設定驗證提供者 configuring-authentication-providers
混合式網域至少需要一個驗證提供者,而企業網域至少需要一個驗證提供者或目錄提供者。
如果您使用SPNEGO啟用SSO,請新增已啟用SPNEGO的Kerberos驗證提供者和LDAP提供者作為備份。 如果SPNEGO無法運作,此設定會啟用具有使用者ID和密碼的使用者驗證。 (請參閱使用SPNEGO啟用SSO。)
新增驗證提供者 add-an-authentication-provider
編輯現有的驗證提供者 edit-an-existing-authentication-provider
- 在管理控制檯中,按一下「設定>使用者管理>網域管理」。
- 按一下清單中適當的網域。
- 在出現的頁面上,從清單中選取適當的驗證提供者,並視需要進行變更。 (請參閱驗證設定。)
- 按一下「確定」。
刪除驗證提供者 delete-an-authentication-provider
- 在管理控制檯中,按一下「設定>使用者管理>網域管理」。
- 按一下清單中適當的網域。
- 選取要刪除的驗證提供者核取方塊,然後按一下刪除。
- 在出現的確認頁面上按一下「確定」,然後再次按一下「確定」。
驗證設定 authentication-settings
下列設定可供使用,視您選擇的網域型別和驗證型別而定。
LDAP設定 ldap-settings
如果您要設定企業或混合式網域的驗證,並選取LDAP驗證,您可以選擇使用目錄組態中指定的LDAP伺服器,或者選擇其他LDAP伺服器來用於驗證。 如果您選擇不同的伺服器,您的使用者必須存在於兩個LDAP伺服器上。
若要使用目錄組態中指定的LDAP伺服器,請選取LDAP做為驗證提供者,然後按一下確定。
若要使用不同的LDAP伺服器來執行驗證,請選取LDAP做為驗證提供者,然後選取「自訂LDAP驗證」核取方塊。 會顯示下列組態設定。
伺服器: (必要)目錄伺服器的完整網域名稱(FQDN)。 例如,對於在example.com網路上名為x的電腦,FQDN是x.example.com。 可以使用IP位址取代FQDN伺服器名稱。
連線埠: (必要)目錄伺服器使用的連線埠。 一般為389,如果安全通訊端層(SSL)通訊協定用於透過網路傳送驗證資訊,則為636。
SSL: (必要)指定透過網路傳送資料時,目錄伺服器是否使用SSL。 預設值為「否」。 設定為Yes時,應用程式伺服器的Java™執行階段環境(JRE)必須信任對應的LDAP伺服器憑證。
繫結 (必要)指定存取目錄的方式。
匿名: 不需要使用者名稱或密碼。
使用者: 需要驗證。 在「名稱」方塊中,指定可存取目錄的使用者記錄名稱。 最好輸入使用者帳戶的完整辨別名稱(DN),例如cn=Jane Doe、ou=user、dc=can、dc=com。 在「密碼」方塊中,指定相關的密碼。 當您選取「使用者」作為「繫結」選項時,需要這些設定。
擷取基底DN: (非必要)擷取基底DN並在下拉式清單中顯示它們。 當您有多個基本DN且需要選取值時,此設定很有用。
基底DN: (必要)作為從LDAP階層同步化使用者和群組的起點。 最好在階層的最低層級指定基礎DN,該階層包含所有需要同步處理服務的使用者和群組。 請勿在此設定中加入使用者的DN。 若要同步特定使用者,請使用「搜尋篩選」設定。
將以下專案填入頁面: (非必要)選取時,將對應的預設LDAP值填入使用者與群組設定頁面上的屬性。
搜尋篩選器: (必要)用來尋找與使用者相關之記錄的搜尋篩選器。 請參閱搜尋篩選器語法。
Kerberos設定 kerberos-settings
如果您要設定企業或混合網域的驗證,並選取Kerberos驗證,則可使用下列設定。
DNS IP: 執行AEM表單之伺服器的DNS IP位址。 在Windows上,您可以在命令列執行ipconfig /all以判斷此IP位址。
KDC主機: 用於驗證之Active Directory伺服器的完整主機名稱或IP位址。
服務使用者: 如果您正在使用Active Directory 2003,此值是為服務主體建立的對應,格式為HTTP/<server name>。 如果您使用Active Directory 2008,這個值就是服務主體的登入ID。 例如,假設服務主體名為um spnego,使用者ID為spnegedemo,對應為HTTP/example.yourcompany.com。 使用Active Directory 2003時,您可將服務使用者設定為HTTP/example.yourcompany.com。 使用Active Directory 2008時,您可以將「服務使用者」設定為spnegodemo。 (請參閱使用SPNEGO啟用SSO。)
服務領域: Active Directory的網域名稱
服務密碼: 服務使用者的密碼
啟用SPNEGO: 啟用單一登入(SSO)使用SPNEGO。 (請參閱使用SPNEGO啟用SSO。)
SAML設定 saml-settings
如果您要設定企業或混合網域的驗證,並選取SAML驗證,則可使用下列設定。 如需其他SAML設定的相關資訊,請參閱設定SAML服務提供者設定。
請選取SAML身分提供者中繼資料
要匯入的檔案: 按一下[瀏覽]選取從IDP產生的SAML識別提供者中繼資料檔案,然後按一下[匯入]。 會顯示來自IDP的詳細資訊。
標題: EntityID所代表之URL的別名。 企業及本機使用者的登入頁面上也會顯示標題。
身分提供者支援使用者端基本驗證: 當IDP使用SAML成品解析設定檔時,會使用使用者端基本驗證。 在此設定檔中,「使用者管理」會連線回在IDP上執行的Web服務,以擷取實際的SAML宣告。 IDP可能需要驗證。 如果IDP確實需要驗證,請選取此選項,並在提供的方塊中指定使用者名稱和密碼。
自訂屬性: 可讓您指定其他屬性。 其他屬性為名稱=值配對,以新行分隔。
如果使用成品繫結,則需要下列自訂屬性。
-
新增下列自訂屬性,以指定代表AEM Forms服務提供者的使用者名稱,該使用者名稱用於驗證IDP成品解析服務。
saml.idp.resolve.username=<username> -
新增下列自訂屬性,為
saml.idp.resolve.username中指定的使用者指定密碼。saml.idp.resolve.password=<password> -
新增下列自訂屬性,以允許服務提供者在透過SSL建立與成品解析服務的連線時忽略憑證驗證。
saml.idp.resolve.ignorecert=true
自訂設定 custom-settings
如果您要設定企業或混合網域的驗證,並選取「自訂驗證」,請選取自訂驗證提供者的名稱。
使用者即時布建 just-in-time-provisioning-of-users
即時啟動設定會在使用者透過驗證提供者成功驗證後,自動在「使用者管理」資料庫中建立使用者。 相關的角色和群組也會動態指派給新使用者。 您可以啟用企業網域和混合網域的即時布建。
此程式說明傳統驗證在AEM Forms中的運作方式:
-
當使用者嘗試登入AEM表單時,「使用者管理」會依序將其憑證傳遞給所有可用的驗證提供者。 (登入憑證包括使用者名稱/密碼組合、Kerberos票證、PKCS7簽名等。)
-
驗證提供者會驗證認證。
-
驗證提供者接著會檢查使用者是否存在於使用者管理資料庫中。 可能的狀態如下:
存在 如果使用者是最新的且已解除鎖定,則「使用者管理」會傳回驗證成功。 但是,如果使用者不是最新使用者或已鎖定,「使用者管理」會傳回驗證失敗。
不存在 User Management傳回驗證失敗。
無效 使用者管理傳回驗證失敗。
-
會評估驗證提供者傳回的結果。 如果驗證提供者傳回驗證成功,則允許使用者登入。 否則,「使用者管理」會檢查下一個驗證提供者(步驟2-3)。
-
如果沒有可用的驗證提供者驗證使用者認證,則會傳回驗證失敗。
啟用即時布建時,如果其中一個驗證提供者驗證其認證,則會在「使用者管理」中動態建立新使用者。 (上述程式中的步驟3之後。)
如果沒有即時布建,當使用者成功驗證但找不到使用者管理資料庫時,驗證會失敗。 即時啟動設定會在驗證程式中新增一個步驟,以建立使用者並將角色和群組指派給使用者。
為網域啟用即時布建 enable-just-in-time-provisioning-for-a-domain
-
編寫實作IdentityCreator和AssignmentProvider介面的服務容器。 (請參閱使用AEM表單進行程式設計。)
-
將服務容器部署至Forms伺服器。
-
在管理控制檯中,按一下「設定>使用者管理>網域管理」。
選取現有的網域,或按一下「新增企業網域」。
-
若要建立網域,請按一下[新增企業網域]或[新增混合網域]。 若要編輯現有網域,請按一下網域名稱。
-
選取啟用準時布建。
注意:如果缺少「啟用即時布建」核取方塊,請按一下「首頁」>「設定」>「使用者管理」>「組態」>「進階系統屬性」,然後按一下「重新載入」。
-
新增驗證提供者。 新增驗證提供者時,請在[新增驗證]畫面上,選取已註冊的[識別建立者]和[指派提供者]。 (請參閱設定驗證服務提供者。)
-
儲存網域。