Manipulador de autenticação SAML 2.0 saml-authentication-handler
AEM navios com uma SAML manipulador de autenticação. Esse manipulador fornece suporte para o SAML Protocolo de solicitação de autenticação 2.0 (perfil Web-SSO) usando o HTTP POST
vinculação.
Ele suporta:
- assinatura e criptografia de mensagens
- criação automática de usuários
- sincronização de grupos com os existentes no AEM
- Autenticação iniciada pelo Provedor de serviços e Provedor de identidade
Esse manipulador armazena a mensagem de resposta SAML criptografada no nó do usuário ( usernode/samlResponse
) para facilitar a comunicação com um provedor de serviços terceirizado.
Configurar o manipulador de autenticação do SAML 2.0 configuring-the-saml-authentication-handler
O Console da Web fornece acesso ao SAML Configuração do Manipulador de Autenticação 2.0 chamada Manipulador de autenticação do Adobe Granite SAML 2.0. As seguintes propriedades podem ser definidas.
- O URL do POST do Provedor de identidade.
- A ID da Entidade do Provedor de Serviços.
Caminho Caminho do repositório para o qual esse manipulador de autenticação deve ser usado pelo Sling. Se estiver vazio, o manipulador de autenticação será desativado.
Classificação do serviço Valor de Classificação do Serviço de Estrutura OSGi para indicar a ordem na qual chamar esse serviço. Esse é um valor inteiro em que valores mais altos designam precedência mais alta.
Alias de certificado IDP O alias do certificado do IdP no truststore global. Se esta propriedade estiver vazia, o manipulador de autenticação será desativado. Consulte o capítulo "Adicionar o certificado IdP ao AEM TrustStore" abaixo sobre como configurá-lo.
URL do provedor de identidade URL do IDP para o qual a Solicitação de autenticação SAML deve ser enviada. Se esta propriedade estiver vazia, o manipulador de autenticação será desativado.
ID da Entidade do Provedor de Serviços ID que identifica exclusivamente este provedor de serviços com o provedor de identidade. Se esta propriedade estiver vazia, o manipulador de autenticação será desativado.
Redirecionamento padrão O local padrão para o qual redirecionar após a autenticação bem-sucedida.
request-path
cookie não está definido. Se você solicitar qualquer página abaixo do caminho configurado sem um token de login válido, o caminho solicitado será armazenado em um cookiee o navegador será redirecionado para esse local novamente após a autenticação bem-sucedida.
Atributo de ID de usuário O nome do atributo que contém a ID de usuário usada para autenticar e criar o usuário no repositório CRX.
saml:Subject
nó da asserção SAML, mas desta saml:Attribute
.Usar criptografia Se esse manipulador de autenticação espera ou não asserções de SAML criptografadas.
Criar automaticamente usuários do CRX Criar ou não automaticamente usuários não existentes no repositório após a autenticação bem-sucedida.
Adicionar a grupos Se um usuário deve ou não ser adicionado automaticamente a grupos CRX após uma autenticação bem-sucedida.
Associação de Grupo O nome do saml:Attribute contendo uma lista de grupos CRX ao qual esse usuário deve ser adicionado.
Adicionar o Certificado IdP ao AEM TrustStore add-the-idp-certificate-to-the-aem-truststore
As asserções SAML são assinadas e podem, opcionalmente, ser criptografadas. Para que isso funcione, é necessário fornecer pelo menos o certificado público do IdP no repositório. Para fazer isso, você precisa:
-
Ir para http:/serveraddress:serverport/libs/granite/security/content/truststore.html
-
Pressione a tecla Criar link TrustStore
-
Digite a senha do TrustStore e pressione Salvar.
-
Clique em Gerenciar TrustStore.
-
Faça upload do certificado IdP.
-
Anote o certificado Alias. O alias é admin#1436172864930 no exemplo abaixo.
Adicionar a chave do Provedor de serviços e a cadeia de certificados ao repositório de chaves AEM add-the-service-provider-key-and-certificate-chain-to-the-aem-keystore
com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store
- Vá para: http://localhost:4502/libs/granite/security/content/useradmin.html
- Edite o
authentication-service
usuário. - Criar um KeyStore clicando em Criar KeyStore under Configurações da conta.
-
Carregue o arquivo de chave privada clicando em Selecionar arquivo de chave privada. A chave precisa estar no formato PKCS#8 com codificação DER.
-
Faça upload do arquivo de certificado clicando em Selecionar arquivos da cadeia de certificados.
-
Atribua um Alias, conforme mostrado abaixo:
Configurar um logger para SAML configure-a-logger-for-saml
Você pode configurar um Logger para depurar todos os problemas que possam surgir da configuração incorreta do SAML. Você pode fazer isso ao:
-
Ir para o Console da Web, em http://localhost:4502/system/console/configMgr
-
Procure e clique na entrada chamada Configuração do Apache Sling Logging Logger
-
Crie um logger com a seguinte configuração:
- Nível de registro: Depurar
- Arquivo de log: logs/saml.log
- Logger: com.adobe.granite.auth.saml