Controlador de autenticación SAML 2.0 saml-authentication-handler
AEM buques con un SAML controlador de autenticación. Este controlador proporciona soporte para la variable SAML 2.0 Protocolo de solicitud de autenticación (perfil Web-SSO) que utiliza la variable HTTP POST
enlace.
Admite:
- firma y cifrado de mensajes
- creación automática de usuarios
- sincronizar grupos con los existentes en AEM
- Autenticación iniciada por el proveedor de servicios y el proveedor de identidad
Este controlador almacena el mensaje de respuesta de SAML cifrado en el nodo de usuario ( usernode/samlResponse
) para facilitar la comunicación con un proveedor de servicios de terceros.
Configuración del gestor de autenticación SAML 2.0 configuring-the-saml-authentication-handler
La variable Consola web proporciona acceso al SAML Configuración del gestor de autenticación 2.0 llamada Controlador de autenticación de Adobe Granite SAML 2.0. Se pueden establecer las siguientes propiedades.
- La dirección URL del POST del proveedor de identidad.
- El ID de entidad de proveedor de servicios.
Ruta Ruta del repositorio para la cual Sling debe utilizar este controlador de autenticación. Si está vacío, se desactivará el controlador de autenticación.
Clasificación de servicios Valor de clasificación de servicios de OSGi Framework para indicar el orden en que se debe llamar a este servicio. Se trata de un valor entero en el que los valores superiores designan una prioridad mayor.
Alias de certificado IDP alias del certificado de IdP en el almacén de confianza global. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado. Consulte el capítulo "Añadir el certificado IdP al AEM TrustStore" a continuación sobre cómo configurarlo.
URL del proveedor de identidad URL del IDP donde se debe enviar la solicitud de autenticación SAML. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado.
ID de entidad de proveedor de servicios ID que identifica de forma exclusiva a este proveedor de servicios con el proveedor de identidad. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado.
Redirección predeterminada La ubicación predeterminada a la que redirigir después de una autenticación correcta.
request-path
no está configurada. Si solicita cualquier página debajo de la ruta configurada sin un token de inicio de sesión válido, la ruta solicitada se almacena en una cookiey el explorador se redirigirá a esta ubicación de nuevo después de la autenticación correcta.
Atributo User-ID Nombre del atributo que contiene el ID de usuario utilizado para autenticar y crear el usuario en el repositorio CRX.
saml:Subject
nodo de la aserción SAML pero a partir de este saml:Attribute
.Usar codificación Indica si este controlador de autenticación espera o no aserciones SAML cifradas.
Creación automática de usuarios de CRX Si se crean o no automáticamente usuarios no existentes en el repositorio después de una autenticación correcta.
Agregar a grupos Indica si un usuario debe agregarse o no automáticamente a los grupos CRX después de la autenticación correcta.
Pertenencia a grupos El nombre del saml:Attribute que contiene una lista de grupos CRX a los que se debe agregar este usuario.
Añadir el certificado IdP a AEM TrustStore add-the-idp-certificate-to-the-aem-truststore
Las aserciones SAML están firmadas y pueden ser cifradas opcionalmente. Para que esto funcione, debe proporcionar al menos el certificado público del IdP en el repositorio. Para ello, debe:
-
Vaya a http:/serveraddress:serverport/libs/granite/security/content/truststore.html
-
Pulse el botón Crear vínculo de TrustStore
-
Introduzca la contraseña de TrustStore y pulse Guardar.
-
Haga clic en Administrar TrustStore.
-
Cargue el certificado IdP.
-
Tome nota del certificado Alias. El alias es admin#1436172864930 en el ejemplo siguiente.
Agregue la cadena de certificado y clave del Proveedor de servicios al almacén de claves de AEM add-the-service-provider-key-and-certificate-chain-to-the-aem-keystore
com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
- Vaya a: http://localhost:4502/libs/granite/security/content/useradmin.html
- Edite el
authentication-service
usuario. - Cree un almacén de claves haciendo clic en Crear KeyStore under Configuración de la cuenta.
-
Cargue el archivo de clave privada haciendo clic en Seleccionar archivo de clave privada. La clave debe estar en formato PKCS#8 con codificación DER.
-
Cargue el archivo de certificado haciendo clic en Seleccionar archivos de cadena de certificado.
-
Asigne un alias, como se muestra a continuación:
Configuración de un registrador para SAML configure-a-logger-for-saml
Puede configurar un Registrador para depurar cualquier problema que pueda surgir de la configuración incorrecta de SAML. Para ello:
-
Accediendo a la consola web, en http://localhost:4502/system/console/configMgr
-
Busque y haga clic en la entrada denominada Configuración del registrador de Apache Sling
-
Cree un registrador con la siguiente configuración:
- Nivel de registro: Depuración
- Archivo de registro: logs/saml.log
- Registrador: com.adobe.granite.auth.saml