya AEM as a Cloud Service-miljöer rekommenderas aktivering av funktionen för dynamiskt gruppmedlemskap i nya miljöer.
Detta är också ett nödvändigt steg när datasynkronisering aktiveras. Mer information här.
Det gör du genom att lägga till följande egenskap i OSGI-konfigurationsfilen:

/apps/example/osgiconfig/config.publish/com.adobe.granite.auth.saml.SamlAuthenticationHandler~example.cfg.json

Med den här konfigurationen skapas användare och grupper som Oak externa användare. I AEM har externa användare och grupper standardvärdet rep:principalName som består av [user name];[idp] eller [group name];[idp].
Observera att ACL (Access Control Lists) associeras med PrincipalName för användare eller grupper.
När den här konfigurationen distribueras i en befintlig distribution där tidigare identitySyncType inte har angetts eller angetts till default, skapas nya användare och grupper och ACL måste tillämpas på de nya användarna och grupperna. Observera att externa grupper inte kan innehålla lokala användare. Repoinit kan användas för att skapa ACL för externa SAML-grupper, även om de bara skapas när användaren utför en inloggning.
För att undvika den här omfaktoriseringen för ACL har en migreringsfunktion som standard implementerats.

Hur medlemskap lagras i lokala och externa grupper med dynamiskt gruppmedlemskap

På lokala grupper lagras gruppmedlemmarna i ekattributet: rep:members. Attributet innehåller listan med uid för varje medlem i gruppen. Ytterligare information finns här.
Exempel:

{
  "jcr:primaryType": "rep:Group",
  "rep:principalName": "operators",
  "rep:managedByIdp": "SAML",
  "rep:members": [
    "635afa1c-beeb-3262-83c4-38ea31e5549e",
    "5e496093-feb6-37e9-a2a1-7c87b1cec4b0",
    ...
  ],
   ...
}

Externa grupper med dynamiskt gruppmedlemskap lagrar inga medlemmar i gruppposten.
Gruppmedlemskapet lagras i stället i användarens poster. Ytterligare dokumentation finns här. Detta är t.ex. OAK-noden för gruppen:

{
  "jcr:primaryType": "rep:Group",
  "jcr:mixinTypes": [
    "rep:AccessControllable"
  ],
  "jcr:createdBy": "",
  "jcr:created": "Tue Jul 16 2024 08:58:47 GMT+0000",
  "rep:principalName": "GROUP_1;aem-saml-idp-1",
  "rep:lastSynced": "Tue Jul 16 2024 08:58:47 GMT+0000",
  "jcr:uuid": "d9c6af8a-35c0-3064-899a-59af55455cd0",
  "rep:externalId": "GROUP_1;aem-saml-idp-1",
  "rep:authorizableId": "GROUP_1;aem-saml-idp-1"
}

Det här är noden för en användarmedlem i den gruppen:

{
  "jcr:primaryType": "rep:User",
  "jcr:mixinTypes": [
    "rep:AccessControllable"
  ],
  "surname": "Test",
  "rep:principalName": "testUser",
  "rep:externalId": "test;aem-saml-idp-1",
  "rep:authorizableId": "test",
  "rep:externalPrincipalNames": [
    "projects-users;aem-saml-idp-1",
    "GROUP_2;aem-saml-idp-1",
    "GROUP_1;aem-saml-idp-1",
    "operators;aem-saml-idp-1"
  ],
  ...
}

Automatisk migrering till dynamiskt gruppmedlemskap för befintliga miljöer

När migreringen är aktiverad utförs den under användarautentiseringen och består av följande steg:

  1. Den lokala användaren migreras till en extern användare samtidigt som det ursprungliga användarnamnet bevaras. Det innebär att migrerade lokala användare, som nu fungerar som externa användare, behåller sitt ursprungliga användarnamn i stället för att följa den namnsyntax som nämndes i föregående avsnitt. Ytterligare en egenskap läggs till med namnet rep:externalId och värdet [user name];[idp]. Användaren PrincipalName har inte ändrats.
  2. För varje extern grupp som tas emot i SAML-försäkran skapas en extern grupp. Om det finns en motsvarande lokal grupp läggs den externa gruppen till som medlem i den lokala gruppen.
  3. Användaren läggs till som medlem i den externa gruppen.
  4. Den lokala användaren tas sedan bort från alla lokala Saml-grupper han var medlem i. Saml lokala grupper identifieras av OAK-egenskapen: rep:managedByIdp. Den här egenskapen anges av hanteraren för Saml-autentisering när attributet syncType inte har angetts eller angetts till default.

Om migreringen user1 till exempel är en lokal användare och medlem i den lokala gruppen group1 sker följande ändringar efter migreringen:
user1 blir en extern användare. Attributet rep:externalId har lagts till i den här profilen.
user1 blir medlem i den externa gruppen: group1;idp
user1 är inte längre en direkt medlem i den lokala gruppen: group1
group1;idp är medlem i den lokala gruppen: group1.
user1 är sedan medlem i den lokala gruppen: group1 genom arv

Gruppmedlemskapet för externa grupper lagras i användarprofilen i attributet rep:authorizableId

Konfigurera automatisk migrering till dynamiskt gruppmedlemskap

  1. Aktivera egenskapen "identitySyncType": "idp_dynamic_simplified_id" i SAML OSGI-konfigurationsfilen: com.adobe.granite.auth.saml.SamlAuthenticationHandler~...cfg.json:
  2. Konfigurera den nya OSGI-tjänsten med PID: com.adobe.granite.auth.saml.migration.SamlDynamicGroupMembershipMigration~... med egenskapen:
{
  "idpIdentifier": "<vaule of identitySyncType of saml configuration to be migrated>"
}

Distribuera SAML-konfiguration

OSGi-konfigurationerna måste implementeras i Git och distribueras till AEM as a Cloud Service med Cloud Manager.

$ git remote -v
adobe   https://git.cloudmanager.adobe.com/myOrg/myCloudManagerGit/ (fetch)
adobe   https://git.cloudmanager.adobe.com/myOrg/myCloudManagerGit/ (push)
$ git add .
$ git commit -m "SAML 2.0 configurations"
$ git push adobe saml-auth:develop

Distribuera Cloud Manager Git-målgrenen (i det här exemplet develop) med hjälp av en pipeline för distribution av Full Stack.

Anropa SAML-autentisering

SAML-autentiseringsflödet kan anropas från en AEM webbplats genom att skapa en länk eller en knapp. Parametrarna som beskrivs nedan kan ställas in programmatiskt efter behov, så en inloggningsknapp kan till exempel ställa in saml_request_path, som är den plats där användaren tas vid lyckad SAML-autentisering, på olika AEM sidor, baserat på knappens kontext.

Begäran om GET

SAML-autentisering kan anropas genom att en HTTP GET-begäran skapas i formatet:

HTTP GET /system/sling/login

och tillhandahålla frågeparametrar:

Frågeparameternamn
Frågeparametervärde
resource
Alla JCR-sökvägar, eller undersökvägar, som är SAML-autentiseringshanteraren avlyssnar, enligt definitionen i Adobe Granite SAML 2.0 Authentication Handler OSGi-konfigurationenspath -egenskap.
saml_request_path
URL-sökvägen som användaren ska tas till efter SAML-autentiseringen.

Den här HTML-länken utlöser till exempel SAML-inloggningsflödet och tar användaren till /content/wknd/us/en/protected/page.html när det är klart. Dessa frågeparametrar kan ställas in programmatiskt efter behov.

<a href="/system/sling/login?resource=/content/wknd&saml_request_path=/content/wknd/us/en/protected/page.html">
    Log in using SAML
</a>

Begäran om POST

SAML-autentisering kan anropas genom att en HTTP-POST skapas i formatet:

HTTP POST /system/sling/login

och tillhandahålla formulärdata:

Namn på formulärdata
Formulärdatavärde
resource
Alla JCR-sökvägar, eller undersökvägar, som är SAML-autentiseringshanteraren avlyssnar, enligt definitionen i Adobe Granite SAML 2.0 Authentication Handler OSGi-konfigurationenspath -egenskap.
saml_request_path
URL-sökvägen som användaren ska tas till efter SAML-autentiseringen.

Den här HTML-knappen kommer till exempel att använda en HTTP-POST för att utlösa SAML-inloggningsflödet och ta användaren till /content/wknd/us/en/protected/page.html när det är klart. Dessa formulärdataparametrar kan ställas in programmatiskt efter behov.

<form action="/system/sling/login" method="POST">
    <input type="hidden" name="resource" value="/content/wknd">
    <input type="hidden" name="saml_request_path" value="/content/wknd/us/en/protected/page.html">
    <input type="submit" value="Log in using SAML">
</form>

Dispatcher-konfiguration

Både HTTP-GET och HTTP-POST-metoderna kräver klientåtkomst till AEM /system/sling/login-slutpunkter och måste därför tillåtas via AEM Dispatcher.

Tillåt nödvändiga URL-mönster baserade på om GET eller POST används

# Allow GET-based SAML authentication invocation
/0191 { /type "allow" /method "GET" /url "/system/sling/login" /query "*" }

# Allow POST-based SAML authentication invocation
/0192 { /type "allow" /method "POST" /url "/system/sling/login" }
recommendation-more-help
4859a77c-7971-4ac9-8f5c-4260823c6f69