Show Menu
TÓPICOS×

Definir configurações do provedor de serviços SAML

O SAML (Security Assertion Markup Language) é uma das opções que você pode selecionar ao configurar a autorização para um domínio corporativo ou híbrido. O SAML é usado principalmente para suportar SSO em vários domínios. Quando o SAML é configurado como seu provedor de autenticação, os usuários fazem logon e se autenticam em formulários AEM por meio de um provedor de identidade de terceiros (IDP) especificado.
Para obter uma explicação do SAML, consulte Security Assertion Markup Language (SAML) V2.0 Technical Overview .
  1. No console de administração, clique em Configurações > Gerenciamento de usuários > Configuração > Configurações do provedor de serviços SAML.
  2. Na caixa ID de entidade do provedor de serviços, digite uma ID exclusiva para usar como identificador para a implementação do provedor de serviços de formulários AEM. Você também especifica essa ID exclusiva ao configurar seu IDP (por exemplo, um.lc.com .) Você também pode usar o URL usado para acessar formulários AEM (por exemplo, https://AEMformsserver ).
  3. Na caixa URL base do provedor de serviços, digite o URL básico para o servidor de formulários (por exemplo, https://AEMformsserver:8080 ).
  4. (Opcional) Para permitir que formulários AEM enviem solicitações de autenticação assinadas ao IDP, execute as seguintes tarefas:
    • Use o Gerenciador de confiança para importar uma credencial no formato PKCS #12 com a Credencial de assinatura do documento selecionada como Tipo de armazenamento de confiança. (Consulte Gerenciamento de credenciais locais.)
    • Na lista Alias da Chave de Credencial do Provedor de Serviços, selecione o alias atribuído à credencial no Repositório de Confiança.
    • Clique em Exportar para salvar o conteúdo do URL em um arquivo e depois importe esse arquivo para seu IDP.
  5. (Opcional) Na lista Diretiva de ID do nome do provedor de serviços, selecione o formato do nome que o IDP usa para identificar o usuário em uma asserção SAML. As opções são Não especificado, Email e Nome qualificado do domínio do Windows.
    Os formatos de nome não fazem distinção entre maiúsculas e minúsculas.
  6. (Opcional) Selecione Ativar prompt de autenticação para usuários locais. Quando essa opção for selecionada, os usuários verão dois links:
    • um link para a página de logon do provedor de identidade SAML de terceiros, onde os usuários que pertencem a um domínio Enterprise podem autenticar.
    • um link para a página de logon de formulários do AEM, onde os usuários que pertencem a um domínio local podem se autenticar.
    Quando essa opção não estiver selecionada, os usuários serão direcionados diretamente para a página de logon do provedor de identidade SAML de terceiros, onde os usuários que pertencem a um domínio Enterprise podem autenticar.
  7. (Opcional) Selecione Ativar vínculo de artefato para ativar o suporte para vínculo de artefato. Por padrão, o vínculo POST é usado com SAML. Mas se você tiver configurado o Vínculo de artefato, selecione esta opção. Quando essa opção é selecionada, a asserção do usuário real não é transmitida pela solicitação do navegador. Em vez disso, um ponteiro para a asserção é transmitido e a asserção é recuperada usando uma chamada de serviço da Web de backend.
  8. (Opcional) Selecione Ativar vínculo redirecionado para suportar vínculos SAML que usam redirecionamentos.
  9. (Opcional) Em Propriedades personalizadas, especifique propriedades adicionais. As propriedades adicionais são pares name=value separados por novas linhas.
    • Você pode configurar formulários AEM para emitir uma asserção SAML para um período de validade que corresponda ao período de validade de uma asserção de terceiros. Para cumprir o limite de tempo de asserção SAML de terceiros, adicione a seguinte linha em Propriedades personalizadas:
      saml.sp.honour.idp.assertion.expiry=true
    • Adicione a seguinte propriedade personalizada para usar RelayState para determinar o URL no qual o usuário será redirecionado após a autenticação bem-sucedida.
      saml.sp.use.relaystate=true
    • Adicione a seguinte propriedade personalizada para configurar o URL para o Java Server Pages (JSP) personalizado, que será usado para renderizar a lista registrada de provedores de identidade. Se você não implantou um aplicativo da Web personalizado, ele usará a página Gerenciamento de usuários padrão para renderizar a lista.
    saml.sp.discovery.url=/custom/custom.jsp
  10. Clique em Salvar.