Problem
Beim Versuch, eine Okta-Authentifizierung mit AEM SAML zu integrieren, wird dasbegegnet Ihnen das folgende Problem: ausgegeben:
11.10.2017 16:33:14.633 *DEBUG* [qtp830180711-278] com.adobe.granite.auth.saml.model.Assertion Invalid Assertion: audienceRestrictions violated. 11.10.2017 16:33:14.633 *INFO* [qtp830180711-278] com.adobe.granite.auth.saml.SamlAuthenticationHandler Login failed. SAML token invalid. 11.10.2017 16:33:14.633 *INFO* [qtp830180711-278] com.adobe.granite.auth.saml.SamlAuthenticationHandler SAML error with reason: invalid_token detected, redirect user to: /libs/granite/core/content/login.error.html?j_reason=invalid_token
Ursache
Die Ursache ist ein Unterschied zwischen der Anmelde-URL, definiert in Okta, und der vom Dienst bereitgestellten Entitäts-ID, definiert in SAML 2.0 Authentication Handler.
Beide Werte müssen ausgerichtet werden und der von der IDP zurückgegebene Wert ist in der Antwort wie folgt zu sehen:
<saml2:Audience>http://localhost:4502/</saml2:Audience>
Lösung
Den Wert für die Zielgruppe, der in der SAML-Antwort an die vom Dienst bereitgestellte Entitäts-ID zurückgegeben wird, in der AEM-Konfiguration definieren und schließlich das nachfolgende „/“ Zeichen hinzufügen.