若有設定自訂驗證,您即可在 AEM Mobile 應用程式中控制驗證程序並自訂登入體驗。自訂驗證登入體驗將以您所設計的全螢幕網頁檢視顯示在應用程式中。

自訂登入體驗

支援下列格式:

  • SAML 2.0,包含 MFA/OKTA 和 Gigya 的支援。
  • OAuth 2.0,包含社交分享登入,如 Facebook 或 Gmail。
  • 一般,可讓您設計自己的登入行為,以及與您的權益服務互動。

例如,您可以允許銷售代表使用他們的電子郵件及密碼加上 OKTA 驗證 (SAML 2.0),登入應用程式;或者,您也可以允許客戶使用他們的 Gmail 或 Facebook 帳戶 (OAuth 2.0),登入應用程式。應用程式從這些身分提供者取得授權 Token,您可在權益服務中使用以授權用戶存取內容。運用 setAuthToken API 時,您可以透過多種方式擴展驗證方法,包括在同一個應用程式內使用多個驗證方法。

一般身分提供者允許兩個替代的驗證使用案例,包括:

  • 提供自訂 UI (例如 HTML 表格),而不是使用標準用戶名稱和密碼提示。
  • 在文章中建立登入體驗,而不是透過標準驗證程序。

 

請注意,您還是需要使用 v2 Direct Entitlement API 的權益服務,才能授權用戶存取內容。

API 是提供給客戶以判斷用戶是否已通過驗證、取得驗證 Token,以及啟動登入 UI 網頁檢視。請參閱「使用 AEM Mobile 專用的 Cordova 增效模組」。

 

自訂驗證影片

自訂驗證影片
自訂驗證簡介影片。

設定自訂驗證

身分提供者是在「主版設定」中設定,然後在「專案設定」中套用至專案。您可以在「主要帳戶」層級建立多個身分提供者以便在專案中使用。

  1. 設定權益服務,以便搭配 AEM Mobile 運作。

    即使已啟用自訂驗證,也需要使用 v2 Direct Entitlement API 的權益服務,才能授權用戶存取內容。請參閱「AEM Mobile 應用程式中的權益」。

  2. 設定 SAML 2.0、OAuth 2.0 或一般身分提供者,以便搭配 AEM Mobile 及您的權益服務使用。

    Google 身分提供者

    如需設定 Google 身分提供者的範例,請參閱這個 PDF 檔案 (僅提供英文版):

    下載

    Facebook 身分提供者

    如需設定 Facebook 身分提供者的範例,請參閱這個 PDF 檔案 (僅提供英文版):

    下載

    一般身分提供者

    如需設定一般身分提供者的範例,請參閱這個範例 (僅提供英文版):

    下載

    如需有關一般身分提供者的影片,請參閱「一般 IdP 影片」(僅提供英文版)。

    Gigya

    您可以使用 Gigya 客戶身分管理做為身分提供者,這可讓客戶同時使用傳統登入方式及各種社交媒體方式 (例如 Facebook、Google 和 LinkedIn) 登入。如需設定 Gigya 身分提供者的範例,請參閱這個範例 (僅提供英文版):

    下載

    請參閱 Gigya 文件中的這篇 AEM Mobile 文章

     

    註解:

    Gigya 的驗證工作流程需依賴用戶瀏覽器中所設定的 Cookie。如果 AEM Mobile 應用程式將這些 Cookie 偵測為協力廠商 Cookie 並加以封鎖的話,應用程式中的 Gigya 驗證可能會失敗。如果被封鎖的協力廠商 Cookie 會導致 Gigya 工作流程無法正確驗證,您可能會想要實作 Gigya 文件中所述的因應措施:被封鎖的協力廠商 Cookie

     

    此權益服務範例程式碼包含了對自訂驗證的支援。如需詳細資訊,請參閱「設定權益服務」。

  3. 使用主管理員帳戶登入隨選入口網站。按一下「主版設定」,然後按一下「身分提供者」索引標籤。

  4. 按一下「建立身分提供者」(+) 圖示,然後指定身分提供者名稱,並輸入 (OAuth 2.0、SAML 2.0 或一般)。

  5. 指定您的身分提供者的資訊。請參閱本文件稍後的選項說明。

  6. 若要在您的身分提供者與 AEM Mobile 應用程式之間建立信任關係,請複製 Experience Manager Mobile 回應端點 (SAML 2.0) 或 Experience Manager Mobile 重新導向端點 (OAuth 2.0) 值,然後加入您的身分提供者設定中。

    加入這項資訊可告知服務,如何通知 AEM Mobile 驗證程序的結果。例如,從 Facebook 傳回的驗證 Token 不同於您權益服務中該用戶的 Token。在您的權益服務中,您必須對應該用戶的 Facebook 驗證 Token,以便在 AEM Mobile 要求權益時,權益服務會傳回正確的回應,然後該用戶可獲得授權,在登入時檢視內容。

  7. 在隨選入口網站中,前往「專案設定」,編輯專案,然後按一下「存取權」索引標籤。選取「啟用自訂驗證」,然後選擇在「主版設定」中所建立的適當身分提供者。

  8. 建立非預備應用程式並測試您的自訂驗證設定。

SAML 2.0 設定

服務提供者 ID – AEM Mobile 傳送驗證要求給身分提供者時,將使用這個值來識別自己。服務提供者 ID 應該向身分提供者進行註冊。

通訊協定繫結 – 定義用來傳送驗證要求給身分提供者的 SAML 通訊協定繫結。POST 和 REDIRECT 通訊協定繫結都支援。

NameID 格式 – 若已指定,AEM Mobile 權益服務將會要求回應的主旨識別碼,以便使用指定的格式:無、持續、暫時或未指定。請為 Gigya 身分提供者使用「未指定」。

驗證 Token 來源 – 指定驗證回應的哪一部分包含驗證 Token。若使用「屬性」,請在包含驗證 Token 的驗證回應中指定屬性名稱。若「NameID 格式」設定為「暫時」,您可以選取「NameID」。

驗證 URL – AEM Mobile 應該將驗證要求傳送過去的身分提供者 URL。

公開簽署金鑰憑證 – 身分提供者的公開簽署金鑰的 X509 憑證,AEM Mobile 用來驗證聲明簽名。

預設工作階段到期時間 – 若未在回應中明確指定期間,則成功登入回應在這個秒數內有效。到期之後,若身分提供者支援則重新整理工作階段,否則就將用戶登出。預設值是一小時 (3600 秒)。

Experience Manager Mobile 回應端點 – 身分提供者必須將聲明回應傳送過去的 URL。您必須設定身分提供者,使用由 AEM Mobile 提供的這個值。

Experience Manager Mobile 公開加密金鑰憑證 – 可由身分提供者在必要時用來在驗證回應中加密金鑰的 X509 憑證。

OAuth 2.0 設定

授權授與類型 – 決定授權授與的類型:授權代碼或隱含。

Token 端點 – 由 AEM Mobile 用來交換授權代碼或重新整理 Token,以取得存取 Token。特別建議使用 HTTPS。

用戶端密碼 – AEM Mobile 在聯絡 Token 端點時使用這個值來驗證自己。您所指定的用戶端密碼必須向身分提供者進行註冊。

預設工作階段到期時間 – 若未在回應中明確指定期間,則成功登入回應在這個秒數內有效。到期之後,若身分提供者支援則重新整理工作階段,否則就將用戶登出。預設值是一小時 (3600 秒)。

授權端點 – 由 AEM Mobile 用來向身分提供者取得授權。特別建議使用 HTTPS。

用戶端識別碼 – AEM Mobile 在聯絡身分提供者時使用這個值來識別自己。用戶端識別碼必須向身分提供者進行註冊。

存取 Token 範圍 – 描述存取要求的範圍。使用空格來指定多個值。Facebook 範例:public_profile、email、user_likes、user_friends。

Experience Manager Mobile 重新導向端點 – 指定身分提供者在完成授權程序之後,應該重新導向至此 AEM Mobile URL。AEM Mobile 提供的這個值必須向身分提供者進行註冊。

一般設定

驗證 URL – 指定包含登入行為 UI 的網站 URL。這個網站應該包含當用戶登入時傳遞驗證 Token 至權益服務的資訊。

預設工作階段到期時間 – 若未在回應中明確指定期間,則成功登入回應在這個秒數內有效。到期之後,若身分提供者支援則重新整理工作階段,否則就將用戶登出。預設值是一小時 (3600 秒)。

自訂驗證注意事項及最佳做法

  • 在「主版設定」中建立身分提供者之後,就不能變更身分提供者類型 (OAuth 2.0 或 SAML 2.0)。若要變更類型,必須建立新的身分提供者。
  • 若在作用中專案變更身分提供者,系統會將所有用戶登出。
  • SAML 不支援重新整理。在工作階段結束時,用戶必須再次登入。若 OAuth 提供者不支援重新整理 Token,則 OAuth 的用戶也一樣需要重新登入。
  • 登出裝置並不一定會將用戶登出身分提供者。身分提供者決定多長時間內工作階段為有效。

此産品由 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 授權  Creative Commons 條款未涵蓋 Twitter™ 與 Facebook 文章。

法律說明   |   線上隱私權政策