单点登录 single-sign-on
单点登录(SSO)允许用户在提供一次身份验证凭据(如用户名和密码)后访问多个系统。 独立的系统(称为可信验证器)执行验证并向Experience Manager提供用户凭据。 Experience Manager会检查并强制实施用户的访问权限(即确定允许用户访问的资源)。
SSO身份验证处理程序服务(com.adobe.granite.auth.sso.impl.SsoAuthenticationHandler
)处理受信任的身份验证程序提供的身份验证结果。 SSO身份验证处理程序按以下顺序在下列位置搜索SSO标识符(SSID)作为特殊属性的值:
- 请求标头
- Cookies
- 请求参数
找到某个值后,即完成搜索,并将使用此值。
配置以下两个服务以识别存储SSID的属性的名称:
- 登录模块。
- SSO身份验证服务。
为两个服务指定相同的属性名称。 该属性包含在提供给Repository.login
的SimpleCredentials
中。 属性的值是无关的和被忽略的,仅仅它的存在是很重要和可以验证的。
配置SSO configuring-sso
要为AEM实例配置SSO,请配置SSO身份验证处理程序:
-
使用AEM时,可通过多种方法管理此类服务的配置设置;请参阅配置OSGi以了解更多详细信息和建议的做法。
例如,对于NTLM set:
-
路径: 为必填项;例如,
/
-
标头名称:
LOGON_USER
-
ID格式:
^<DOMAIN>\\(.+)$
其中
<*DOMAIN*>
被替换为您自己的域名。
对于CoSign:
- 路径: 为必填项;例如,
/
- 标头名称: remote_user
- ID格式: 原样
对于SiteMinder:
- 路径: 为必填项;例如,
/
- 标头名称: SM_USER
- ID格式: AsIs
-
-
确认单点登录是否按要求工作;包括授权。
disp_iis.ini
- IIS
servervariables=1
(将IIS服务器变量作为请求标头转发到远程实例)replaceauthorization=1
(将除“Basic”以外的任何名为“Authorization”的标头替换为其“Basic”等效标头)
-
禁用 匿名访问
-
启用 集成Windows身份验证
您可以使用Felix控制台的 Authenticator 选项查看正在将哪个身份验证处理程序应用于内容树的任何部分;例如:
http://localhost:4502/system/console/slingauth
首先查询与路径最匹配的处理程序。 例如,如果您为路径/
配置处理程序A,为路径/content
配置处理程序B,则对/content/mypage.html
的请求将首先查询处理程序B。
示例 example
对于Cookie请求(使用URL http://localhost:4502/libs/wcm/content/siteadmin.html
):
GET /libs/cq/core/content/welcome.html HTTP/1.1
Host: localhost:4502
Cookie: TestCookie=admin
使用以下配置:
-
路径:
/
-
标头名称:
TestHeader
-
Cookie名称:
TestCookie
-
参数名称:
TestParameter
-
ID格式:
AsIs
答案是:
HTTP/1.1 200 OK
Connection: Keep-Alive
Server: Day-Servlet-Engine/4.1.24
Content-Type: text/html;charset=utf-8
Date: Thu, 23 Aug 2012 09:58:39 GMT
Transfer-Encoding: chunked
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "https://www.w3.org/TR/html4/strict.dtd">
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<title>Welcome to Adobe® CQ5</title>
....
如果您请求,这也适用:http://localhost:4502/libs/cq/core/content/welcome.html?TestParameter=admin
或者,您可以使用以下curl命令将TestHeader
标头发送到admin:
curl -D - -H "TestHeader: admin" http://localhost:4502/libs/cq/core/content/welcome.html
删除AEM注销链接 removing-aem-sign-out-links
使用SSO时,登录和注销在外部进行处理,因此AEM自己的注销链接不再适用,应将其删除。
可以使用以下步骤删除欢迎屏幕上的注销链接。
-
覆盖
/libs/cq/core/components/welcome/welcome.jsp
到/apps/cq/core/components/welcome/welcome.jsp
-
从jsp中删除以下部分。
<a href="#" onclick="signout('<%= request.getContextPath() %>');" class="signout"><%= i18n.get("sign out", "welcome screen") %>
要删除用户右上角个人菜单中的注销链接,请执行以下步骤:
-
覆盖
/libs/cq/ui/widgets/source/widgets/UserInfo.js
到/apps/cq/ui/widgets/source/widgets/UserInfo.js
-
从文件中删除以下部分:
code language-none menu.addMenuItem({ "text":CQ.I18n.getMessage("Sign out"), "cls": "cq-userinfo-logout", "handler": this.logout }); menu.addSeparator();