Configuration des fournisseurs d’authentification

Si vous configurez une authentification pour un domaine d’entreprise ou hybride et optez pour une authentification LDAP, vous pouvez utiliser le serveur LDAP spécifié dans la configuration de l’annuaire, ou vous pouvez choisir un serveur LDAP différent à utiliser pour l’authentification. Si vous choisissez un serveur différent, les utilisateurs doivent exister sur les deux serveurs LDAP.

Pour utiliser un serveur LDAP spécifié dans la configuration de l’annuaire, sélectionnez LDAP comme fournisseur d’authentification et cliquez sur OK.

Pour utiliser un serveur LDAP différent pour l’authentification, sélectionnez LDAP comme fournisseur d’authentification puis cochez la case Authentification LDAP personnalisée. Les paramètres de configuration suivants s’affichent.

Serveur :

(obligatoire) nom de domaine complet du serveur d’annuaire. Par exemple, le nom de domaine complet d’un ordinateur appelé x sur le réseau corp.exemple.com est x.corp.exemple.com . Il est possible d’utiliser une adresse IP à la place du nom de domaine complet du serveur.

Port :

(obligatoire) port utilisé par le serveur d’annuaire. Il s’agit du port 389 ou 636 si les informations d’authentification sont envoyées via le protocole SSL sur le réseau.

SSL :

(obligatoire) indique si le serveur d’annuaire utilise le protocole SSL pour envoyer les données sur le réseau. La valeur par défaut est Non. Avec la valeur Oui, le certificat du serveur LDAP correspondant doit être approuvé par l’environnement d’exécution Java™ (JRE) du serveur d’applications.

Liaison :

(obligatoire) indique le mode d’accès à l’annuaire.

Anonyme :

aucun nom d’utilisateur ni mot de passe requis.

Utilisateur:

authentification requise. Dans le champ Nom, indiquez le nom de l’enregistrement utilisateur qui peut accéder à l’annuaire. Il est généralement conseillé d’entrer le nom distinctif complet (ND) du compte utilisateur, par exemple : cn=Jane Doe, ou=user, dc=can, dc=com . Dans le champ Mot de passe, indiquez le mot de passe associé. Ces paramètres sont obligatoires lorsque vous sélectionnez Utilisateur pour l’option Liaison.

Récupérer les DN de base :

(facultatif) permet de récupérer les ND de base et de les afficher dans la liste déroulante. Ce paramètre est utile lorsque vous avez plusieurs DN de base et que vous devez sélectionner une valeur.

ND de base :

(obligatoire) sert de point de départ pour la synchronisation des utilisateurs et des groupes à partir de la hiérarchie LDAP. Il est préférable de spécifier un DN de base au niveau inférieur de la hiérarchie, de manière à englober tous les utilisateurs et les groupes à synchroniser pour les services. N’incluez pas le ND de l’utilisateur dans ce paramètre. Pour synchroniser un utilisateur particulier, utilisez le paramètre Filtre de recherche.

Remplir la page avec :

(facultatif) lorsque cette option est sélectionnée, les attributs des pages contenant les paramètres Utilisateur et Groupe sont renseignés avec les valeurs LDAP par défaut correspondantes.

Filtre de recherche :

(obligatoire) filtre de recherche à utiliser pour trouver l’enregistrement associé à l’utilisateur. Voir Syntaxe des filtres de recherche (en anglais) .

Si vous configurez une authentification pour un domaine d’entreprise ou hybride et optez pour une authentification Kerberos, les paramètres ci-après sont disponibles.

IP DNS :

l’adresse IP du serveur DNS qui exécute AEM forms. Sous Windows, vous pouvez déterminer cette adresse IP en exécutant ipconfig /all sur la ligne de commande.

Hôte KDC :

nom d’hôte qualifié complet ou adresse IP du serveur Active Directory utilisé pour l’authentification.

Utilisateur du service :

si vous utilisez Active Directory 2003, cette valeur correspond au mappage créé pour le nom principal de service, au format HTTP/<nom_serveur>. Si vous utilisez Active Directory 2008, cette valeur correspond à l’ID de connexion du nom principal de service. Par exemple, supposons que le nom principal de service soit um spnego , l’ID utilisateur est spnegodemo et le mappage est HTTP/exemple.corp.votreentreprise.com . Avec Active Directory 2003, affectez à Utilisateur du service la valeur HTTP/exemple.corp.votreentreprise.com . Avec Active Directory 2008, affectez à Utilisateur du service la valeur spnegodemo . Voir Activation de la fonction SSO à l’aide de SPNEGO .

Domaine d’administration du service :

nom de domaine pour Active Directory

Mot de passe du service :

mot de passe de l’utilisateur du service.

Activer SPNEGO :

active l’utilisation de SPNEGO pour l’authentification unique (SSO). Voir Activation de la fonction SSO à l’aide de SPNEGO .

Si vous configurez une authentification pour un domaine d’entreprise ou hybride et optez pour une authentification SAML, les paramètres ci-après sont disponibles. Pour plus d’informations sur les paramètres SAML supplémentaires, voir Configuration des paramètres du fournisseur de services SAML .

Sélectionnez un fichier de métadonnées du fournisseur d’identité SAML à importer :

cliquez sur Parcourir pour sélectionner un fichier de métadonnées du fournisseur d’identité SAML généré par ce dernier et cliquez sur Importer. Les détails relatifs au fournisseur d’identité s’affichent.

Titre:

alias de l’URL repéré par l’ID d’entité. Le titre s’affiche également sur la page de connexion des utilisateurs d’entreprise et locaux.

Le fournisseur d’identité prend en charge l’authentification de base de client :

l’authentification de base de client est utilisée lorsque le fournisseur d’identité utilise un profil SAML Artifact Resolution (résolution d’artefacts). Dans ce profil, User Management se reconnecte à un service Web s’exécutant au niveau du fournisseur d’identité afin de récupérer l’assertion SAML réelle. Le fournisseur d’identité peut demander une authentification. Si ce n’est pas le cas, sélectionnez cette option et définissez un nom d’utilisateur et un mot de passe dans les champs prévus à cet effet.

Propriétés personnalisées :

permet de définir des propriétés supplémentaires. Ces propriétés sont des paires nom=valeur séparées par des nouvelles lignes.

Les propriétés personnalisées suivantes sont requises en cas d’utilisation de la liaison d’artefact.

• Ajoutez la propriété personnalisée suivante de manière à spécifier un nom d’utilisateur correspondant au fournisseur de services AEM forms, qui sera utilisé pour l’authentification auprès du service IDP Artifact Resolution.

  saml.idp.resolve.username=<username>

• Ajoutez la propriété personnalisée suivante afin de spécifier le mot de passe de l’utilisateur spécifié dans saml.idp.resolve.username .

  saml.idp.resolve.password=<password>

• Ajoutez la propriété personnalisée suivante de manière à autoriser le fournisseur de services à ignorer la validation du certificat lors de la connexion au service Artifact Resolution via SSL.

  saml.idp.resolve.ignorecert=true

Si vous configurez une authentification pour un domaine d’entreprise ou hybride et optez pour une authentification personnalisée, sélectionnez le nom du fournisseur d’authentification personnalisé.

1. Ecrivez un conteneur de services qui implémente les interfaces Créateur d’identité (IdentityCreator) et Fournisseur d’affectation (AssigmentProvider) (voir Programmation avec AEM forms ).

2. Déployez le conteneur de services sur le serveur Forms.

3. Dans Administration Console, cliquez sur Paramètres > Gestion des utilisateurs > Gestion des domaines.

   Sélectionnez un domaine existant ou cliquez sur Nouveau domaine d’entreprise.

4. Pour créer un domaine, cliquez sur Nouveau domaine d’entreprise ou sur Nouveau domaine hybride. Pour modifier un domaine existant, cliquez sur le nom du domaine en question.

5. Sélectionnez Activer l’approvisionnement juste à temps.

   Remarque : si la case à cocher correspondant à Activer l’approvisionnement juste à temps n’apparaît pas, cliquez sur Accueil > Paramètres > User Management > Configuration > Attributs système avancés, puis sur Recharger.

6. Ajoutez des fournisseurs d’authentification Lorsque vous ajoutez des fournisseurs d’authentification, dans l’écran Nouvelle authentification, sélectionnez un créateur d’identité et un fournisseur d’affectation répertorié. Voir Configuration des fournisseurs d’authentification .

7. Enregistrez le domaine.