Sie sehen sich Hilfeinhalte der folgenden Version an:
- 6.4
- 6.3
- 6.2
- Ältere Versionen
AEM Forms bietet zwei Möglichkeiten zum Aktivieren der einmaligen Anmeldung (SSO) – HTTP-Kopfzeile und SPNEGO:
Wenn die einmalige Anmeldung implementiert ist, sind die AEM Forms-Anmeldeseiten nicht erforderlich und werden nicht angezeigt, sofern der Benutzer bereits durch sein Firmenportal authentifiziert wurde.
Wenn AEM Forms einen Benutzer mithilfe keiner der Methoden authentifizieren kann, wird der Benutzer zu einer Anmeldungsseite umgeleitet.
Auf der Seite „Portalkonfiguration“ können Sie die einmalige Anmeldung (SSO) zwischen Anwendungen und jeder Anwendung aktivieren, die die Identitätsübermittlung per HTTP-Kopfzeile unterstützt. Wenn die einmalige Anmeldung implementiert ist, sind die AEM Forms-Anmeldeseiten nicht erforderlich und werden nicht angezeigt, sofern der Benutzer bereits durch sein Firmenportal authentifiziert wurde.
Sie können die einmalige Anmeldung auch über SPNEGO aktivieren. (Siehe Einmalige Anmeldung über SPNEGO aktivieren.)
-
Legen Sie die restlichen Einstellungen auf der Seite wie erforderlich fest und klicken Sie auf „OK“.
SSO-Typ: (Obligatorisch) Wählen Sie „HTTP-Kopfzeile“, um die einmalige Anmeldung mithilfe von HTTP-Kopfzeilen zu aktivieren.
HTTP-Header für Benutzer-Bezeichner: (Obligatorisch) Name der Kopfzeile, deren Wert den eindeutigen Bezeichner des angemeldeten Benutzers enthält. User Management verwendet diesen Wert, um den Benutzer in der User Management-Datenbank zu suchen. Der aus dieser Kopfzeile extrahierte Wert muss mit dem eindeutigen Bezeichner des Benutzers übereinstimmen, der aus der Synchronisierung mit dem LDAP-Ordner stammt. (Siehe Benutzereinstellungen.)
Bezeichnerwert wird der Benutzer-ID des Benutzers anstelle des eindeutigen Bezeichners des Benutzers zugeordnet: Ordnet den eindeutigen Bezeichnerwert des Benutzers der Benutzer-ID zu. Wählen Sie diese Option, wenn der eindeutige Bezeichner des Benutzers ein binärer Wert ist, der nicht einfach über HTTP-Kopfzeilen (z. B. „objectGUID“, wenn Sie Benutzer aus Active Directory synchronisieren) weitergeleitet werden kann.
HTTP-Kopfzeile für die Domäne: (Nicht obligatorisch) Name der Kopfzeile, deren Wert den Domänennamen enthält. Verwenden Sie diese Einstellung nur, wenn der Benutzer nicht mithilfe einer einzelnen HTTP-Kopfzeile eindeutig identifiziert werden kann. Verwenden Sie diese Einstellung, wenn mehrere Domänen vorhanden sind und der eindeutige Bezeichner nur innerhalb der angegebenen Domäne eindeutig ist. Geben Sie in diesem Fall den Kopfzeilennamen in dieses Textfeld ein und legen Sie die Domänenzuordnung für die verschiedenen Domänen im Feld „Domänenzuordnung“ fest. (Siehe Bearbeiten und Konvertieren bestehender Domänen.)
Domänenzuordnung: (Obligatorisch) Hier können Sie die Zuordnung für mehrere Domänen im Format Kopfzeilenwert=Domänenname angeben.
Betrachten wir als Beispiel einen Fall, in dem die HTTP-Kopfzeile für eine Domäne „domainName“ lautet und die Werte „Domäne1“, „Domäne2“ oder „Domäne3“ haben kann. In diesem Fall ordnen Sie die domainName-Werte mithilfe der Domänenzuordnung User Management-Domänennamen zu. Jede Zuordnung muss in einer eigenen Zeile stehen:
Domäne1=UMdomain1
Domäne2=UMdomain2
Domäne3=UMdomain3
Die Schritte für die Konfiguration zulässiger Referenzen finden Sie unter Zulässige Referenzen konfigurieren.
Über SPNEGO (Simple and Protected GSSAPI Negotiation Mechanism) können Sie die einmalige Anmeldung (SSO) aktivieren, wenn Sie Active Directory als LDAP-Server in einer Windows-Umgebung verwenden. Wenn die einmalige Anmeldung aktiviert ist, sind die AEM Forms-Seiten für die Benutzeranmeldung nicht erforderlich und werden nicht angezeigt.
Sie können die einmalige Anmeldung auch über HTTP-Kopfzeilen aktivieren. (Siehe Einmalige Anmeldung (Single Sign-On, SSO) über HTTP-Kopfzeilen aktivieren.)
Hinweis:
AEM Forms on JEE unterstützt nicht die Konfiguration von SSO mithilfe von Kerberos/SPNEGO in einer mehrfahcen untergeordneten Domänenumgebung.
-
Erstellen Sie in Active Directory einen Benutzer, der den AEM Forms-Server repräsentiert. (Siehe Benutzerkonto erstellen.) Wenn Sie mehr als eine Domäne zum Verwenden von SPNEGO konfigurieren, stellen Sie sicher, dass die Kennwörter für jeden einzelnen Benutzer verschieden sind. Wenn die Kennwörter nicht verschieden sind, kann SPNEGO nicht verwendet werden.
-
Weisen Sie den Dienstprinzipalnamen zu. (Siehe Dienstprinzipalnamen (SPN) zuweisen.)
-
Konfigurieren Sie den Domänencontroller. (Siehe Fehler bei der Kerberos-Integritätsprüfung verhindern.)
-
Anschließend müssen Sie eine Unternehmensdomäne hinzufügen oder bearbeiten (siehe Domänen hinzufügen oder Bestehende Domänen bearbeiten oder umwandeln). Führen Sie beim Erstellen oder Bearbeiten der Unternehmensdomäne die folgenden Aufgaben aus:
Erstellen oder bearbeiten Sie einen Ordner, der Ihre Active Directory-Informationen enthält.
Fügen Sie LDAP als Authentifizierungsanbieter hinzu.
Fügen Sie Kerberos als Authentifizierungsanbieter hinzu. Geben Sie auf der Seite „Neu“ oder „Authentifizierung bearbeiten“ für Kerberos die folgenden Informationen ein:
Authentifizierungsanbieter: Kerberos
DNS-IP: Die DNS-IP-Adresse des Servers, auf dem AEM Forms ausgeführt wird. Sie können diese IP-Adresse bestimmen, indem Sie ipconfig/all in die Befehlszeile eingeben.
KDC-Host: Der voll qualifizierte Hostname bzw. die IP-Adresse des für die Authentifizierung verwendeten Active Directory-Servers.
Dienstbenutzer: Der an das Tool KtPass übergebene Dienstprinzipalname. In dem zuvor verwendeten Beispiel ist der Dienstbenutzer HTTP/lcserver.um.lc.com.
Dienstbereich: Der Domänenname für Active Directory. In dem zuvor verwendeten Beispiel ist der Domänenname UM.LC.COM.
Dienstkennwort: Das Kennwort des Dienstbenutzers. In dem zuvor verwendeten Beispiel ist das Dienstkennwort password.
SPNEGO aktivieren: Aktiviert die Verwendung von SPNEGO für die einmalige Anmeldung (SSO). Aktivieren Sie diese Option.
-
Konfigurieren Sie SPNEGO-Clientbrowsereinstellungen. (Siehe Konfigurieren von SPNEGO-Clientbrowsereinstellungen.)
-
Sie müssen in SPNEGO einen Dienst als Benutzer in Active Directory auf dem Domänencontroller registrieren, der AEM Forms repräsentiert. Wechseln Sie auf dem Domänencontroller zu „Start“ > „Verwaltung“ > „Active Directory-Benutzer und -Computer“. Wenn der Eintrag nicht im Startmenü vorhanden ist, verwenden Sie die Systemsteuerung.
-
Besorgen Sie sich das Dienstprogramm „KtPass“. Mit dessen Hilfe wird ein SPN einem Bereich zugewiesen. Sie können das Dienstprogramm „KtPass“ als Teil des Windows Server Tool Packs oder Resource Kits erhalten. (Siehe Windows Server 2003 Service Pack 1 Support Tools.)
-
Führen Sie an einer Eingabeaufforderung den Befehl ktpass mit folgenden Argumenten aus:
ktpass -princ HTTP/Host@BEREICH –mapuser Benutzer
Geben Sie beispielsweise folgenden Text ein:
ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo
Die Argumente, die Sie bereitstellen müssen, lauten wie folgt:
Host: Voll qualifizierter Name des Formularservers oder eine eindeutige URL. In diesem Beispiel ist er auf „lcserver.um.lc.com“ festgelegt.
BEREICH: Der Active Directory-Bereich für den Domänencontroller. In diesem Beispiel ist der Wert auf „UM.LC.COM“ festgelegt. Stellen Sie sicher, dass der Bereich in Großbuchstaben eingegeben wird. Führen Sie die folgenden Schritte aus, um den Bereich für Windows 2003 zu bestimmen:
Klicken Sie mit der rechten Maustaste auf „Arbeitsplatz“ und wählen Sie „Eigenschaften“.
Klicken Sie auf die Registerkarte „Computername“. Der Wert von „Domänenname“ ist der Bereichsname.
Benutzer: Der Anmeldename des in der vorherigen Aufgabe erstellten Benutzerkontos. In diesem Beispiel ist er auf „spnegodemo“ festgelegt.
DsCrackNames returned 0x2 in the name entry for spnegodemo. ktpass:failed getting target domain for specified user.
ktpass -princ HTTP/lcserver.um.lc.com@UM.LC.COM -mapuser spnegodemo
Damit die SPNEGO-basierte Authentifizierung funktioniert, muss der Clientcomputer zu der Domäne gehören, in der das Benutzerkonto erstellt wurde. Sie müssen außerdem den Clientbrowser so konfigurieren, dass SPNEGO-basierte Authentifizierung zulässig ist. Ebenso muss die Site, die SPNEGO-basierte Authentifizierung erfordert, eine vertrauenswürdige Site sein.
Wenn unter Verwendung des Computernamens, z. B. http://lcserver:8080, auf den Server zugegriffen wird, sind keine Einstellungen für Internet Explorer erforderlich. Wenn Sie eine URL eingeben, die keine Punkte („.“) enthält, wird diese Site von Internet Explorer als lokale Intranetsite behandelt. Bei Verwendung eines voll qualifizierten Namens für die Site muss diese als vertrauenswürdige Site hinzugefügt werden.
-
Klicken Sie in der angezeigten Liste auf „network.negotiate-auth.trusted-uris“ und geben Sie einen der folgenden Befehle Ihrer Umgebung entsprechend ein:
.um.lc.com – Hierdurch wird Firefox so konfiguriert, dass SPNEGO für alle URLs, die auf „um.lc.com“ enden, zugelassen wird. Stellen Sie sicher, dass der Punkt („.“) am Anfang mit eingegeben wird.
lcserver.um.lc.com – Hierdurch wird Firefox so konfiguriert, dass SPNEGO nur für bestimmte Server zugelassen wird. Beginnen Sie diesen Wert nicht mit einem Punkt („.“).