Show Menu
TEMAS×

Configuración de la configuración del proveedor de servicios SAML

El Lenguaje de marcado de aserción de seguridad (SAML) es una de las opciones que puede seleccionar al configurar la autorización para un dominio híbrido o empresarial. SAML se utiliza principalmente para admitir SSO en varios dominios. Cuando SAML está configurado como su proveedor de autenticación, los usuarios inician sesión y se autentican en los formularios AEM a través de un proveedor de identidad de terceros (IDP) especificado.
Para obtener una explicación de SAML, consulte Security Assertion Markup Language (SAML) V2.0 Technical Overview .
  1. En la consola de administración, haga clic en Configuración > Administración de usuarios > Configuración > Configuración del proveedor de servicios SAML.
  2. En el cuadro ID de entidad del proveedor de servicios, escriba un ID único para utilizarlo como identificador para la implementación del proveedor de servicios de formularios AEM. También debe especificar esta ID única al configurar su IDP (por ejemplo, um.lc.com ). También puede utilizar la URL que se utiliza para acceder a los formularios AEM (por ejemplo, https://AEMformsserver ).
  3. En el cuadro Dirección URL base del proveedor de servicios, escriba la dirección URL base para el servidor de formularios (por ejemplo, https://AEMformsserver:8080 ).
  4. (Opcional) Para permitir que los formularios AEM envíen solicitudes de autenticación firmadas al IDP, realice las siguientes tareas:
    • Utilice el Administrador de confianza para importar una credencial en formato PKCS #12 con la credencial de firma de documento seleccionada como tipo de almacén de confianza. (Consulte Administración de credenciales locales.)
    • En la lista Alias de clave de credencial del proveedor de servicios, seleccione el alias asignado a las credenciales en el almacén de confianza.
    • Haga clic en Exportar para guardar el contenido de la URL en un archivo y, a continuación, importe dicho archivo en su IDP.
  5. (Opcional) En la lista Directiva de ID de nombre de proveedor de servicios, seleccione el formato de nombre que utiliza el IDP para identificar al usuario en una afirmación de SAML. Las opciones son No especificado, Correo electrónico y Nombre cualificado del dominio de Windows.
    Los formatos de nombre no distinguen entre mayúsculas y minúsculas.
  6. (Opcional) Seleccione Activar el mensaje de autenticación para los usuarios locales. Cuando se selecciona esta opción, los usuarios verán dos vínculos:
    • vínculo a la página de inicio de sesión del proveedor de identidad SAML de terceros, donde los usuarios que pertenecen a un dominio Enterprise pueden autenticarse.
    • vínculo a la página de inicio de sesión de formularios AEM, donde los usuarios que pertenecen a un dominio local pueden autenticarse.
    Cuando esta opción no está seleccionada, los usuarios serán llevados directamente a la página de inicio de sesión del proveedor de identidad SAML de terceros, donde los usuarios que pertenecen a un dominio Enterprise pueden autenticarse.
  7. (Opcional) Seleccione Activar enlace de artefacto para activar la compatibilidad con enlace de artefacto. De forma predeterminada, el enlace POST se utiliza con SAML. Sin embargo, si ha configurado Enlace de artefacto, seleccione esta opción. Cuando se selecciona esta opción, la afirmación del usuario real no se pasa a través de la solicitud del explorador. En su lugar, se pasa un puntero a la afirmación y ésta se recupera mediante una llamada de servicio web back-end.
  8. (Opcional) Seleccione Activar enlace de redirección para admitir enlaces SAML que utilizan redirecciones.
  9. (Opcional) En Propiedades personalizadas, especifique propiedades adicionales. Las propiedades adicionales son pares name=value separados por nuevas líneas.
    • Puede configurar formularios AEM para que emitan una afirmación SAML durante un período de validez que coincida con el período de validez de una afirmación de terceros. Para respetar el tiempo de espera de afirmación de SAML de terceros, agregue la línea siguiente en Propiedades personalizadas:
      saml.sp.honour.idp.assertion.expiry=true
    • Agregue la siguiente propiedad personalizada para usar RelayState para determinar la dirección URL a la que se redirigirá al usuario tras autenticarse correctamente.
      saml.sp.use.relaystate=true
    • Agregue la siguiente propiedad personalizada para configurar la dirección URL de las páginas de servidor Java (JSP) personalizadas, que se utilizarán para procesar la lista de proveedores de identidad registrados. Si no ha implementado una aplicación Web personalizada, utilizará la página Administración de usuarios predeterminada para procesar la lista.
    saml.sp.discovery.url=/custom/custom.jsp
  10. Haga clic en Guardar.