設定驗證提供者 configuring-authentication-providers

混合式網域至少需要一個驗證提供者,而企業網域至少需要一個驗證提供者或目錄提供者。

如果您使用SPNEGO啟用SSO,請新增已啟用SPNEGO的Kerberos驗證提供者和LDAP提供者作為備份。 如果SPNEGO無法運作,此設定會啟用具有使用者ID和密碼的使用者驗證。 (請參閱 使用SPNEGO啟用SSO.)

新增驗證提供者 add-an-authentication-provider

  1. 在管理控制檯中,按一下「設定>使用者管理>網域管理」。
  2. 按一下清單中的現有網域。 如果您為新網域新增驗證,請參閱 新增企業網域新增混合式網域.
  3. 按一下「新增驗證」,然後在「驗證提供者」清單中選取提供者,視您的組織所使用的驗證機制而定。
  4. 在頁面上提供所需的任何其他資訊。 (請參閱 驗證設定.)
  5. (選用)按一下「測試」以測試設定。
  6. 按一下「確定」,然後再次按一下「確定」。

編輯現有的驗證提供者 edit-an-existing-authentication-provider

  1. 在管理控制檯中,按一下「設定>使用者管理>網域管理」。
  2. 按一下清單中適當的網域。
  3. 在出現的頁面上,從清單中選取適當的驗證提供者,並視需要進行變更。 (請參閱 驗證設定.)
  4. 按一下「確定」。

刪除驗證提供者 delete-an-authentication-provider

  1. 在管理控制檯中,按一下「設定>使用者管理>網域管理」。
  2. 按一下清單中適當的網域。
  3. 選取要刪除的驗證提供者核取方塊,然後按一下刪除。
  4. 在出現的確認頁面上按一下「確定」,然後再次按一下「確定」。

驗證設定 authentication-settings

下列設定可供使用,視您選擇的網域型別和驗證型別而定。

LDAP設定 ldap-settings

如果您要設定企業或混合式網域的驗證,並選取LDAP驗證,您可以選擇使用目錄組態中指定的LDAP伺服器,或者選擇其他LDAP伺服器來用於驗證。 如果您選擇不同的伺服器,您的使用者必須存在於兩個LDAP伺服器上。

若要使用目錄組態中指定的LDAP伺服器,請選取LDAP做為驗證提供者,然後按一下確定。

若要使用不同的LDAP伺服器來執行驗證,請選取LDAP做為驗證提供者,然後選取「自訂LDAP驗證」核取方塊。 會顯示下列組態設定。

伺服器: (必要)目錄伺服器的完整網域名稱(FQDN)。 例如,對於在example.com網路上名為x的電腦,FQDN是x.example.com。 可以使用IP位址取代FQDN伺服器名稱。

連線埠: (必要)目錄伺服器使用的連線埠。 一般為389,如果安全通訊端層(SSL)通訊協定用於透過網路傳送驗證資訊,則為636。

SSL: (必要)指定在透過網路傳送資料時,目錄伺服器是否使用SSL。 預設值為「否」。 設定為Yes時,應用程式伺服器的Java™執行階段環境(JRE)必須信任對應的LDAP伺服器憑證。

繫結 (必要)指定存取目錄的方式。

匿名: 不需要使用者名稱或密碼。

使用者: 需要驗證。 在「名稱」方塊中,指定可存取目錄的使用者記錄名稱。 最好輸入使用者帳戶的完整辨別名稱(DN),例如cn=Jane Doe、ou=user、dc=can、dc=com。 在「密碼」方塊中,指定相關的密碼。 當您選取「使用者」作為「繫結」選項時,需要這些設定。

擷取基本DN: (非必要)擷取基本DN並在下拉式清單中顯示它們。 當您有多個基本DN且需要選取值時,此設定很有用。

基本DN: (必要)當作從LDAP階層同步使用者與群組的起點。 最好在階層的最低層級指定基礎DN,該階層包含所有需要同步處理服務的使用者和群組。 請勿在此設定中加入使用者的DN。 若要同步特定使用者,請使用「搜尋篩選」設定。

將下列專案填入頁面: (非必要)選取時,會使用對應的預設LDAP值填入「使用者」和「群組」設定頁面上的屬性。

搜尋篩選器: (必要)用來尋找與使用者相關聯之記錄的搜尋篩選器。 請參閱搜尋篩選器語法。

Kerberos設定 kerberos-settings

如果您要設定企業或混合網域的驗證,並選取Kerberos驗證,則可使用下列設定。

DNS IP: 執行AEM表單之伺服器的DNS IP位址。 在Windows上,您可以在命令列執行ipconfig /all以判斷此IP位址。

KDC主機: 用於驗證之Active Directory伺服器的完整主機名稱或IP位址。

服務使用者: 如果您使用Active Directory 2003,這個值就是表單中為服務主體建立的對應 HTTP/<server name>. 如果您使用Active Directory 2008,這個值就是服務主體的登入ID。 例如,假設服務主體名為um spnego,使用者ID為spnegedemo,對應為HTTP/example.yourcompany.com。 使用Active Directory 2003時,您可將服務使用者設定為HTTP/example.yourcompany.com。 使用Active Directory 2008時,您可以將「服務使用者」設定為spnegodemo。 (請參閱使用SPNEGO啟用SSO。)

服務範圍: 主動式目錄的網域名稱

服務密碼: 服務使用者的密碼

啟用SPNEGO: 允許使用SPNEGO進行單一登入(SSO)。 (請參閱使用SPNEGO啟用SSO。)

SAML設定 saml-settings

如果您要設定企業或混合網域的驗證,並選取SAML驗證,則可使用下列設定。 如需其他SAML設定的相關資訊,請參閱 設定SAML服務提供者設定.

請選取要匯入的SAML身分提供者中繼資料檔案: 按一下「瀏覽」,選取從IDP產生的SAML身份提供者中繼資料檔案,然後按一下「匯入」。 會顯示來自IDP的詳細資訊。

標題: EntityID所代表之URL的別名。 企業及本機使用者的登入頁面上也會顯示標題。

身分提供者支援使用者端基本驗證: 當IDP使用SAML成品解析設定檔時,會使用使用者端基本驗證。 在此設定檔中,「使用者管理」會連線回在IDP上執行的Web服務,以擷取實際的SAML宣告。 IDP可能需要驗證。 如果IDP確實需要驗證,請選取此選項,並在提供的方塊中指定使用者名稱和密碼。

自訂屬性: 可讓您指定其他屬性。 其他屬性為名稱=值配對,以新行分隔。

如果使用成品繫結,則需要下列自訂屬性。

  • 新增下列自訂屬性,以指定代表AEM Forms服務提供者的使用者名稱,該使用者名稱用於驗證IDP成品解析服務。
    saml.idp.resolve.username=<username>

  • 新增下列自訂屬性,為指定的使用者指定密碼 saml.idp.resolve.username.
    saml.idp.resolve.password=<password>

  • 新增下列自訂屬性,以允許服務提供者在透過SSL建立與成品解析服務的連線時忽略憑證驗證。
    saml.idp.resolve.ignorecert=true

自訂設定 custom-settings

如果您要設定企業或混合網域的驗證,並選取「自訂驗證」,請選取自訂驗證提供者的名稱。

使用者即時布建 just-in-time-provisioning-of-users

即時啟動設定會在使用者透過驗證提供者成功驗證後,自動在「使用者管理」資料庫中建立使用者。 相關的角色和群組也會動態指派給新使用者。 您可以啟用企業網域和混合網域的即時布建。

此程式說明傳統驗證在AEM Forms中的運作方式:

  1. 當使用者嘗試登入AEM表單時,「使用者管理」會依序將其憑證傳遞給所有可用的驗證提供者。 (登入憑證包括使用者名稱/密碼組合、Kerberos票證、PKCS7簽名等。)

  2. 驗證提供者會驗證認證。

  3. 驗證提供者接著會檢查使用者是否存在於使用者管理資料庫中。 可能的狀態如下:

    存在 如果使用者為最新狀態且已解除鎖定,「使用者管理」會傳回驗證成功。 但是,如果使用者不是最新使用者或已鎖定,「使用者管理」會傳回驗證失敗。

    不存在 User Management傳回驗證失敗。

    無效 User Management傳回驗證失敗。

  4. 會評估驗證提供者傳回的結果。 如果驗證提供者傳回驗證成功,則允許使用者登入。 否則,「使用者管理」會檢查下一個驗證提供者(步驟2-3)。

  5. 如果沒有可用的驗證提供者驗證使用者認證,則會傳回驗證失敗。

啟用即時布建時,如果其中一個驗證提供者驗證其認證,則會在「使用者管理」中動態建立新使用者。 (上述程式中的步驟3之後。)

如果沒有即時布建,當使用者成功驗證但找不到使用者管理資料庫時,驗證會失敗。 即時啟動設定會在驗證程式中新增一個步驟,以建立使用者並將角色和群組指派給使用者。

為網域啟用即時布建 enable-just-in-time-provisioning-for-a-domain

  1. 編寫實作IdentityCreator和AssignmentProvider介面的服務容器。 (請參閱 使用AEM表單進行程式設計.)

  2. 將服務容器部署至Forms伺服器。

  3. 在管理控制檯中,按一下「設定>使用者管理>網域管理」。

    選取現有的網域,或按一下「新增企業網域」。

  4. 若要建立網域,請按一下[新增企業網域]或[新增混合網域]。 若要編輯現有網域,請按一下網域名稱。

  5. 選取啟用準時布建。

    注意​:如果缺少「啟用即時布建」核取方塊,請按一下「首頁」 > 「設定」 > 「使用者管理」 > 「組態」 > 「進階系統屬性」 ,然後按一下「重新載入」 。

  6. 新增驗證提供者。 新增驗證提供者時,請在[新增驗證]畫面上,選取已註冊的[識別建立者]和[指派提供者]。 (請參閱 設定驗證提供者.)

  7. 儲存網域。

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2