Controlador de autenticación SAML 2.0 saml-authentication-handler
AEM barcos con un a SAML controlador de autenticación. Este controlador admite el SAML Protocolo de solicitud de autenticación 2.0 (perfil Web-SSO) que utiliza el HTTP POST
enlace.
Admite lo siguiente:
- firma y cifrado de mensajes
- creación automática de usuarios
- AEM sincronización de grupos con los existentes en la
- Autenticación iniciada por el proveedor de servicios y el proveedor de identidad
Este controlador almacena el mensaje de respuesta SAML cifrado en el nodo de usuario ( usernode/samlResponse
) para facilitar la comunicación con un proveedor de servicios de terceros.
Configuración del controlador de autenticación SAML 2.0 configuring-the-saml-authentication-handler
El consola web proporciona acceso a la SAML Configuración del controlador de autenticación 2.0 llamada Controlador de autenticación de Adobe Granite SAML 2.0. Se pueden configurar las siguientes propiedades.
- La URL del POST del proveedor de identidad o la URL del IDP.
- El ID de entidad de Service Provider.
Ruta Ruta de repositorio para la que Sling debe utilizar este controlador de autenticación. Si está vacío, el controlador de autenticación se deshabilitará.
Clasificación de servicios Valor de clasificación del servicio marco OSGi para indicar el orden en que se llama a este servicio. Es un valor entero en el que los valores más altos designan una prioridad mayor.
Alias de certificado IDP Alias del certificado del IdP en el almacén de confianza global. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado. AEM Consulte el capítulo "Añadir el certificado IdP al almacén de confianza de" a continuación sobre cómo configurarlo.
URL de IDP URL del IDP al que debe enviarse la solicitud de autenticación SAML. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado.
ID de entidad de Service Provider ID que identifica de forma exclusiva a este proveedor de servicios con el proveedor de identidad. Si esta propiedad está vacía, el controlador de autenticación está deshabilitado.
Redirección predeterminada La ubicación predeterminada a la que se redirigirá tras la autenticación correcta.
request-path
no se ha establecido la cookie. Si solicita cualquier página por debajo de la ruta configurada sin un token de inicio de sesión válido, la ruta solicitada se almacenará en una cookiey el explorador se redirigirá a esta ubicación de nuevo después de la autenticación correcta.
Atributo de ID de usuario Nombre del atributo que contiene el ID de usuario utilizado para autenticar y crear el usuario en el repositorio CRX.
saml:Subject
nodo de la aserción de SAML, pero desde esta saml:Attribute
.Utilizar cifrado Indica si este controlador de autenticación espera o no aserciones SAML cifradas.
Crear automáticamente usuarios CRX Indica si se crean o no automáticamente usuarios no existentes en el repositorio después de la autenticación correcta.
Añadir a grupos Si un usuario debe agregarse automáticamente o no a los grupos CRX después de la autenticación correcta.
Pertenencia a grupo Nombre del saml: Attribute que contiene una lista de grupos CRX a los que debe agregarse este usuario.
AEM Añadir el certificado IdP al almacén de confianza de la add-the-idp-certificate-to-the-aem-truststore
Las afirmaciones de SAML están firmadas y pueden cifrarse de forma opcional. Para que esto funcione, debe proporcionar al menos el certificado público del IdP en el repositorio. Para ello, debe:
-
Ir a http:/serveraddress:serverport/libs/granite/security/content/truststore.html
-
Pulse el botón Crear vínculo de TrustStore
-
Introduzca la contraseña de TrustStore y pulse Guardar.
-
Haga clic en Administrar TrustStore.
-
Cargue el certificado IdP.
-
Tome nota del alias del certificado. El alias es admin#1436172864930 en el ejemplo siguiente.
AEM Agregue la cadena de certificado y la clave del proveedor de servicios al almacén de claves de la add-the-service-provider-key-and-certificate-chain-to-the-aem-keystore
com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
- Ir a: http://localhost:4502/libs/granite/security/content/useradmin.html
- Edite el
authentication-service
usuario. - Cree un almacén de claves haciendo clic en Crear almacén de claves bajo Configuración de cuenta.
-
AEM Cree el certificado/par de claves para la. El comando para generarlo mediante openssl debe ser similar al ejemplo siguiente:
openssl req -newkey rsa:2048 -new -x509 -days 3652 -nodes -out certificate.crt -keyout key.pem
-
Convertir la clave al formato PKCS#8 con codificación DER. AEM Este es el formato que requiere el almacén de claves de la.
openssl pkcs8 -topk8 -inform PEM -outform DER -in key.pem -out key.der -nocrypt
-
Cargue el archivo de clave privada haciendo clic en Seleccionar archivo de clave privada.
-
Cargue el archivo de certificado haciendo clic en Seleccionar archivos de cadena de certificados.
-
Asigne un alias, como se muestra a continuación:
Configuración de un registrador para SAML configure-a-logger-for-saml
Puede configurar un registrador para depurar cualquier problema que pueda surgir por una configuración incorrecta de SAML. Para ello:
-
Vaya a la consola web en http://localhost:4502/system/console/configMgr
-
Busque y haga clic en la entrada llamada Configuración del registrador de Apache Sling
-
Cree un registrador con la siguiente configuración:
- Nivel de registro: Depurar
- Archivo de registro: logs/saml.log
- Registrador: com.adobe.granite.auth.saml