DokumentationAEM 6.4Forms-Anleitung

Aktivieren der einmaligen Anmeldung in AEM Forms enabling-single-sign-on-in-aem-forms

Last update: Thu May 04 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Erstellt für:

  • User
CAUTION
AEM 6.4 hat das Ende der erweiterten Unterstützung erreicht und diese Dokumentation wird nicht mehr aktualisiert. Weitere Informationen finden Sie in unserer technische Unterstützung. Unterstützte Versionen suchen here.

AEM Forms bietet zwei Möglichkeiten zum Aktivieren der einmaligen Anmeldung (SSO) – HTTP-Kopfzeile und SPNEGO:

Wenn die einmalige Anmeldung implementiert ist, sind die Anmeldeseiten für AEM Formulare nicht erforderlich und werden nicht angezeigt, wenn der Benutzer bereits über sein Unternehmensportal authentifiziert wurde.

Wenn AEM Formulare einen Benutzer nicht mit einer dieser Methoden authentifizieren können, wird der Benutzer zu einer Anmeldeseite umgeleitet.

Aktivieren von SSO mithilfe von HTTP-Headern enable-sso-using-http-headers

Sie können die Seite "Portalkonfiguration"verwenden, um Single Sign-On (SSO) zwischen Anwendungen und allen Anwendungen zu aktivieren, die die Identitätsübermittlung über HTTP-Header unterstützen. Wenn die einmalige Anmeldung implementiert ist, sind die Anmeldeseiten für AEM Formulare nicht erforderlich und werden nicht angezeigt, wenn der Benutzer bereits über sein Unternehmensportal authentifiziert wurde.

Sie können die einmalige Anmeldung auch über SPNEGO aktivieren. (Siehe SSO mit SPNEGO aktivieren.

  1. Klicken Sie in Administration Console auf "Einstellungen"> "User Management"> "Konfiguration"> "Portalattribute konfigurieren".

  2. Wählen Sie Ja aus, um die einmalige Anmeldung zu aktivieren. Wenn Sie "Nein"auswählen, sind die restlichen Einstellungen auf der Seite nicht verfügbar.

  3. Legen Sie die restlichen Optionen auf der Seite nach Bedarf fest und klicken Sie auf OK:

    • SSO-Typ:(Obligatorisch) Wählen Sie „HTTP-Kopfzeile“, um die einmalige Anmeldung mithilfe von HTTP-Kopfzeilen zu aktivieren.

    • HTTP-Header für Benutzer-Bezeichner: (Obligatorisch) Name der Kopfzeile, deren Wert den eindeutigen Bezeichner des angemeldeten Benutzers enthält. User Management verwendet diesen Wert, um den Benutzer in der User Management-Datenbank zu finden. Der aus dieser Kopfzeile abgerufene Wert sollte mit der eindeutigen Kennung des Benutzers übereinstimmen, der aus dem LDAP-Ordner synchronisiert wird. (Siehe Benutzereinstellungen.

    • Bezeichnerwert wird der Benutzer-ID des Benutzers anstelle des eindeutigen Bezeichners des Benutzers zugeordnet: Ordnet den eindeutigen Bezeichnerwert des Benutzers der Benutzer-ID zu. Wählen Sie diese Option, wenn der eindeutige Bezeichner des Benutzers ein binärer Wert ist, der nicht einfach über HTTP-Kopfzeilen (z. B. „objectGUID“, wenn Sie Benutzer aus Active Directory synchronisieren) weitergeleitet werden kann.

    • HTTP-Kopfzeile für die Domain:(Nicht obligatorisch) Name der Kopfzeile, deren Wert den Domain-Namen enthält. Verwenden Sie diese Einstellung nur, wenn kein einzelner HTTP-Header den Benutzer eindeutig identifiziert. Verwenden Sie diese Einstellung, wenn mehrere Domains vorhanden sind und der eindeutige Bezeichner nur innerhalb der angegebenen Domain eindeutig ist. Geben Sie in diesem Fall den Kopfzeilennamen in dieses Textfeld ein und legen Sie die Domain-Zuordnung für die verschiedenen Domains im Feld „Domain-Zuordnung“ fest. (Siehe Bearbeiten und Konvertieren bestehender Domains.)

    • Domain-Zuordnung:(Obligatorisch) Hier können Sie die Zuordnung für mehrere Domains im Format Kopfzeilenwert=Domain-Name angeben.

      Betrachten wir als Beispiel einen Fall, in dem die HTTP-Kopfzeile für eine Domain „domainName“ lautet und die Werte „Domain1“, „Domain2“ oder „Domain3“ haben kann. In diesem Fall ordnen Sie die domainName-Werte mithilfe der Domain-Zuordnung User Management-Domain-Namen zu. Jede Zuordnung muss sich in einer anderen Zeile befinden:

      Domain1=UMdomain1

      Domain2=UMdomain2

      Domain3=UMdomain3

Zulässige Referenzen konfigurieren configure-allowed-referers

Die Schritte zum Konfigurieren zulässiger Referenzen finden Sie unter Zulässige Referenzen konfigurieren.

SSO mit SPNEGO aktivieren enable-sso-using-spnego

Sie können SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) verwenden, um Single Sign-on (SSO) zu aktivieren, wenn Sie Active Directory als LDAP-Server in einer Windows-Umgebung verwenden. Wenn SSO aktiviert ist, sind die Anmeldeseiten für AEM Formulare nicht erforderlich und werden nicht angezeigt.

Sie können die einmalige Anmeldung auch über HTTP-Header aktivieren. (Siehe Aktivieren von SSO mithilfe von HTTP-Headern.

NOTE
AEM Forms on JEE unterstützt nicht die Konfiguration von SSO mithilfe von Kerberos/SPNEGO in einer mehrfachen untergeordneten Domain-Umgebung.

  1. Legen Sie die Domain fest, in der die einmalige Anmeldung aktiviert werden soll. Der AEM Forms-Server und die Benutzer müssen alle zur selben Windows-Domain bzw. vertrauenswürdigen Domain gehören.

  2. Erstellen Sie in Active Directory einen Benutzer, der den AEM forms-Server darstellt. (Siehe Benutzerkonto erstellen. Wenn Sie mehr als eine Domain zum Verwenden von SPNEGO konfigurieren, stellen Sie sicher, dass die Kennwörter für jeden einzelnen Benutzer verschieden sind. Wenn die Kennwörter nicht verschieden sind, funktioniert SPNEGO SSO nicht.

  3. Ordnen Sie den Dienstprinzipalnamen zu. (Siehe Dienstprinzipalnamen (SPN) zuordnen.

  4. Konfigurieren Sie den Domain-Controller. (Siehe Fehler bei der Kerberos-Integritätsprüfung verhindern.

  5. Anschließend müssen Sie eine Unternehmens-Domain hinzufügen oder bearbeiten (siehe Domains hinzufügen oder Bestehende Domains bearbeiten oder umwandeln). Führen Sie beim Erstellen oder Bearbeiten der Unternehmens-Domain die folgenden Aufgaben aus:

    • Fügen Sie einen Ordner hinzu oder bearbeiten Sie ihn, der Ihre Active Directory-Informationen enthält.

    • Fügen Sie LDAP als Authentifizierungsanbieter hinzu.

    • Fügen Sie Kerberos als Authentifizierungsanbieter hinzu. Geben Sie die folgenden Informationen auf der Seite "Neu"oder "Authentifizierung bearbeiten"für Kerberos an:

      • Authentifizierungsanbieter: Kerberos
      • DNS-IP: Die DNS-IP-Adresse des Servers, auf dem AEM Forms ausgeführt wird. Sie können diese IP-Adresse bestimmen, indem Sie ipconfig/all in die Befehlszeile eingeben.
      • KDC-Host: Der voll qualifizierte Hostname bzw. die IP-Adresse des für die Authentifizierung verwendeten Active Directory-Servers.
      • Dienstbenutzer: Der an das Tool KtPass übergebene Dienstprinzipalname. In dem zuvor verwendeten Beispiel ist der Dienstbenutzer HTTP/lcserver.um.lc.com.
      • Dienstbereich: Der Domanin-Name für Active Directory. In dem zuvor verwendeten Beispiel ist der Domain-Name UM.LC.COM.
      • Dienstkennwort: Das Kennwort des Dienstbenutzers. In dem zuvor verwendeten Beispiel ist das Dienstkennwort password.
      • SPNEGO aktivieren: Aktiviert die Verwendung von SPNEGO für die einmalige Anmeldung (SSO). Wählen Sie diese Option aus.

  6. Konfigurieren Sie die SPNEGO-Clientbrowsereinstellungen. (Siehe SPNEGO-Clientbrowsereinstellungen konfigurieren.

Benutzerkonto erstellen create-a-user-account

  1. Sie müssen in SPNEGO einen Service als Benutzer in Active Directory auf dem Domain-Controller registrieren, der AEM Forms repräsentiert. Wechseln Sie auf dem Domain-Controller zu „Start“ > „Verwaltung“ > „Active Directory-Benutzer und -Computer“. Wenn das Menü "Start"nicht unter "Verwaltung"angezeigt wird, verwenden Sie das Control Panel.

  2. Klicken Sie auf den Ordner Benutzer , um eine Liste der Benutzer anzuzeigen.

  3. Klicken Sie mit der rechten Maustaste auf den Benutzerordner und wählen Sie "Neu"> "Benutzer".

  4. Geben Sie den Vornamen/Nachnamen und den Benutzernamen ein und klicken Sie auf Weiter. Legen Sie beispielsweise die folgenden Werte fest:

    • Vorname: umspnego
    • Benutzername: spnegodemo

  5. Geben Sie ein Kennwort ein. Setzen Sie sie beispielsweise auf password. Stellen Sie sicher, dass Kennwort nie abgelaufen ausgewählt ist und keine anderen Optionen ausgewählt sind.

  6. Klicken Sie auf Next und dann auf Finish.

Dienstprinzipalnamen (SPN) zuordnen map-a-service-principal-name-spn

  1. Rufen Sie das Dienstprogramm KtPass ab. Dieses Dienstprogramm wird verwendet, um eine SPN einem REALM zuzuordnen. Sie können das Dienstprogramm KtPass als Teil des Windows Server Tool Packs oder Resource Kits abrufen. (Siehe Windows Server 2003 Service Pack 1 Support Tools.

  2. Führen Sie an einer Eingabeaufforderung den Befehl ktpass mit folgenden Argumenten aus:

    ktpass -princ HTTP/host @REALM -mapuserBenutzer

    Geben Sie beispielsweise folgenden Text ein:

    ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo

    Die Werte, die Sie angeben müssen, werden wie folgt beschrieben:

    Host: Vollständig qualifizierter Name des Formularservers oder eine eindeutige URL. In diesem Beispiel ist er auf lcserver.um.lc.com festgelegt.

    BEREICH: Der Active Directory-Bereich für den Domain-Controller. In diesem Beispiel ist er auf UM.LC.COM festgelegt. Stellen Sie sicher, dass Sie den Bereich in Großbuchstaben eingeben. Führen Sie die folgenden Schritte aus, um den Bereich für Windows 2003 zu bestimmen:

    • Klicken Sie mit der rechten Maustaste auf Arbeitsplatz und wählen Sie Eigenschaften aus.
    • Klicken Sie auf die Registerkarte Computername . Der Wert von „Domain-Name“ ist der Bereichsname.

    user: Der Anmeldename des Benutzerkontos, das Sie in der vorherigen Aufgabe erstellt haben. In diesem Beispiel ist er auf spnegodemo eingestellt.

Wenn dieser Fehler auftritt:

DsCrackNames returned 0x2 in the name entry for spnegodemo.
ktpass:failed getting target domain for specified user.

Versuchen Sie, den Benutzer als spnegodemo@um.lc.com anzugeben:

ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo

Fehler bei der Kerberos-Integritätsprüfung verhindern prevent-kerberos-integrity-check-failures

  1. Wechseln Sie auf dem Domain-Controller zu „Start“ > „Verwaltung“ > „Active Directory-Benutzer und -Computer“. Wenn das Menü "Start"nicht unter "Verwaltung"angezeigt wird, verwenden Sie das Control Panel.
  2. Klicken Sie auf den Ordner Benutzer , um eine Liste der Benutzer anzuzeigen.
  3. Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, das Sie in einer vorherigen Aufgabe erstellt haben. In diesem Beispiel ist das Benutzerkonto spnegodemo.
  4. Klicken Sie auf Kennwort zurücksetzen .
  5. Geben Sie dasselbe Kennwort wie zuvor ein und bestätigen Sie es. In diesem Beispiel ist es auf password festgelegt.
  6. Deaktivieren Sie "Kennwort bei nächster Anmeldung ändern"und klicken Sie auf "OK".

SPNEGO-Clientbrowsereinstellungen konfigurieren configuring-spnego-client-browser-settings

Damit die SPNEGO-basierte Authentifizierung funktioniert, muss der Clientcomputer zu der Domain gehören, in der das Benutzerkonto erstellt wurde. Sie müssen außerdem den Client-Browser so konfigurieren, dass SPNEGO-basierte Authentifizierung zulässig ist. Darüber hinaus muss die Site, für die SPNEGO-basierte Authentifizierung erforderlich ist, eine vertrauenswürdige Site sein.

Wenn der Zugriff auf den Server über den Computernamen erfolgt (z. B. https://lcserver:8080*,*), sind für Internet Explorer keine Einstellungen erforderlich. Wenn Sie eine URL eingeben, die keine Punkte (".") enthält, behandelt Internet Explorer die Site als lokale Intranet-Site. Wenn Sie einen vollständig qualifizierten Namen für die Site verwenden, muss die Site als vertrauenswürdige Site hinzugefügt werden.

Internet Explorer 6.x konfigurieren

  1. Gehen Sie zu Tools > Internetoptionen und klicken Sie auf die Registerkarte Sicherheit .
  2. Klicken Sie auf das Symbol Lokales Intranet und dann auf Sites .
  3. Klicken Sie auf "Erweitert"und geben Sie im Feld "Diese Website zur Zone hinzufügen"die URL Ihres Formularservers ein. Geben Sie beispielsweise https://lcserver.um.lc.com
  4. Klicken Sie auf OK , bis alle Dialogfelder geschlossen sind.
  5. Testen Sie die Konfiguration, indem Sie auf die URL Ihres AEM forms-Servers zugreifen. Geben Sie zum Beispiel in das URL-Feld des Browsers https://lcserver.um.lc.com:8080/um/login?um_no_redirect=true ein

Mozilla Firefox konfigurieren

  1. Geben Sie in das URL-Feld des Browsers about:config ein.

    Das Mozilla Firefox-Dialogfeld „about:config“ wird angezeigt.

  2. Geben Sie in das Feld „Filter“ den Wert negotiate ein.

  3. Klicken Sie in der angezeigten Liste auf „network.negotiate-auth.trusted-uris“ und geben Sie einen der folgenden Befehle Ihrer Umgebung entsprechend ein:

    .um.lc.com- Konfiguriert Firefox so, dass SPNEGO für jede URL zugelassen wird, die auf um.lc.com endet. Stellen Sie sicher, dass Sie den Punkt („.“) am Anfang mit einschließen.

    lcserver.um.lc.com – Hierdurch wird Firefox so konfiguriert, dass SPNEGO nur für bestimmte Server zugelassen wird. Beginnen Sie diesen Wert nicht mit einem Punkt (".").

  4. Testen Sie die Konfiguration durch Zugriff auf die Anwendung. Die Begrüßungsseite für die Zielanwendung sollte angezeigt werden.

recommendation-more-help
a6ebf046-2b8b-4543-bd46-42a0d77792da