DokumentationAEM 6.5Benutzerhandbuch

Konfigurieren der SAML-Dienstanbietereinstellungen configure-saml-service-provider-settings

Last update: Sun Mar 31 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Security Assertion Markup Language (SAML) ist eine der Optionen, die Sie beim Konfigurieren der Autorisierung für eine Unternehmens- oder Hybrid-Domain auswählen können. SAML wird hauptsächlich zum Unterstützen der einmaligen Anmeldung in mehreren Domains verwendet. Wenn SAML als Ihr Authentifizierungsanbieter konfiguriert ist, melden sich Benutzende bei AEM Forms an und authentifizieren sich über einen angegebenen Identitätsanbieter (IDP) von Drittanbietern.

Eine Erläuterung von SAML finden Sie unter Security Assertion Markup Language (SAML) V2.0 Technische Übersicht.

  1. Klicken Sie in der Administrationskonsole auf „Einstellungen“ > „Benutzerverwaltung“ > „Konfiguration“ > „SAML-Dienstanbietereinstellungen“.

  2. Geben Sie in das Feld „Dienstanbieter-Entitäts-ID“ eine eindeutige ID als Kennung für die AEM Forms-Dienstanbieterimplementierung ein.  Sie müssen diese eindeutige ID auch beim Konfigurieren Ihres Identitätsanbieters (IDP) (z. B. um.lc.com angeben.) Sie können außerdem die URL verwenden, die zum Zugreifen auf AEM Forms verwendet wird (z. B. https://AEMformsserver).

  3. Geben Sie in das Feld für die Dienstanbieter-Basis-URL die Basis-URL für Ihren Formular-Server ein (z. B. https://AEMformsserver:8080).

  4. (Optional) Wenn Sie möchten, dass AEM Forms signierte Authentifizierungsanforderungen an den Identitätsanbieter sendet, führen Sie die folgenden Aufgaben aus:

    • Verwenden Sie Trust Manager, um eine Berechtigung im Format „PKCS #12“ mit der ausgewählten Option „Berechtigung für die Dokumentsignierung“ als Trust Store-Typ zu importieren.  (Siehe Verwalten lokaler Berechtigungen.)
    • Wählen Sie in der Liste mit den Schlüsselaliassen für Dienstanbieterberechtigungen den Alias aus, den Sie der Berechtigung im Trust Store zugewiesen haben.
    • Klicken Sie auf Exportieren , um den URL-Inhalt in einer Datei zu speichern und diese Datei dann in Ihren IDP zu importieren.

  5. (Optional) Wählen Sie in der Liste der ID-Richtlinie für Dienstanbieternamen das Namensformat aus, das der IDP zum Identifizieren der Person in einer SAML-Assertion verwendet.  Die Optionen lauten „Nicht angegeben“, „E-Mail“ und „Windows Domain Qualified Name“.

    note note
    NOTE
    Bei Namensformaten muss nicht auf Groß- und Kleinschreibung geachtet werden.

  6. (Optional) Aktivieren Sie die Option „Authentifizierungs-Eingabeaufforderung für lokale Benutzer aktivieren“.  Wenn diese Option ausgewählt ist, sehen Benutzer zwei Links:

    • eine Verknüpfung zur Anmeldeseite eines dritten SAML-Identitätsanbieters, wo sich Benutzer authentifizieren können, die zu einer Unternehmens-Domain gehören.
    • eine Verknüpfung zur AEM Forms-Anmeldeseite, wo sich Benutzer identifizieren können, die zu einer lokalen Domain gehören.

    Wenn diese Option nicht ausgewählt ist, werden Benutzer direkt zur Anmeldeseite des dritten SAML-Identitätsanbieters geleitet, wo sich Benutzer authentifizieren können, die zu einer Unternehmensdomäne gehören.

  7. (Optional) Wählen Sie „Artefakt-Bindung“, um die Unterstützung für die Artefakt-Bindung zu aktivieren.  Standardmäßig wird die POST-Bindung mit SAML verwendet.  Wenn Sie jedoch die Artefakt-Bindung konfiguriert haben, wählen Sie diese Option aus.  Wenn diese Option ausgewählt ist, wird die tatsächliche Benutzerassertion nicht durch die Browser-Anforderung weitergeleitet.  Stattdessen wird ein Verweis zu der Assertion weitergeleitet und die Assertion wird mithilfe eines Backend-Web-Dienstaufrufs abgerufen.

  8. (Optional) Wählen Sie „Bindung umleiten“ aus, um SAML-Bindungen zu unterstützen, die Umleitungen verwenden.

  9. (Optional) Geben Sie unter „Benutzerdefinierte Eigenschaften“ weitere Eigenschaften an.  Die zusätzlichen Eigenschaften sind durch neue Zeilen getrennte Name-Wert-Paare.

    • Sie können AEM Forms für die Ausgabe einer SAML-Bestätigung für eine Gültigkeitsdauer konfigurieren, die der Gültigkeitsdauer einer Assertion eines Drittanbieters entspricht.  Damit die Zeitüberschreitung der SAML-Bestätigung des Drittanbieters berücksichtigt wird, fügen Sie die folgende Zeile in den benutzerdefinierten Eigenschaften hinzu:

      saml.sp.honour.idp.assertion.expiry=true

    • Fügen Sie folgende benutzerdefinierte Eigenschaft für die Verwendung von RelayState hinzu, um die URL zu bestimmen, zu der Benutzende nach erfolgreicher Authentifizierung weitergeleitet werden.

      saml.sp.use.relaystate=true

    • Fügen Sie die folgende benutzerdefinierte Eigenschaft hinzu, damit Sie die URL für die benutzerdefinierten Java™ Server Pages (JSP) konfigurieren können, die zum Rendern der registrierten Liste von Identitätsanbietern verwendet wird. Wenn Sie keine benutzerdefinierte Webanwendung bereitgestellt haben, wird die Liste auf der standardmäßigen User Management-Seite gerendert.

    saml.sp.discovery.url=/custom/custom.jsp

  10. Klicken Sie auf „Speichern“.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2