Adob​​e CQ5：沒有LDAP的SSO？

Question

我們的一位客戶剛剛購買了CQ5，並希望將其所有安全性外部化。我們希望爲SSO使用STS服務器，然後利用定製授權/屬性提供程序而不是CQ5存儲庫。最終，我們不希望以任何方式使用LDAP。

下面是我們如何設想這個（有些作品已經工作）：

1. 用戶瀏覽CQ5調度員在Apache上運行
2. Apache的過濾器重定向用戶STS網站，登錄完成。
3. 用戶通過SAML聲明重定向回Apache。
4. 用戶ID令牌作爲cookie放置到瀏覽器中。 （一切都在這裏工作達）
5. CQ5捕獲，基於SSO的配置（工作）
6. 問題餅乾從這裏開始：從這裏，我們要呼籲用戶的屬性，角色，組等自定義授權提供...

我們試圖找出如何做到這一點，似乎無法找到缺失的鏈接。

我們是否需要創建自定義登錄模塊？我們是否需要創建自定義主要提供者？我們是否在CQ5中使用現有的LDAP功能，但是它是否會調用一個利用外部認證源的自定義類？

如果任何人在這裏有任何想法如何做到這一點，如果他們能分享它們，那麼他們的業力商數就會在一年中充滿。我不確定這是否是您使用JAAS做的一件基本的事情，或者是在創建它們之後將我的課程放在哪裏。

到目前爲止，我們在這方面做得非常努力，似乎很接近，但我們一直在打擊死衚衕。

非常感謝，如果你有一個想法從哪裏開始！

-joe

Answer 1

嘗試在Google組中搜索SSO詳細信息。這裏有一個有用的帖子：

http://groups.google.com/group/day-communique/browse_thread/thread/72c235c83a501252/fba4d08a90487156?lnk=gst&q=SSO#fba4d08a90487156

Answer 2

看來你將必須實現一個自定義LoginModule的詳細信息，在這裏：http://dev.day.com/docs/en/crx/current/deploying/custom-login-modules.html

Answer 3

最近的AEM的版本現在包括SAMLAuthenticationHandler它允許您：

• 將用戶重定向到SSO以模擬IDP啓動的登錄，或者
• 允許AEM使用I執行SP發起的登錄DP
• 指定屬性從SAML斷言採取並添加到用戶的配置文件節點（不知道你是否可以使用該團體）
• 指定哪些用戶組應該被添加到
• 設置cookie稱爲request-path這將存儲用戶到達的URL，然後在它們通過身份驗證時將它們重定向到該位置（即。深連接）

這使得依靠SAMLAuthenticationHandler比使用Apache重定向更好。與AEM 6.2捆綁在一起的處理程序的當前版本在使用重定向方法時沒有正確設置cookie，但Adobe確實提供了可以解決該問題的更新版本。

我通常建議客戶沒有在AEM內開發自己的身份驗證處理程序。

不使用LDAP時，這確實會造成用戶在登錄之前不存在的問題。此外，當您的架構包含多個負載平衡發佈者時，用戶可能存在於一臺服務器上user synchronization。