現在表示中:

CQ には SAML 認証ハンドラーが付属しています。このハンドラーは、、HTTP POST バインドを使用して SAML 2.0 Authentication Request Protocol(Web-SSO プロファイル)のサポートを提供します。

サポート対象は次のとおりです。

  • メッセージの署名と暗号化
  • リポジトリのユーザーおよびグループの自動作成
  • サービスプロバイダーと ID プロバイダーで開始される認証

このハンドラーは、暗号化された SAML 応答メッセージをユーザーノード(usernode/samlResponse)に格納して、サードパーティのサービスプロバイダーとの通信を容易にします。

注意:

AEM と SAML の統合のデモンストレーションを参照してください。

SAML 2.0 認証ハンドラーの設定

Web コンソールを使用すると、SAML 2.0 認証ハンドラーの設定(Adobe Granite SAML 2.0 Authentication Handler)にアクセスできます。設定可能なプロパティを以下に示します。

注意:

SAML 2.0 認証ハンドラーはデフォルトでは無効になっています。このハンドラーを有効にするには、次のどちらかのプロパティを設定する必要があります。

  • ID プロバイダーの POST の URL
  • サービスプロバイダーのエンティティ ID

注意:

SAML アサーションは署名されます。オプションとして暗号化することもできます。そのためには、少なくともリポジトリ内の ID プロバイダーの公開証明書を指定する必要があります。詳しくは、暗号鍵の管理を参照してください。

パス

この認証ハンドラーが Sling によって使用される場合のリポジトリのパスです。このプロパティが空の場合は、認証ハンドラーが無効になります。

サービスランキング

このサービスを呼び出す順序を示す OSGi フレームワークの「Service Ranking」の値です。これは整数値で、値が大きいほど優先順位が高くなります。

IDP 証明書エイリアス

グローバル TrustStore における idP の証明書のエイリアスこのプロパティが空の場合は、認証ハンドラーが無効になります。設定方法について詳しくは、以下の「暗号鍵の管理」の章を参照してください。

ID プロバイダーの URL

SAML 認証要求を送信する必要のある IDP の URL です。このプロパティが空の場合は、認証ハンドラーが無効になります。

警告:

ID プロバイダーのホスト名は Apache Sling Referrer Filter の OSGi 設定に追加する必要があります。詳しくは、Web コンソールに関する節を参照してください。

サービスプロバイダーのエンティティ ID

このサービスプロバイダーを ID プロバイダーとして一意に識別する ID です。このプロパティが空の場合は、認証ハンドラーが無効になります。

デフォルトのリダイレクト

認証が成功した後のデフォルトのリダイレクト先です。

注意:

この場所が使用されるのは、request-path の Cookie が設定されていない場合のみです。有効なログイントークンを使用せずに、設定済みのパスの下にあるページを要求すると、要求されたパスは Cookie に格納され、認証が成功した後にブラウザーは再びこの場所にリダイレクトされます。

ユーザー ID 属性

CRX リポジトリでのユーザーの認証および作成に使用されるユーザー ID を格納する属性の名前です。

注意:

ユーザー ID は SAML アサーションの saml:Subject ノードではなく、この saml:Attribute から取得されます。

暗号化を使用

この認証ハンドラーが暗号化された SAML アサーションを使用するかどうかを示します。

CRX ユーザーを自動作成

認証が成功した後に、リポジトリで既存のユーザー以外のユーザーを自動的に作成するかどうかを示します。

警告:

CRX ユーザーの自動作成が無効な場合は、ユーザーを手動で作成する必要があります。

グループに追加

認証が成功した後に、CRX グループにユーザーを自動的に追加する必要があるかどうかを示します。

グループのメンバーシップ

このユーザーを追加する必要のある CRX グループのリストを格納する saml:Attribute の名前です。

AEM TrustStore への IdP 証明書の追加

SAML アサーションは署名されます。オプションとして暗号化することもできます。そのためには、少なくともリポジトリ内の IDP の公開証明書を指定する必要があります。これをおこなうには、次の手順を実行する必要があります。

  1. リスト内の任意のユーザーをクリックします。

  2. アカウント設定」の下に移動し、「TrustStore を作成」リンクを押します。

  3. TrustStore のパスワードを入力して「保存」を押します。

  4. TrustStore を管理」をクリックします。

  5. IdP 証明書をアップロードします。

  6. 証明書エイリアスを記録します。以下の例では、エイリアスは admin#1436172864930 です。

AEM キーストアへのサービスプロバイダーキーと証明書チェーンの追加

注意:

以下のステップは必須です。実行しないと、次のエラーが発生します。com.adobe.granite.keystore.KeyStoreNotInitialisedException: Uninitialised system trust store

  1. authentication-service ユーザーを編集します。

  2. アカウント設定」の「キーストアを作成」をクリックしてキーストアを作成します。

注意:

以下のステップは、ハンドラーが署名またはメッセージを複合化できるようにする必要がある場合にのみ必須です。

  1. 秘密鍵ファイルを選択」をクリックして秘密鍵ファイルをアップロードします。キーは PKCS#8 形式でエンコードが DER である必要があります。

  2. 証明書チェーンファイルを選択」をクリックして証明書ファイルをアップロードします。

  3. 以下のようにエイリアスを割り当てます。

SAML 用のロガーの設定

SAML の設定ミスにより発生する可能性があるすべての問題をデバッグするようにロガーを設定することができます。この情報を出力するには、次の操作をおこないます。

  1. Web コンソール(http://localhost:4502/system/console/configMgr)に移動します。

  2. Apache Sling Logging Logger Configuration」という名前のエントリを検索してクリックします。

  3. 次の設定でロガーを作成します。

    • Log Level:Debug
    • Log File:logs/saml.log
    • Logger:com.adobe.granite.auth.saml

     

     

     

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー