Gestore di autenticazione SAML 2.0 saml-authentication-handler
navi AEM con un SAML gestore di autenticazione. Questo gestore fornisce supporto per SAML 2.0 Authentication Request Protocol (profilo Web-SSO) utilizzando HTTP POST
binding.
Supporta:
- firma e crittografia dei messaggi
- creazione automatica degli utenti
- sincronizzazione di gruppi con quelli esistenti in AEM
- Autenticazione avviata dal provider di servizi e dal provider di identità
Questo gestore memorizza il messaggio di risposta SAML crittografato nel nodo utente ( usernode/samlResponse
) per facilitare la comunicazione con un fornitore di servizi di terze parti.
Configurazione Del Gestore Di Autenticazione SAML 2.0 configuring-the-saml-authentication-handler
La Console web fornisce accesso al SAML Configurazione di 2.0 Authentication Handler chiamata Gestore autenticazione Adobe Granite SAML 2.0. È possibile impostare le seguenti proprietà.
- URL del POST del provider di identità.
- ID entità fornitore di servizi.
Percorso Percorso archivio per il quale questo gestore di autenticazione deve essere utilizzato da Sling. Se questo campo è vuoto, il gestore di autenticazione verrà disabilitato.
Classifica dei servizi Valore di Classifica del servizio Framework OSGi per indicare l'ordine in cui chiamare questo servizio. Si tratta di un valore intero in cui i valori superiori indicano una precedenza superiore.
Alias certificato IDP L'alias del certificato dell'IdP nel truststore globale. Se questa proprietà è vuota, il gestore di autenticazione viene disabilitato. Consulta il capitolo "Aggiungi il certificato IdP al TrustStore AEM" per informazioni su come configurarlo.
URL del provider di identità URL dell’IDP a cui deve essere inviata la richiesta di autenticazione SAML. Se questa proprietà è vuota, il gestore di autenticazione viene disabilitato.
ID entità fornitore di servizi ID che identifica in modo univoco questo provider di servizi con il provider di identità. Se questa proprietà è vuota, il gestore di autenticazione viene disabilitato.
Reindirizzamento predefinito Il percorso predefinito a cui reindirizzare dopo l’autenticazione.
request-path
cookie non impostato. Se richiedi una pagina sotto il percorso configurato senza un token di accesso valido, il percorso richiesto viene memorizzato in un cookiee il browser verrà reindirizzato nuovamente a questa posizione dopo l'autenticazione.
Attributo ID utente Il nome dell'attributo contenente l'ID utente utilizzato per autenticare e creare l'utente nell'archivio CRX.
saml:Subject
nodo dell'asserzione SAML ma da questo saml:Attribute
.Usa crittografia Se questo gestore di autenticazione richiede o meno asserzioni SAML crittografate.
Creazione automatica utenti CRX Possibilità o meno di creare automaticamente utenti non esistenti nell’archivio dopo l’autenticazione.
Aggiungi ai gruppi Indica se un utente deve essere aggiunto automaticamente ai gruppi CRX dopo l'autenticazione riuscita.
Iscrizione al gruppo Il nome dell'attributo saml:Attribute contenente un elenco di gruppi CRX a cui l'utente deve essere aggiunto.
Aggiungi il certificato IdP al TrustStore AEM add-the-idp-certificate-to-the-aem-truststore
Le asserzioni SAML sono firmate e possono essere facoltativamente crittografate. Affinché ciò funzioni, devi fornire almeno il certificato pubblico dell’IdP nell’archivio. Per fare questo è necessario:
-
Vai a http:/serveraddress:serverport/libs/granite/security/content/truststore.html
-
Premere Collegamento Crea TrustStore
-
Immettere la password per TrustStore e premere Salva.
-
Fai clic su Gestisci TrustStore.
-
Carica il certificato IdP.
-
Prendi nota dell'alias del certificato. L'alias è admin#1436172864930 nell’esempio seguente.
Aggiungi il codice del fornitore di servizi e la catena di certificati al AEM keystore add-the-service-provider-key-and-certificate-chain-to-the-aem-keystore
com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
- Vai a: http://localhost:4502/libs/granite/security/content/useradmin.html
- Modifica le
authentication-service
utente. - Crea un KeyStore facendo clic su Crea KeyStore sotto Impostazioni account.
-
Carica il file della chiave privata facendo clic su Seleziona file di chiave privata. La chiave deve essere in formato PKCS#8 con codifica DER.
-
Carica il file del certificato facendo clic su Seleziona file della catena di certificati.
-
Assegna un alias, come illustrato di seguito:
Configurare un logger per SAML configure-a-logger-for-saml
È possibile impostare un logger per eseguire il debug di eventuali problemi derivanti dalla configurazione errata di SAML. Per farlo, segui questi passaggi:
-
Andando alla console Web, in http://localhost:4502/system/console/configMgr
-
Cerca e fai clic sulla voce chiamata Configurazione del logger di registrazione Sling di Apache
-
Crea un logger con la seguente configurazione:
- Livello di log: Debug
- File di log: logs/saml.log
- Logger: com.adobe.granite.auth.saml