在设置自定义身份验证时,您将控制身份验证过程,并可在 AEM Mobile 应用程序中自定义登录体验。自定义身份验证登录体验将在应用程序中以您设计的全屏 Web 视图的形式显示。

自定义登录体验

支持下列格式:

  • SAML 2.0,包括对 MFA/OKTA 和 Gigya 的支持。
  • OAuth 2.0,包括社交共享登录(例如 Facebook 或 Gmail)。
  • 通用,允许您设计您自己的登录行为并与您的授权服务进行交互。

例如,您可以允许您的销售代表使用他们的电子邮件和密码外加 OKTA 验证 (SAML 2.0) 登录应用程序。或者,您也可以允许客户使用他们的 Gmail 或 Facebook 帐户 (OAuth 2.0) 登录应用程序。应用程序将从这些标识提供者处获取授权令牌,您可以在授权服务中使用授权令牌授权用户访问内容。通过利用 setAuthToken API,您可通过多种方式扩展您的身份验证方法,包括在同一应用程序中使用多种身份验证方法。

通用标识提供者允许两个替代身份验证用例,包括:

  • 提供自定义 UI(如 HTML 表单)而不是使用标准用户名和密码提示。
  • 在文章中而不是通过标准身份验证过程构建登录体验。

 

请注意,仍需要使用 v2 Direct Entitlement API 的授权服务才能授权用户访问内容。

为客户提供了相应 API,用于确定用户是否已通过身份验证、是否获得身份验证令牌以及是否启动登录 UI Web 视图。请参阅使用特定于 AEM Mobile 的支持 Cordova 的 API

 

自定义身份验证视频

自定义身份验证视频
自定义身份验证简介视频。

设置自定义身份验证

标识提供者在“主设置”中设置并适用于“项目设置”中的项目。您可以在主帐户级别创建多个标识提供者,以便在项目中使用。

  1. 设置要用于 AEM Mobile 的授权服务。

    即使您启用自定义身份验证服务,也需要使用 v2 Direct Entitlement API 的授权服务才能授权用户访问内容。请参阅 AEM Mobile 应用程序中的授权

  2. 设置 SAML 2.0、OAuth 2.0 或通用标识提供者,以便用于 AEM Mobile 和您的授权服务。

    Google 标识提供者

    有关设置 Google 标识提供者的示例,请参阅此 PDF 文件(仅英文版):

    下载

    Facebook 标识提供者

    有关设置 Facebook 标识提供者的示例,请参阅此 PDF 文件(仅英文版):

    下载

    通用标识提供者

    有关设置通用标识提供者的示例,请参阅此示例(仅英文版):

    下载

    如需有关通用标识提供者的视频,请参阅通用 IdP 视频(仅英文版)。

    Gigya

    您可以使用 Gigya 客户标识管理作为标识提供者,从而允许客户使用传统方法和各种社交媒体方法(如 Facebook、Google 和 LinkedIn)进行登录。有关设置 Gigya 标识提供者的示例,请参阅此示例(仅英文版):

    下载

    在 Gigya 文档中查看此 AEM Mobile 文章

     

    注意:

    Gigya 身份验证工作流程需要使用用户浏览器中设置的 Cookie。当 AEM Mobile 应用程序检测到这些 Cookie 为第三方 Cookie 并阻止它们时,Gigya 身份验证可能会在 AEM Mobile 应用程序中失败。如果阻止第三方 Cookie 使 Gigya 工作流程无法正确地进行身份验证,您可能需要使用下列 Gigya 文档中介绍的解决方法:被阻止的第三方 Cookie

     

    该示例授权服务代码包含对自定义身份验证的支持。有关详细信息,请参阅设置授权服务

  3. 使用主管理员帐户登录到点播门户。单击“主设置”,然后单击“标识提供者”选项卡。

  4. 单击“创建标识提供者”(+) 图标,然后指定标识提供者名称和类型(OAuth 2.0、SAML 2.0 或通用)。

  5. 指定您的身份提供者的信息。请参阅本文档后面的选项描述。

  6. 要在标识提供者和 AEM Mobile 应用程序之间建立信任,请复制 Experience Manager Mobile 响应端点 (SAML 2.0) 或 Experience Manager Mobile 重定向端点 (OAuth 2.0) 值,并将其添加到您的标识提供者配置中。

    添加此信息可让服务知道如何向 AEM Mobile 通知身份验证过程的结果。例如,从 Facebook 返回的身份验证令牌与该用户的授权服务中的令牌不同。在授权服务中,您需要映射用户的 Facebook 身份验证令牌,这样,在 AEM Mobile 调用授权时,授权服务将返回正确的响应。然后,用户将在登录时获得查看内容的授权。

  7. 在点播门户中,转到“项目设置”,编辑项目,然后单击“访问”选项卡。选择“启用自定义身份验证”,然后选择在“主设置”中创建的适当的标识提供者。

  8. 构建非预检应用程序并测试自定义身份验证设置。

SAML 2.0 设置

服务提供者 ID - AEM Mobile 在向标识提供者发送身份验证请求时用来标识其自身的值。应向标识提供者注册服务提供者 ID。

协议绑定 - 定义要用于向标识提供者发送身份验证请求的 SAML 协议绑定。支持 POST 和 REDIRECT 协议绑定。

名称 ID 格式 - 如果指定,AEM Mobile 授权服务将请求响应的主题标识符以使用指定的格式:无、永久、临时或未指定。对 Gigya 标识提供者使用“未指定”。

身份验证令牌源 - 指定身份验证响应的哪个部分包含身份验证令牌。如果您使用属性,请在包含身份验证令牌的身份验证响应中指定属性的名称。如果 NameID 格式设置为临时,则可以选择 NameID。

身份验证 URL - AEM Mobile 应将身份验证请求发送到的标识提供者 URL。

公共签名密钥证书 - 标识提供者的签名公共密钥对应的 X509 证书,AEM Mobile 使用它来验证断言签名。

默认会话到期 - 成功的登录响应有效的秒数(如果在响应中未明确指定持续时间)。到期后,会话将会刷新(如果标识提供者支持);否则,用户将会注销。默认为一小时(3600 秒)。

Experience Manager Mobile 响应端点 - 标识提供者需要将断言响应发送到的 URL。您必须配置标识提供者才能使用 AEM Mobile 提供的这个值。

Experience Manager Mobile 公共加密密钥证书 - 加密公共密钥的 X509 证书,标识提供者可用它来加密身份验证响应中的密钥(如果需要)。

OAuth 2.0 设置

授权许可类型 - 确定授权许可的类型:“授权代码”或“隐式”。

令牌端点 - AEM Mobile 用来交换访问令牌的授权代码或刷新令牌。强烈建议使用 HTTPS。

客户端密码 - 在联系令牌端点时,AEM Mobile 使用此值来验证自身的身份。需要向标识提供者注册您指定的客户端密码。

默认会话到期 - 成功的登录响应有效的秒数(如果在响应中未明确指定持续时间)。到期后,会话将会刷新(如果标识提供者支持);否则,用户将会注销。默认为一小时(3600 秒)。

授权端点 - AEM Mobile 用来从标识提供者处获取授权。强烈建议使用 HTTPS。

客户端标识符 - 在联系标识提供者时,AEM Mobile 使用此值来标识自身。需要向标识提供者注册客户端标识符。

访问令牌范围 - 描述访问请求的范围。使用空白指定多个值。Facebook 示例:public_profile、email、user_likes、user_friends。

Experience Manager Mobile 重定向端点 - 指定完成授权过程后标识提供者应重定向到的 AEM Mobile URL。该值由 AEM Mobile 提供,需要向标识提供者进行注册。

通用设置

身份验证 URL – 指定包含用于登录的 UI 的网站的 URL。此网站应包含在用户登录时将身份验证令牌传递到授权服务的信息。

默认会话到期 - 成功的登录响应有效的秒数(如果在响应中未明确指定持续时间)。到期后,会话将会刷新(如果标识提供者支持);否则,用户将会注销。默认为一小时(3600 秒)。

自定义身份验证说明和最佳实践

  • 在“主设置”中创建标识提供者后,将无法更改标识提供者类型(SAML 2.0 或 OAuth 2.0)。若要更改类型,您需要创建一个新的标识提供者。
  • 为活动项目更改标识提供者会将所有用户注销。
  • SAML 不支持刷新。在会话结束时,用户必须重新登录。如果 OAuth 提供者不支持刷新令牌,那么这也适用于 OAuth。
  • 在设备上注销不一定会将用户从标识提供者中注销。标识提供者将确定有效会话时长。

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略