SAML 2.0 認証ハンドラー saml-authentication-handler
AEM には、SAML 認証ハンドラーが付属しています。このハンドラーによって、HTTP POST
バインディングを使用した SAML 2.0 認証要求プロトコル(Web-SSO プロファイル)のサポートが提供されます。
次の機能をサポートします。
- メッセージの署名と暗号化
- ユーザーの自動作成
- AEM でグループを既存のグループに同期させる
- サービスプロバイダーと ID プロバイダーで開始される認証
このハンドラーは、暗号化された SAML 応答メッセージをユーザーノード(usernode/samlResponse
)に格納して、サードパーティのサービスプロバイダーとの通信を容易にします。
SAML 2.0 認証ハンドラーの設定 configuring-the-saml-authentication-handler
Web コンソールを使用すると、SAML 2.0 認証ハンドラーの設定(Adobe Granite SAML 2.0 Authentication Handler)にアクセスできます。設定可能なプロパティを以下に示します。
- ID プロバイダーの POST の URL
- サービスプロバイダーのエンティティ ID
パス この認証ハンドラーが Sling によって使用される場合のリポジトリのパスです。このプロパティが空の場合は、認証ハンドラーが無効になります。
サービスランキング このサービスを呼び出す順序を示す OSGi フレームワークサービスランキングの値です。これは整数値で、値が大きいほど優先順位が高くなります。
IDP 証明書エイリアス グローバル TrustStore における IdP の証明書のエイリアスです。このプロパティが空の場合は、認証ハンドラーが無効になります。設定方法については、以下の「AEM TrustStore への IdP 証明書の追加」の章を参照してください。
ID プロバイダーの URL SAML 認証要求を送信する必要のある IDP の URL です。このプロパティが空の場合は、認証ハンドラーが無効になります。
サービスプロバイダーのエンティティ ID このサービスプロバイダーを ID プロバイダーとして一意に識別する ID です。このプロパティが空の場合は、認証ハンドラーが無効になります。
デフォルトのリダイレクト 認証が成功した後のデフォルトのリダイレクト先です。
request-path
の Cookie が設定されていない場合にのみ使用されます。有効なログイントークンを使用せずに、設定済みのパスの下にあるページを要求すると、要求されたパスは Cookie に格納され、認証が成功した後にブラウザーは再びこの場所にリダイレクトされます。
ユーザー ID 属性 CRX リポジトリでのユーザーの認証および作成に使用されるユーザー ID を格納する属性の名前です。
saml:Subject
ノードではなく、この saml:Attribute
から取得されます。暗号化を使用 この認証ハンドラーが暗号化された SAML アサーションを使用するかどうかを示します。
CRX ユーザーを自動作成 認証が成功した後に、リポジトリで既存のユーザー以外のユーザーを自動的に作成するかどうかを示します。
グループに追加 認証が成功した後に、CRX グループにユーザーを自動的に追加する必要があるかどうかを示します。
グループメンバーシップ このユーザが追加されるべき CRX グループのリストを含む saml:Attribute の名前です。
IdP 証明書をAEM TrustStore に追加する add-the-idp-certificate-to-the-aem-truststore
SAML アサーションは署名され、オプションで暗号化できます。 この機能を使用するには、リポジトリ内の IdP の公開証明書を少なくとも指定する必要があります。 これをおこなうには、次の手順を実行する必要があります。
-
http:/serveraddress:serverport/libs/granite/security/content/truststore.html に移動します。
-
TrustStore リンクを作成 を押します。
-
TrustStore のパスワードを入力し、 保存.
-
クリック TrustStore を管理.
-
IdP 証明書をアップロードします。
-
証明書のエイリアスをメモします。 エイリアスはです。 admin#1436172864930 を次の例に示します。
AEM キーストアへのサービスプロバイダーキーと証明書チェーンを追加 add-the-service-provider-key-and-certificate-chain-to-the-aem-keystore
com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
- http://localhost:4502/libs/granite/security/content/useradmin.html に移動します。
authentication-service
ユーザーを編集します。- アカウント設定 の キーストアを作成 をクリックしてキーストアを作成します。
-
秘密鍵ファイルを選択 をクリックして秘密鍵ファイルをアップロードします。この鍵は PKCS#8 形式で、エンコードが DER である必要があります。
-
「 証明書チェーンファイルを選択.
-
次に示すように、エイリアスを割り当てます。
SAML 用のロガーの設定 configure-a-logger-for-saml
SAML の設定ミスに起因する問題をデバッグするために、ロガーを設定できます。 手順は次のとおりです。
-
Web コンソール(http://localhost:4502/system/console/configMgr)に移動
-
Apache Sling Logging Logger Configuration という名前のエントリを検索してクリックします。
-
次の設定でロガーを作成します。
- ログレベル: デバッグ
- ログファイル: logs/saml.log
- ロガー: com.adobe.granite.auth.saml