Show Menu
ARGOMENTI×

Gestore autenticazione SAML 2.0

AEM viene fornito con un gestore di autenticazione SAML . Questo gestore fornisce il supporto per il protocollo SAML 2.0 Authentication Request Protocol (profilo Web-SSO) tramite il HTTP POST binding.
Supporta:
  • firma e cifratura dei messaggi
  • creazione automatica degli utenti
  • sincronizzazione di gruppi con quelli esistenti in AEM
  • Autenticazione avviata dal provider di servizi e dal provider di identità
Questo gestore memorizza il messaggio di risposta SAML crittografato nel nodo utente ( usernode/samlResponse ) per facilitare la comunicazione con un provider di servizi di terze parti.
Per leggere un articolo della community end to end, fate clic su: Integrazione di SAML con Adobe Experience Manager .

Configurazione Del Gestore Di Autenticazione SAML 2.0

La console Configurazione di OSGi Web consente di accedere alla configurazione del gestore di autenticazione SAML 2.0 denominata gestore di autenticazione Adobe Granite SAML 2.0. È possibile impostare le seguenti proprietà.
Per impostazione predefinita, il gestore di autenticazione SAML 2.0 è disabilitato. Per attivare il gestore, è necessario impostare almeno una delle seguenti proprietà:
  • L’URL POST del provider di identità.
  • L'ID entità provider di servizi.
Le asserzioni SAML sono firmate e facoltativamente possono essere crittografate. Affinché questo funzioni, è necessario fornire almeno il certificato pubblico del provider di identità nel TrustStore. Per ulteriori informazioni, consultate Aggiunta del certificato IdP alla sezione TrustStore .
Percorso del repository per il quale Sling deve utilizzare il gestore di autenticazione. Se questo campo è vuoto, il gestore di autenticazione verrà disabilitato.
Classificazione del servizio OSGi Framework Service Ranking valore per indicare l'ordine in cui chiamare questo servizio. Si tratta di un valore intero per il quale i valori superiori indicano una precedenza superiore.
Alias certificato IDP L'alias del certificato dell'IdP nell'archivio di attendibilità globale. Se questa proprietà è vuota, il gestore di autenticazione è disabilitato. Consultate il capitolo "Add the IdP Certificate to AEM TrustStore" (Aggiungi certificato IdP a AEM TrustStore) per informazioni sulla configurazione.
URL provider di identità dell'IDP a cui deve essere inviata la richiesta di autenticazione SAML. Se questa proprietà è vuota, il gestore di autenticazione è disabilitato.
Il nome host del provider di identità deve essere aggiunto alla configurazione Apache Sling Referrer Filter OSGi. Per ulteriori informazioni, vedere la sezione della console Configurazione di OSGi Web.
ID entità provider di servizi che identifica in modo univoco questo provider di servizi con il provider di identità. Se questa proprietà è vuota, il gestore di autenticazione è disabilitato.
Reindirizzamento predefinito Il percorso predefinito a cui reindirizzare dopo l'autenticazione.
Questa posizione viene utilizzata solo se il request-path cookie non è impostato. Se richiedete una pagina sotto il percorso configurato senza un token di login valido, il percorso richiesto viene memorizzato in un cookie e il browser verrà reindirizzato di nuovo a questa posizione dopo l'autenticazione.
Attributo ID utente Il nome dell'attributo contenente l'ID utente utilizzato per autenticare e creare l'utente nell'archivio CRX.
L'ID utente non verrà preso dal saml:Subject nodo dell'asserzione SAML ma da questo saml:Attribute .
Usa crittografia Se questo gestore di autenticazione prevede o meno asserzioni SAML crittografate.
Creazione automatica di utenti CRX Consente di creare automaticamente utenti non esistenti nella directory archivio dopo l'autenticazione.
Se la creazione automatica di utenti CRX è disattivata, gli utenti dovranno essere creati manualmente.
Aggiungi a gruppi Indica se un utente deve essere aggiunto automaticamente ai gruppi CRX dopo l'autenticazione.
Appartenenza al gruppo Il nome dell'attributo saml:Attribute contenente un elenco di gruppi CRX a cui l'utente deve essere aggiunto.

Aggiungi il certificato IdP a AEM TrustStore

Le asserzioni SAML sono firmate e facoltativamente possono essere crittografate. Affinché questo funzioni, è necessario fornire almeno il certificato pubblico dell'IdP nella directory archivio. A tal fine, è necessario:
  1. Vai a http:/serveraddress:serverport/libs/granite/security/content/truststore.html
  2. Premere il collegamento Create TrustStore
  3. Immettere la password per TrustStore e premere Salva .
  4. Fare clic su Gestisci TrustStore .
  5. Caricate il certificato IdP.
  6. Prendi nota del certificato Alias. L’alias è admin#1436172864930 nell’esempio seguente.

Aggiungi il codice del fornitore di servizi e la catena di certificati all’archivio chiavi di AEM

I passaggi indicati di seguito sono obbligatori, in caso contrario verrà generata l'eccezione seguente: com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
  1. Modificate l’ authentication-service utente.
  2. Create un KeyStore facendo clic su Create KeyStore in Impostazioni ​account.
La procedura seguente è necessaria solo se il gestore deve essere in grado di firmare o decifrare i messaggi.
  1. Caricate il file della chiave privata facendo clic su Seleziona file di chiave privata. I contenuti chiave devono essere in formato PKCS#8 con codifica DER.
  2. Caricate il file del certificato facendo clic su Seleziona file catena certificati.
  3. Assegna un alias, come illustrato di seguito:

Configurare un logger per SAML

È possibile impostare un logger per eseguire il debug di eventuali problemi che potrebbero verificarsi durante la configurazione errata di SAML. È possibile eseguire questa operazione tramite:
  1. Passate alla console Web all'indirizzo http://localhost:4502/system/console/configMgr
  2. Cercare e fare clic sulla voce chiamata Configurazione registro Apache Sling Logging
  3. Create un logger con la configurazione seguente:
    • Livello registro: Debug
    • File di registro: logs/saml.log
    • Logger: com.adobe.granite.auth.saml