Tras configurar la autenticación personalizada, puede controlar el proceso de autenticación y personalizar la experiencia de inicio de sesión en la aplicación de AEM Mobile. La experiencia de inicio de sesión de autenticación personalizada se muestra en la aplicación como la vista de web de pantalla completa que usted prefiera.

Experiencias de inicio de sesión personalizado

Se admiten los siguientes formatos:

  • SAML 2.0, incluyendo soporte para MFA/OKTA y Gigya.
  • OAuth 2.0, incluido el inicio de sesión para compartir en redes sociales como Facebook o Gmail.
  • Genérico, que le permite diseñar su propio comportamiento de inicio de sesión e interactuar con su servicio de asignación de derechos.

Por ejemplo, puede permitir que los representantes de ventas inicien sesión en la aplicación con sus correos electrónicos y sus contraseñas además de la verificación OKTA (SAML 2.0). Si lo prefiere, puede permitir que los clientes inicien sesión en la aplicación con sus cuentas de Gmail o Facebook (OAuth 2.0). La aplicación obtiene autorizadores desde estos proveedores de identidad que puede utilizar en su servicio de asignación de derechos para autorizar a los usuarios a acceder al contenido. Si aprovecha la API de setAuthToken, puede ampliar los métodos de autenticación de varias maneras, entre las que se incluyen el uso de métodos de autenticación múltiples dentro de la misma aplicación.

Los proveedores de identidad genéricos permiten dos casos de uso de autenticación alternativos, que incluyen:

  • Proporciona una interfaz de usuario personalizada, como un formulario HTML en lugar de utilizar el nombre de usuario estándar y el mensaje de solicitud de contraseña.
  • Cree una experiencia de inicio de sesión dentro de un artículo en lugar de mediante el proceso de autenticación estándar.

 

Tenga en cuenta que para autorizar el acceso al contenido a los usuarios todavía se requiere un servicio de asignación de derechos que utilice las v2 Direct Entitlement API.

Las API se proporcionan para el cliente con el propósito de determinar si el usuario está autenticado, obtener el autentificador e iniciar la vista web de inicio de sesión en la interfaz de usuario. Consulte Uso de complementos específicos de AEM Mobile adaptados para Cordova.

 

Vídeo sobre la autenticación personalizada

Vídeo sobre la autenticación personalizada
Vídeo de introducción a la autenticación personalizada.

Configuración de la autenticación personalizada

Los proveedores de identidad se configuran en Ajustes principales y se aplican a un proyecto en Ajustes del proyecto. Puede crear varios proveedores de identidad en Ajustes principales para utilizarlos en los proyectos.

  1. Configure un servicio de asignación de derechos para que funcione con AEM Mobile.

    Aunque permita el uso de un servicio de autenticación personalizada, se requiere un servicio de asignación de derechos que utilice las v2 Direct Entitlement API para autorizar el acceso de los usuarios al contenido. Consulte Asignación de derechos en las aplicaciones de AEM Mobile.

  2. Configure un proveedor de identidad SAML 2.0, OAuth 2.0 o genérico para utilizarlo con AEM Mobile y su servicio de asignación de derechos.

    Proveedor de identidad de Google

    Para ver un ejemplo de la configuración de un proveedor de identidad de Google, consulte este archivo PDF (solo en inglés):  

    Descargar

    Proveedor de identidad de Facebook

    Para ver un ejemplo de la configuración de un proveedor de identidad de Facebook, consulte este archivo PDF (solo en inglés):

    Descargar

    Proveedor de identidad genérico

    Para ver un ejemplo de la configuración de un proveedor de identidad genérico, consulte este ejemplo (solo en inglés):

    Descargar

    Vea el vídeo sobre los proveedores de identidad genéricos (solo en inglés) para obtener información sobre estos.

    Gigya

    Puede utilizar la solución de administración de identidades de cliente de Gigya como proveedor de identidad, lo que permite que los clientes inicien sesión tanto por el método tradicional como a través de distintas redes sociales como Facebook, Google y LinkedIn. Para ver un ejemplo de configuración de un proveedor de identidad Gigya, consulte este ejemplo (solo en inglés):

    Descargar

    Consulte este artículo de AEM Mobile en la documentación de Gigya.

     

    Nota:

    El flujo de trabajo de autenticación de Gigya se basa en las cookies configuradas en los navegadores de los usuarios. Con la autenticación de Gigya, se pueden producir errores en las aplicaciones de AEM Mobile cuando la aplicación detecta dichas cookies como cookies de terceros y las bloquea. Si las cookies de terceros bloqueadas impiden que en el flujo de trabajo de Gigya se realice la autenticación de forma correcta, puede plantearse implementar una solución alternativa como se describe en la documentación de Gigya: Blocked Third-Party Cookies (Bloqueo de las cookies de terceros).

     

    El código del servicio de asignación del ejemplo incluye compatibilidad para la autenticación personalizada. Para obtener más información, consulte Configuración de un servicio de asignación de derechos.

  3. Inicie sesión en On-Demand Portal con una cuenta de administrador maestro. Haga clic en Ajustes principales y, a continuación, en la pestaña Proveedores de identidad.

  4. Haga clic en el icono Crear proveedor de identidad (+) y especifique el nombre y el tipo del proveedor de identidad (OAuth 2.0, SAML 2.0 o genérico).

  5. Especifique la información del proveedor de identidad. Consulte las descripciones de la opción que encontrará más adelante en este documento.

  6. Para configurar una regla de confianza entre su proveedor de identidad y la aplicación de AEM Mobile, copie el valor Extremo de respuesta de Experience Manager Mobile (SAML 2.0) o Extremo de redirección de Experience Manager Mobile (OAuth 2.0) y añádalo a la configuración de su proveedor de identidad.

    Al añadir esta información, indica al servicio cómo notificar a AEM Mobile los resultados del proceso de autenticación. Por ejemplo, el autentificador que Facebook devuelve es distinto del de su servicio de asignación de derechos de ese usuario. En su servicio de asignación de derechos, debe asignar el autentificador de Facebook al usuario de modo que cuando AEM Mobile realice llamadas de asignación de derechos, el servicio de asignación de derechos aporte la respuesta correcta. Tras ello, el usuario recibirá la autorización necesaria para ver el contenido cuando inicie sesión.

  7. En On-Demand Portal, vaya a Ajustes del proyecto, edite el proyecto y haga clic en la ficha Acceder. Seleccione “Activar la autenticación personalizada” y elija el proveedor de identidad adecuado creado en Ajustes principales.

  8. Compile una aplicación que no sea de verificación previa y pruebe la autenticación personalizada.

Configuración de SAML 2.0

ID del proveedor del servicio: el valor que AEM Mobile utilizará para identificarse al enviar una solicitud de autenticación al proveedor de identidad. El ID del proveedor del servicio debe registrarse con el proveedor de identidad.

Vinculación de protocolo: define la vinculación de protocolo de SAML que se utilizará para enviar solicitudes de autenticación al proveedor de identidad. Las vinculaciones de protocolo POST y REDIRECT son compatibles.

Formato de NameID: si se especifica, el servicio de asignación de derechos de AEM Mobile solicitará el identificador de sujeto de la respuesta para utilizar el formato especificado: Ninguno, Persistente, Temporal o No especificado. Utilice “No especificado” para los proveedores de identidad Gigya.

Origen del autentificador: indica qué parte de la respuesta de autenticación contiene el autentificador. Si utiliza la opción Atributo, indique el nombre de un atributo en la respuesta de autenticación que contenga la de autentificador. Si el formato de NameID se define como Temporal, puede seleccionar NameID.

URL de autenticación: la URL del proveedor de identidad al que AEM Mobile debe enviar la solicitud de autenticación.

Certificado de clave de firma pública: el certificado X509 de la clave de firma pública del proveedor de identidad que utiliza AEM Mobile para validar la firma de aserción.

Expiración de sesión predeterminada: segundos durante los que una firma realizada con éxito en una respuesta es válida si en la respuesta no se indica ninguna duración. Cuando caduca, la sesión se actualiza si así lo admite el proveedor de identidad; de lo contrario, se cierra la sesión del usuario. El valor predeterminado es una hora (3600 s).

Extremo de respuesta de Experience Manager Mobile: la URL a la que el proveedor de identidad debe enviar la respuesta de aserción. Debe configurar el proveedor de identidad para que utilice este valor que proporciona AEM Mobile.

Certificado de clave de cifrado pública de Experience Manager Mobile: el certificado X509 de la clave de cifrado pública que puede utilizar el proveedor de identidad para cifrar la clave en la respuesta de autenticación cuando así se requiera.

Configuración de OAuth 2.0

Tipo de concesión de autorización: determina el tipo de concesión de autorización: Código de autorización o Implícito.

Extremo de autentificación: lo emplea AEM Mobile para intercambiar un código de autorización o un autentificador de actualización para un autentificador de acceso. Se recomienda encarecidamente utilizar HTTPS.

Secreto del cliente: AEM Mobile utiliza este valor para autenticarse al contactar con el extremo de autentificación. El secreto del cliente que especifique debe estar registrado en el proveedor de identidad.

Expiración de sesión predeterminada: segundos durante los que una firma realizada con éxito en una respuesta es válida si en la respuesta no se indica ninguna duración. Cuando caduca, la sesión se actualiza si así lo admite el proveedor de identidad; de lo contrario, se cierra la sesión del usuario. El valor predeterminado es una hora (3600 s).

Extremo de autorización: lo utiliza AEM Mobile para obtener una autorización del proveedor de identidad. Se recomienda encarecidamente utilizar HTTPS.

Identificador de cliente: AEM Mobile utiliza este valor para identificarse al contactar con el proveedor de identidad. El identificador de cliente debe estar registrado en el proveedor de identidad.

Ámbito de autentificador de acceso: determina el ámbito de la solicitud de acceso. Utilice espacios para especificar distintos valores. Ejemplos de Facebook: public_profile, email, user_likes, user_friends.

Extremo de redirección de Experience Manager Mobile: indica la URL de AEM Mobile a la que el proveedor de identidad debe redirigir tras completar el proceso de autorización. Este valor que proporciona AEM Mobile se debe registrar con el proveedor de identidad.

Configuración genérica

URL de autenticación: especifique la URL de la página web que incluye la interfaz de usuario para el comportamiento de inicio de sesión. Esta página web debe incluir la información que transfiere el token de autenticación en el servicio de asignación cuando el usuario inicia sesión.

Expiración de sesión predeterminada: segundos durante los que una firma realizada con éxito en una respuesta es válida si en la respuesta no se indica ninguna duración. Cuando caduca, la sesión se actualiza si así lo admite el proveedor de identidad; de lo contrario, se cierra la sesión del usuario. El valor predeterminado es una hora (3600 s).

Notas y prácticas recomendadas acerca de la autenticación personalizada

  • Después de crear el proveedor de identidad en Ajustes principales, no podrá cambiar el tipo de dicho proveedor de identidad (SAML 2.0 u OAuth 2.0). Para cambiar el tipo, deberá crear un nuevo proveedor de identidad.
  • Al cambiar un proveedor de identidad en un proyecto activo ocasionará que se cierre la sesión de todos los usuarios.
  • SAML no admite actualizaciones. Al acabar, el usuario deberá iniciar sesión de nuevo. Esto también se aplica a OAuth si el proveedor de OAuth no admite autentificadores de actualización.
  • Cuando se cierra sesión en un dispositivo, no siempre se cierra la sesión del usuario en el proveedor de identidad. El proveedor de identidad determina el tiempo de validez de una sesión.

Esta obra está autorizada con arreglo a la licencia de Reconocimiento-NoComercial-CompartirIgual 3.0 Unported de Creative Commons.  Los términos de Creative Commons no cubren las publicaciones en Twitter™ y Facebook.

Avisos legales   |   Política de privacidad en línea