SAML 2.0-Authentifizierungs-Handler

Suchen
Experience Manager 6.4 Sites Benutzerhandbuch: Verwaltung

Auf dieser Seite

Gilt für: Experience Manager 6.4 Sites

Sie sehen sich Hilfeinhalte der folgenden Version an:

AEM umfasst einen SAML-Authentifizierungs-Handler. Dieser Handler unterstützt das SAML 2.0-Authentifizierungsanforderungsprotokoll (Web-SSO-Profil), das die HTTP POST-Bindung verwendet.

Folgendes wird unterstützt:

  • Signierung und Verschlüsselung von Nachrichten
  • automatische Erstellung von Repository-Benutzern und -Gruppen
  • durch Dienstleister und Identitätsanbieter eingeleitete Authentifizierung

Dieser Handler speichert die verschlüsselte SAML-Antwortnachricht im Benutzerknoten (usernode/samlResponse), um die Kommunikation mit dritten Dienstleistern zu erleichtern.

Hinweis:

Hier finden Sie eine Demonstration zur Integration von AEM und SAML.

Einen End-to-End-Community-Artikel finden Sie hier: Integrieren von SAML mit „Adobe Experience Manager“.

Konfigurieren des SAML 2.0-Authentifizierungs-Handlers

Die Web-Konsole bietet Zugriff auf die SAML 2.0-Authentifizierungs-Handler-Konfiguration namens Adobe Granite SAML 2.0 Authentication Handler. Die folgenden Eigenschaften können festgelegt werden.

Hinweis:

Der SAML 2.0-Authentifizierungs-Handler ist standardmäßig deaktiviert. Sie müssen mindestens eine der folgenden Eigenschaften festlegen, um den Handler zu aktivieren:

  • POST-URL des Identitätsanbieters
  • Entitäts-ID des Dienstleisters

Hinweis:

SAML-Assertionen werden signiert und optional verschlüsselt. Damit dies funktioniert, müssen Sie zumindest das öffentliche Zertifikat des Identitätsanbieters im TrustStore angeben. Weitere Informationen finden Sie in Hinzufügen des Identitätsanbieterzertifikats zum TrustStore.

Pfad

Repository-Pfad, für den dieser Authentifizierungs-Handler von Sling verwendet werden soll. Wenn dieser leer ist, wird der Authentifizierungs-Handler deaktiviert.

Dienstpriorität

Position in der Reihenfolge der OSGi-Framework-Dienste. Gibt an, mit welcher Priorität dieser Dienst aufgerufen wird. Dies ist ein ganzzahliger Wert, wobei höhere Werte vorrangig sind.

IDP-Zertifikatalias

Das Alias des Identitätsanbieterzertifikats im globalen TrustStore. Wenn diese Eigenschaft nicht angegeben wird, ist der Authentifizierungs-Handler deaktiviert. Im Kapitel „Identitätsanbieterzertifikat zum AEM-TrustStore hinzufügen“ weiter unten finden Sie Informationen dazu, wie Sie dies einrichten.

Identitätsanbieter-URL

Die URL des IDP, an die die SAML-Authentifizierungsanforderung gesendet werden soll. Wenn diese Eigenschaft nicht angegeben wird, ist der Authentifizierungs-Handler deaktiviert.

Vorsicht:

Der Hostname des Identitätsanbieters muss der OSGi-Konfiguration Apache Sling Referrer Filter hinzugefügt werden. Weitere Informationen finden Sie im Abschnitt Web-Konsole.

Entitäts-ID des Dienstleisters

Kennung, die diesen Dienstleister eindeutig dem Identitätsanbieter zuordnet. Wenn diese Eigenschaft nicht angegeben wird, ist der Authentifizierungs-Handler deaktiviert.

Standardweiterleitung

Der Standardort, an den nach einer erfolgreichen Authentifizierung weitergeleitet wird.

Hinweis:

Dieser Ort wird nur verwendet, wenn das Cookie request-path nicht festgelegt ist. Wenn Sie eine Seite unterhalb des konfigurierten Pfads ohne ein gültiges Anmelde-Token anfordern, wird der angeforderte Pfad in einem Cookie
gespeichert und der Browser wird nach der erfolgreichen Authentifizierung an diesen Ort weitergeleitet.

Benutzer-ID-Attribut

Der Name des Attributs, das die Benutzer-ID enthält, die zur Authentifizierung und Erstellung des Benutzers im CRX-Repository verwendet wird.

Hinweis:

Die Benutzer-ID wird nicht aus dem Knoten saml:Subject der SAML-Assertion abgerufen, sondern aus diesem saml:Attribute.

Verschlüsselung verwenden

Gibt an, ob dieser Authentifizierungs-Handler verschlüsselte SAML-Assertionen erwartet.

CRX-Benutzer automatisch erstellen

Ob nicht vorhandene Benutzer nach erfolgreicher Authentifizierung automatisch im Repository erstellt werden sollen.

Vorsicht:

Falls die automatische Erstellung von CRX-Benutzern deaktiviert ist, müssen die Benutzer manuell erstellt werden.

Zu Gruppen hinzufügen

Ob Benutzer nach erfolgreicher Authentifizierung automatisch zu CRX-Gruppen hinzugefügt werden sollen.

Gruppenmitgliedschaft

Der Name des „saml:Attribute“, das eine Liste von CRX-Gruppen enthält, denen dieser Benutzer hinzugefügt werden muss.

Identitätsanbieterzertifikat zum AEM TrustStore hinzufügen

SAML-Assertionen werden signiert und optional verschlüsselt. Damit dies funktionieren kann, müssen Sie mindestens das öffentliche Zertifikat des IdP im Repository bereitstellen. Dazu müssen Sie Folgendes tun:

  2. Klicken Sie auf einen Benutzer in der Liste.

  3. Wechseln Sie zu Kontoeinstellungen und klicken Sie auf die Verknüpfung TrustStore erstellen.

  4. Geben Sie das Kennwort für den TrustStore ein und klicken Sie auf Speichern.

  5. Klicken Sie auf TrustStore verwalten.

  6. Laden Sie das IdP-Zertifikat hoch.

  7. Beachten Sie das Zertifikatalias. Im Folgenden Beispiel lautet das Alias admin#1436172864930.

    chlimage_1

Den Dienstleisterschlüssel- und -zertifikatkette dem AEM-Schlüsselspeicher hinzufügen

Hinweis:

Die folgenden Schritte sind obligatorisch, ansonsten wird der folgende Ausnahmefehler ausgegeben: com.adobe.granite.keystore.KeyStoreNotInitialisedException: System-Trust-Store nicht initialisiert

  2. Bearbeiten Sie den Benutzer authentication-service.

  3. Erstellen Sie einen KeyStore, indem Sie unter Kontoeinstellungen auf KeyStore erstellen klicken.

Hinweis:

Die folgenden Schritte sind nur erforderlich, wenn der Handler in der Lage sein muss, Nachrichten zu signieren oder zu verschlüsseln.

  1. Laden Sie die Datei mit dem privaten Schlüssel hoch, indem Sie auf Datei mit privatem Schlüssel auswählen klicken. Die Schlüssel muss im Format „PKCS#8“ sein und DER-Verschlüsselung aufweisen.

  2. Laden Sie durch Klicken auf Zertifikatkettendateien auswählen die Zertifikatdatei hoch.

  3. Weisen Sie ein Alias zu, wie im Folgenden gezeigt:

    chlimage_1

Logger für SAML konfigurieren

Sie können einen Logger einrichten, um alle Probleme zu debuggen, die aufgrund der falschen Konfiguration von SAML entstehen können. Gehen Sie dazu wie folgt vor:

  1. Wechseln Sie zur Web-Konsole unter http://localhost:4502/system/console/configMgr.

  2. Suchen Sie nach dem Eintrag Apache Sling Logging-Logger-Konfiguration und klicken Sie darauf.

  3. Erstellen Sie einen Logger mit folgender Konfiguration:

    • Protokollebene: Debug
    • Protokolldatei: logs/saml.log
    • Logger: com.adobe.granite.auth.saml

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie

Region wählen

Durch Auswahl einer Region ändert sich die Sprache und ggf. der Inhalt auf Adobe.com.

Americas
Brasil
Canada - English
Canada - Français
Latinoamérica
México
United States
Europe, Middle East and Africa
Africa - English
België
Belgique
Belgium - English
Česká republika
Cyprus - English
Danmark
Deutschland
Eesti
España
France
Greece - English
Ireland
Israel - English
Italia
Latvija
Lietuva
Luxembourg - Deutsch
Luxembourg - English
Luxembourg - Français
Magyarország
Malta - English
Middle East and North Africa - English
Nederland
Norge
Österreich
Polska
Portugal
România
Schweiz
Slovenija
Slovensko
Suisse
Suomi
Sverige
Svizzera
Türkiye
United Kingdom
България
Россия
Україна
الشرق الأوسط وشمال أفريقيا - اللغة العربية
ישראל - עברית
Asia - Pacific
Australia
Hong Kong S.A.R. of China
India - English
New Zealand
Southeast Asia (Includes Indonesia, Malaysia, Philippines, Singapore, Thailand, and Vietnam) - English
中国
中國香港特別行政區
台灣
日本
한국
Commonwealth of Independent States
Includes Armenia, Azerbaijan, Belarus, Georgia, Kazakhstan, Kyrgyzstan, Moldova, Tajikistan, Turkmenistan, Ukraine, Uzbekistan