Oak LDAP IdentityProvider无法同步AEMaaCS中的用户和组
Adobe Experience Manager as a Cloud Service (AEMaaCS)中的Oak LDAP IdentityProvider无法从外部轻型目录访问协议(LDAP)目录同步用户和组。 这会导致缺少用户和组条目,这会阻止进行适当的授权和配置。 要解决此问题,请更新LDAP配置并重新触发同步。
描述 description
环境
Adobe Experience Manager as a Cloud Service (AEMaaCS)
问题/症状
- 应用程序无法从外部LDAP目录同步组。
- 未解析组条目,导致缺少授权映射。
- 用户查找未返回匹配条目,阻止预配和访问。
解决方法 resolution
请按照以下步骤解决问题:
-
将
userConfig.baseDN设置为用户条目的正确LDAP路径。 例如:OU=EndUsers,OU=Corporate,OU=Accounts,DC=example,DC=com or DC=example,DC=com。 -
查看并调整
userConfig.extraFilter设置:- 如有必要,请移除
extraFilter。 - 如果需要,请使用基于组成员资格的筛选器,而不是硬编码的用户名(如
(memberOfFilterTemplate = "(|(memberOf=CN=Group1,...)(memberOf=CN=Group2,...))"))。
- 如有必要,请移除
-
将
groupConfig.baseDN设置为组条目的正确LDAP路径。 例如:OU=Global,OU=Unmanaged,OU=Groups,DC=example,DC=com。 -
配置组设置:
- 设置
groupConfig.objectClasses = [ group]。 - 设置
groupMemberAttribute = member。
- 设置
-
将
user.membershipNestingDepth设置为1或更高,以启用嵌套组成员资格的同步。 -
通过JMX控制台或使用测试帐户登录来重新运行用户同步。
-
确认组显示在
/home/groups/<IDP name>下且用户已分配了正确成员资格。
其他备注:
-
在Active Directory环境中:
- 确保
sAMAccountName、objectClass和成员资格等属性与您的目录结构匹配。 - 在AEM as a Cloud Service中,组可能不会保留在
/home/groups/ldap下,但仍可以正确解析以获取授权。
- 确保
-
Adobe IMS是AEM as a Cloud Service中支持进行创作身份验证的标识提供程序。 其他提供商可能无法跨更新保持可靠。
相关阅读
- LDAP身份验证失败,出现超时错误 | AEM Oak
- 对Adobe Experience Manager as a Cloud Service的IMS支持
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f