單一登入
單一登入(SSO)可讓使用者在提供一次驗證認證(例如使用者名稱和密碼)之後存取多個系統。 另一個系統(稱為受信任的驗證者)會執行驗證並提供使用者認證的Experience Manager。 Experience Manager會檢查並強制使用者的存取許可權(即決定允許使用者存取哪些資源)。
SSO驗證處理常式服務( com.adobe.granite.auth.sso.impl.SsoAuthenticationHandler)會處理受信任的驗證器所提供的驗證結果。 SSO驗證處理常式會依此順序在下列位置搜尋SSO識別碼(SSID)作為特殊屬性的值:
- 請求標頭
- Cookie
- 要求引數
找到值時,即完成搜尋並使用此值。
設定以下兩個服務來識別儲存SSID的屬性名稱:
- 登入模組。
- SSO驗證服務。
為兩個服務指定相同的屬性名稱。 屬性包含在提供給Repository.login的SimpleCredentials中。 屬性的值不相關且會被忽略,只要存在就很重要且經過驗證。
設定SSO
若要設定AEM執行個體的SSO,請設定SSO驗證處理常式:
-
使用AEM時,有數種方法可管理此類服務的組態設定;請參閱設定OSGi以取得詳細資訊和建議的作法。
例如,對於NTLM集:
-
路徑: 為必要;例如,
/ -
標頭名稱:
LOGON_USER -
ID格式:
^<DOMAIN>\\(.+)$其中
<*DOMAIN*>會由您自己的網域名稱取代。
對於CoSign:
- 路徑: 為必要;例如,
/ - 標頭名稱: remote_user
- ID格式: AsIs
對於SiteMinder:
- 路徑: 為必要;例如,
/ - 標頭名稱: SM_USER
- ID格式: AsIs
-
-
確認單一登入已視需要運作;包括授權。
CAUTION
NOTENOTEdisp_iis.ini- IIS
servervariables=1(將IIS伺服器變數作為要求標頭轉送給遠端執行個體)replaceauthorization=1(將任何名為「Authorization」的標頭(「Basic」以外的標頭取代為「Basic」的對等標頭)
-
停用 匿名存取
-
啟用 整合式Windows驗證
您可以使用Felix主控台的 Authenticator 選項,檢視哪個驗證處理常式正在套用至內容樹狀結構的任何區段;例如:
http://localhost:4502/system/console/slingauth
系統會先查詢最符合路徑的處理常式。 例如,如果您為路徑/設定處理常式A,為路徑/content設定處理常式B,則對/content/mypage.html的請求將先查詢處理常式B。
範例
針對Cookie要求(使用URL http://localhost:4502/libs/wcm/content/siteadmin.html):
使用以下設定:
-
路徑:
/ -
標頭名稱:
TestHeader -
Cookie名稱:
TestCookie -
引數名稱:
TestParameter -
ID格式:
AsIs
回應會是:
如果您請求:http://localhost:4502/libs/cq/core/content/welcome.html?TestParameter=admin
或者,您可以使用以下curl命令將TestHeader標頭傳送至admin:curl -D - -H "TestHeader: admin" http://localhost:4502/libs/cq/core/content/welcome.html
NOTE移除AEM登出連結
使用SSO時,登入和登出會在外部處理,因此AEM自己的登出連結已不再適用且應移除。
您可使用下列步驟移除歡迎畫面上的登出連結。
-
覆蓋
/libs/cq/core/components/welcome/welcome.jsp到/apps/cq/core/components/welcome/welcome.jsp -
從jsp中移除下列零件。
<a href="#" onclick="signout('<%= request.getContextPath() %>');" class="signout"><%= i18n.get("sign out", "welcome screen") %>
若要移除使用者右上角個人功能表中可用的登出連結,請執行下列步驟:
-
覆蓋
/libs/cq/ui/widgets/source/widgets/UserInfo.js到/apps/cq/ui/widgets/source/widgets/UserInfo.js -
從檔案中移除下列部分:
