Adobe CQ5:没有LDAP的SSO?
我们的一位客户刚刚购买了CQ5,并希望将其所有安全性外部化。我们希望为SSO使用STS服务器,然后利用定制授权/属性提供程序而不是CQ5存储库。最终,我们不希望以任何方式使用LDAP。Adobe CQ5:没有LDAP的SSO?
下面是我们如何设想这个(有些作品已经工作):
- 用户浏览CQ5调度员在Apache上运行
- Apache的过滤器重定向用户STS网站,登录完成。
- 用户通过SAML声明重定向回Apache。
- 用户ID令牌作为cookie放置到浏览器中。 (一切都在这里工作达)
- CQ5捕获,基于SSO的配置(工作)
- 问题饼干从这里开始:从这里,我们要呼吁用户的属性,角色,组等自定义授权提供...
我们试图找出如何做到这一点,似乎无法找到缺失的链接。
我们是否需要创建自定义登录模块?我们是否需要创建自定义主要提供者?我们是否在CQ5中使用现有的LDAP功能,但是它是否会调用一个利用外部认证源的自定义类?
如果任何人在这里有任何想法如何做到这一点,如果他们能分享它们,那么他们的业力商数就会在一年中充满。我不确定这是否是您使用JAAS做的一件基本的事情,或者是在创建它们之后将我的课程放在哪里。
到目前为止,我们在这方面做得非常努力,似乎很接近,但我们一直在打击死胡同。
非常感谢,如果你有一个想法从哪里开始!
-joe
尝试在Google组中搜索SSO详细信息。这里有一个有用的帖子:
看来你将必须实现一个自定义LoginModule的详细信息,在这里:http://dev.day.com/docs/en/crx/current/deploying/custom-login-modules.html
最近的AEM的版本现在包括SAMLAuthenticationHandler它允许您:
- 将用户重定向到SSO以模拟IDP启动的登录,或者
- 允许AEM使用I执行SP发起的登录DP
- 指定属性从SAML断言采取并添加到用户的配置文件节点(不知道你是否可以使用该团体)
- 指定哪些用户组应该被添加到
- 设置cookie称为
request-path这将存储用户到达的URL,然后在它们通过身份验证时将它们重定向到该位置(即。深连接)
这使得依靠SAMLAuthenticationHandler比使用Apache重定向更好。与AEM 6.2捆绑在一起的处理程序的当前版本在使用重定向方法时没有正确设置cookie,但Adobe确实提供了可以解决该问题的更新版本。
我通常建议客户没有在AEM内开发自己的身份验证处理程序。
不使用LDAP时,这确实会造成用户在登录之前不存在的问题。此外,当您的架构包含多个负载平衡发布者时,用户可能存在于一台服务器上user synchronization。
感谢您的指导......我已经获得了SSO的工作,但是我可以找到的所有文档都将LDAP作为用户attirbute/auth源连接起来。如果您想要一个完全不需要使用LDAP的外部解决方案,则很难找到任何示例。我加入了谷歌的团队......再次感谢。 – 2012-03-26 18:10:43