Intégration AEM SAML – Guide étape par étape

Dans le paysage dynamique de la gestion de l’expérience numérique, la sécurité et le confort des utilisateurs sont primordiaux. Adobe Experience Manager (AEM) se distingue comme une solution leader, permettant aux organisations de créer, gérer et proposer des expériences numériques attrayantes. Cependant, avec l’importance croissante de la sécurité, l’intégration de mécanismes d’authentification robustes tels que le langage SAML (Security Assertion Markup Language) avec des capacités d’authentification unique (SSO) devient essentielle. Dans cet article de blog, nous plongerons dans le monde de l’intégration AEM SAML, dévoilant les complexités du SSO et de l’authentification pour rationaliser l’expérience utilisateur tout en renforçant les défenses numériques.

Nous utiliserons l’initiative SP pour l’authentification dans notre cas. Vous trouverez ci-dessous le schéma pour vous aider à comprendre le processus d’authentification :

Flux d’authentification AEM SAML

Configuration du fournisseur d’identité (IdP)

1. Inscrivez-vous au compte d’essai Okta
2. Accédez au tableau de bord d’administration
3. Accédez à Application ➝ Créer une intégration d’application
4. Choisissez SAML 2.0
5. Ajouter des configurations d’application :
   

   Configuration des applications

   

   Attributs du profil
   • URL d’authentification unique – Une demande d’authentification d’AEM vers Okta est d’abord adressée à https:////saml_login
   • ID d’entité du fournisseur de services – Identifiant du fournisseur de services, identique à définir dans le gestionnaire d’authentification SAML)
   • Certificat de signature – Certificat généré localement
   • UR de déconnexion uniqueL – URL vers laquelle rediriger lors de la déconnexion
   • Déclarations d’attribut – ajoutez des attributs pour synchroniser la valeur avec AEM comme uid → user.login etc.
   • Attributs du groupe – attribut pour ajouter un utilisateur au groupe souhaité dans AEM
6. Créez les groupes souhaités dans Okta et attribuez-y les utilisateurs concernés
7. Ajoutez des utilisateurs pertinents à votre application
8. Une fois la configuration terminée, accédez à Se connecter, et sur le rail de droite cliquez sur Afficher les instructions de configuration SAML et enregistrez les éléments suivants :
   • URL d’authentification unique du fournisseur d’identité
   • URL de déconnexion unique du fournisseur d’identité
   • Certificat

Configuration du fournisseur de services (SP)

1. Mapper un nom d’hôte de démonstration pour localhost
2. Générer un certificat local et une clé privée
   • Générer une clé privée à l’aide d’OpenSSL
   • Créer une RSE
   • Générer un certificat local à l’aide de la clé privée et du CSR
   • Convertir la clé privée au format DER
3. Ajoutez un certificat généré localement et une clé privée à service d’authentification magasin de clés de l’utilisateur
4. Ajoutez le certificat Okta à AEM Trust Store et obtenez l’alias Okta
5. Accédez au gestionnaire de configuration AEM ouvert Gestionnaire d’authentification Adobe Granite SAML 2.0 et mettez à jour les champs suivants :
   • Chemin – Chemin racine à authentifier
   • URL du fournisseur d’identité – URL à laquelle la demande d’authentification est envoyée (URL intégrée à partir de la configuration Okta)
   • Alias ​​du certificat IDP – Alias ​​reçu du Trust Store
   • ID d’entité du fournisseur de services – ID d’identification du SP (doit correspondre à l’ID d’entité SP de la configuration Okta)
   • Alias ​​de clé privée SP – Alias ​​du magasin de clés du service d’authentification
   • Mot de passe du magasin de clés – Alias ​​du magasin de clés du service d’authentification
   • Attribut d’ID utilisateur – Unique identifié pour notre utilisateur venant d’Okta
   • Utiliser le cryptage – Chiffrer ou non les messages SAML
   • Créer automatiquement des utilisateurs CRX – Si nous souhaitons créer de nouveaux utilisateurs (ceux venant d’Okta)
   • Ajouter aux groupes – Si nous souhaitons ajouter les utilisateurs entrants aux groupes mentionnés dans le champ d’adhésion au groupe
   • Appartenance à un groupe – Attribut dans la réponse SAML qui mentionne le nom du groupe de l’utilisateur
   • Groupe par défaut – Groupe par défaut auquel les utilisateurs doivent être ajoutés. Il ne sélectionne pas de valeur dans la réponse SAML
   • Attributs synchronisés – paire clé-valeur qui représente (attribut provenant de la requête SAML) = (emplacement relatif par rapport au nœud de profil de l’utilisateur dans CRX où nous souhaitons enregistrer la propriété). Ex. email=profil/email
   • Gérer la déconnexion – Si nous souhaitons que les utilisateurs puissent se déconnecter
   • URL de déconnexion – URL IDP à cliquer pour supprimer la session utilisateur connectée
     Image de configuration SAML
     

     Image de configuration SAML

6. Ouvrez le Configuration de l’enregistreur de journalisation Apache Sling et mettez à jour les champs suivants (journalisation SAML personnalisée) :
   • Niveau de journalisation : débogage
   • Fichier journal : logs/saml.log
   • Enregistreur : com.adobe.granite.auth.saml
7. Ouvrez le Filtre de référence Apache Sling et mettez à jour les champs suivants (Autoriser les points de terminaison du référent SP et IDP) :
   • Autoriser le vide – vrai
   • Autoriser les hôtes – Autoriser l’URL d’origine IDP (Okta)
   • Autoriser l’hôte Regexp – Autoriser le domaine SP
8. Ouvrez le Service d’authentification Apache Sling et mettez à jour les champs suivants :
   • Exigences d’authentification – Ajouter un domaine SP préfixé par un « + »
     

     Image de configuration du service d’authentification

Conclusion:

En conclusion, l’intégration d’AEM SAML avec les capacités SSO représente une avancée significative dans l’amélioration de la sécurité et de l’expérience utilisateur dans le cadre de la gestion de l’expérience numérique. En tirant parti des mécanismes d’authentification de SAML, les organisations peuvent renforcer leurs instances AEM contre les menaces potentielles tout en offrant aux utilisateurs une expérience d’authentification fluide. Avec les étapes ci-dessus, vous pouvez intégrer la capacité d’authentification SAML dans votre site Web et améliorer considérablement l’expérience utilisateur.

Si vous avez encore des questions, commentez et rejoignez la discussion ! En attendant, suivez-nous sur les réseaux sociaux pour plus de mises à jour.