配置SAML服務提供程式設定 configure-saml-service-provider-settings
安全斷言標籤語言(SAML)是在為企業或混合域配置授權時可選擇的選項之一。 SAML主要用於支援跨多個網域的SSO。 將SAML設為驗證提供者時,使用者會透過指定的協力廠商身分提供者(IDP)登入AEM表單並進行驗證。
如需SAML的說明,請參閱 安全聲明標籤語言(SAML)V2.0技術概述.
-
在管理控制台中,按一下「設定>使用者管理>設定> SAML服務提供者設定」 。
-
在「服務提供者實體ID」方塊中,輸入唯一ID以用作AEM表單服務提供者實作的識別碼。 您也可在設定IDP時指定此唯一ID(例如
um.lc.com.) 您也可以使用用來存取AEM表單的URL(例如https://AEMformsserver)。 -
在「服務提供者基本URL」方塊中,輸入表單伺服器的基本URL(例如,
https://AEMformsserver:8080)。 -
(可選)若要讓AEM表單傳送已簽署的驗證請求給IDP,請執行下列工作:
- 使用信任管理器以PKCS #12格式導入憑據,並選擇文檔簽名憑據作為信任儲存類型。 (請參閱 管理本機憑證.)
- 在「服務提供程式憑據密鑰別名」清單中,選擇在信任儲存中分配給憑據的別名。
- 按一下「匯出」 ,將URL內容儲存至檔案,然後將該檔案匯入您的IDP。
-
(選用)在「服務提供者名稱ID原則」清單中,選取IDP在SAML斷言中用來識別使用者的名稱格式。 選項為「未指定」、「電子郵件」和「Windows網域限定名稱」。
note note NOTE 名稱格式不區分大小寫。 -
(可選)選擇為本地用戶啟用身份驗證提示。 選取此選項後,使用者會看到兩個連結:
- 第三方SAML身分提供者的登入頁面連結,屬於企業網域的使用者可在此驗證。
- AEM表單登入頁面的連結,屬於本機網域的使用者可在此頁面驗證。
若未選取此選項,系統會直接將使用者帶往協力廠商SAML身分提供者的登入頁面,屬於企業網域的使用者可在此進行驗證。
-
(可選)選擇啟用對象綁定以啟用對象綁定支援。 依預設,POST系結會與SAML搭配使用。 但是,如果已配置對象綁定,請選擇此選項。 選取此選項時,實際的使用者斷言不會透過瀏覽器請求傳遞。 而是會傳遞斷言的指標,並使用後端Web服務呼叫來擷取斷言。
-
(選用)選取「啟用重新導向系結」 ,以支援使用重新導向的SAML系結。
-
(選用)在自訂屬性中,指定其他屬性。 其他屬性是由新行分隔的name=value對。
-
您可以設定AEM表單,以針對符合第三方聲明之有效期的有效期發出SAML聲明。 若要遵循協力廠商SAML斷言逾時,請在自訂屬性中新增下列行:
saml.sp.honour.idp.assertion.expiry=true -
添加以下自定義屬性以使用RelayState來確定成功驗證後將重定向用戶的URL。
saml.sp.use.relaystate=true -
添加以下自定義屬性以配置自定義Java Server Pages(JSP)的URL,該URL將用於呈現身份提供程式的註冊清單。 如果尚未部署自定義Web應用程式,它將使用預設的「用戶管理」頁來呈現清單。
saml.sp.discovery.url=/custom/custom.jsp -
-
按一下「儲存」。