DocumentaciónAEM 6.4Guía de administración

Controlador de autenticación SAML 2.0 saml-authentication-handler

Last update: Fri May 05 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Creado para:

  • Admin
CAUTION
AEM 6.4 ha llegado al final de la compatibilidad ampliada y esta documentación ya no se actualiza. Para obtener más información, consulte nuestra períodos de asistencia técnica. Buscar las versiones compatibles here.

AEM buques con un SAML controlador de autenticación. Este controlador proporciona soporte para la variable SAML 2.0 Protocolo de solicitud de autenticación (perfil Web-SSO) que utiliza la variable HTTP POST enlace.

Admite:

  • firma y cifrado de mensajes
  • creación automática de usuarios
  • sincronizar grupos con los existentes en AEM
  • Autenticación iniciada por el proveedor de servicios y el proveedor de identidad

Este controlador almacena el mensaje de respuesta de SAML cifrado en el nodo de usuario ( usernode/samlResponse) para facilitar la comunicación con un proveedor de servicios de terceros.

NOTE
Consulte una demostración de la integración de AEM y SAML.
Para leer un artículo de la comunidad de principio a fin, haga clic en: Integración de SAML con Adobe Experience Manager.

Configuración del gestor de autenticación SAML 2.0 configuring-the-saml-authentication-handler

La variable Consola web proporciona acceso al SAML Configuración del gestor de autenticación 2.0 llamada Controlador de autenticación de Adobe Granite SAML 2.0. Se pueden establecer las siguientes propiedades.

NOTE
El gestor de autenticación SAML 2.0 está deshabilitado de forma predeterminada. Debe establecer al menos una de las siguientes propiedades para habilitar el controlador:
  • La dirección URL del POST del proveedor de identidad.
  • El ID de entidad de proveedor de servicios.
NOTE
Las aserciones SAML están firmadas y pueden ser cifradas opcionalmente. Para que esto funcione, debe proporcionar al menos el certificado público del proveedor de identidad en TrustStore. Consulte Añadir el certificado IdP al TrustStore para obtener más información.

Ruta Ruta del repositorio para la cual Sling debe utilizar este controlador de autenticación. Si está vacío, se desactivará el controlador de autenticación.

Clasificación de servicios Valor de clasificación de servicios de OSGi Framework para indicar el orden en que se debe llamar a este servicio. Se trata de un valor entero en el que los valores superiores designan una prioridad mayor.

Alias de certificado IDP alias del certificado de IdP en el almacén de confianza global. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado. Consulte el capítulo "Añadir el certificado IdP al AEM TrustStore" a continuación sobre cómo configurarlo.

URL del proveedor de identidad URL del IDP donde se debe enviar la solicitud de autenticación SAML. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado.

CAUTION
El nombre de host del proveedor de identidad debe agregarse al Filtro de referente de Apache Sling Configuración de OSGi. Consulte la Consola web para obtener más información.

ID de entidad de proveedor de servicios ID que identifica de forma exclusiva a este proveedor de servicios con el proveedor de identidad. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado.

Redirección predeterminada La ubicación predeterminada a la que redirigir después de una autenticación correcta.

NOTE
Esta ubicación solo se utiliza si la variable request-path no está configurada. Si solicita cualquier página debajo de la ruta configurada sin un token de inicio de sesión válido, la ruta solicitada se almacena en una cookie
y el explorador se redirigirá a esta ubicación de nuevo después de la autenticación correcta.

Atributo User-ID Nombre del atributo que contiene el ID de usuario utilizado para autenticar y crear el usuario en el repositorio CRX.

NOTE
El ID de usuario no se toma del saml:Subject nodo de la aserción SAML pero a partir de este saml:Attribute.

Usar codificación Indica si este controlador de autenticación espera o no aserciones SAML cifradas.

Creación automática de usuarios de CRX Si se crean o no automáticamente usuarios no existentes en el repositorio después de una autenticación correcta.

CAUTION
Si la creación automática de usuarios CRX está deshabilitada, los usuarios deberán crearse manualmente.

Agregar a grupos Indica si un usuario debe agregarse o no automáticamente a los grupos CRX después de la autenticación correcta.

Pertenencia a grupos El nombre del saml:Attribute que contiene una lista de grupos CRX a los que se debe agregar este usuario.

Añadir el certificado IdP a AEM TrustStore add-the-idp-certificate-to-the-aem-truststore

Las aserciones SAML están firmadas y pueden ser cifradas opcionalmente. Para que esto funcione, debe proporcionar al menos el certificado público del IdP en el repositorio. Para ello, debe:

  1. Vaya a http:/serveraddress:serverport/libs/granite/security/content/truststore.html

  2. Pulse el botón Crear vínculo de TrustStore

  3. Introduzca la contraseña de TrustStore y pulse Guardar.

  4. Haga clic en Administrar TrustStore.

  5. Cargue el certificado IdP.

  6. Tome nota del certificado Alias. El alias es admin#1436172864930 en el ejemplo siguiente.

    chlimage_1-372

Agregue la cadena de certificado y clave del Proveedor de servicios al almacén de claves de AEM add-the-service-provider-key-and-certificate-chain-to-the-aem-keystore

NOTE
Los pasos siguientes son obligatorios; de lo contrario, se genera la siguiente excepción: com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
  1. Vaya a: http://localhost:4502/libs/granite/security/content/useradmin.html
  2. Edite el authentication-service usuario.
  3. Cree un almacén de claves haciendo clic en Crear KeyStore under Configuración de la cuenta.
NOTE
Los pasos siguientes solo son necesarios si el controlador debe poder firmar o descifrar mensajes.

  1. Cargue el archivo de clave privada haciendo clic en Seleccionar archivo de clave privada. La clave debe estar en formato PKCS#8 con codificación DER.

  2. Cargue el archivo de certificado haciendo clic en Seleccionar archivos de cadena de certificado.

  3. Asigne un alias, como se muestra a continuación:

    chlimage_1-373

Configuración de un registrador para SAML configure-a-logger-for-saml

Puede configurar un Registrador para depurar cualquier problema que pueda surgir de la configuración incorrecta de SAML. Para ello:

  1. Accediendo a la consola web, en http://localhost:4502/system/console/configMgr

  2. Busque y haga clic en la entrada denominada Configuración del registrador de Apache Sling

  3. Cree un registrador con la siguiente configuración:

    • Nivel de registro: Depuración
    • Archivo de registro: logs/saml.log
    • Registrador: com.adobe.granite.auth.saml
recommendation-more-help
5ce3024a-cbea-458b-8b2f-f9b8dda516e8