Show Menu
THEMEN×

IMS-Unterstützung für Adobe Experience Manager as a Cloud Service

Einführung

  • AEM as a Cloud Service umfasst die Unterstützung der Admin Console für AEM-Instanzen und die auf dem Adobe Identity Management System (kurz IMS) basierende Authentifizierung.
  • Die Admin Console ermöglicht Administratoren die zentrale Verwaltung aller Experience Cloud-Benutzer.
  • Benutzer und Gruppen können Produktprofilen zugeordnet werden, die mit AEM as a Cloud Service-Instanzen verknüpft sind, sodass sie sich bei dieser Instanz anmelden können.

Wichtige Highlights

AEM as a Cloud Service bietet IMS-Authentifizierungsunterstützung nur für Autoren-, Admin- und Entwicklungsbenutzer. Es bietet keine Unterstützung für externe Endbenutzer von Kunden-Sites wie Site-Besucher.
  • Die Admin Console repräsentiert Kunden als IMS-Organisationen, Autoren- und Veröffentlichungsinstanzen in einer Umgebung als Produktkontextinstanzen. Dadurch können System- und Produktadministratoren den Zugriff auf Instanzen verwalten.
  • Produktprofile in der Admin Console legen fest, auf welche Instanzen ein Benutzer zugreifen kann.
  • Kunden können ihre eigenen SAML 2-kompatiblen Identitätsanbieter (kurz IDP) für Single-Sign-On verwenden.
  • Nur Enterprise IDs oder Federated IDs (für Single Sign-On beim Kunden) werden unterstützt, jedoch keine persönlichen Adobe IDs.

Architektur

Die IMS-Authentifizierung verwendet das OAuth-Protokoll zwischen AEM und dem Adobe IMS-Endpunkt. Sobald ein Benutzer zu IMS hinzugefügt wurde und über eine Adobe-Identität verfügt, kann er sich mit den IMS-Anmeldeinformationen beim AEM-Autorendienst anmelden.
Die Schritte zur Benutzeranmeldung werden unten gezeigt. Der Benutzer wird zu IMS und optional zum Kunden-IDP für SSO und anschließend zurück zu AEM weitergeleitet.

Einrichtung

Onboarding von Organisationen zur Admin Console

Das Onboarding von Kunden zur Adobe Admin Console ist eine Voraussetzung für die Verwendung von Adobe IMS zur AEM-Authentifizierung.
Als ersten Schritt müssen Kunden eine Organisation in Adobe IMS bereitstellen. Adobe Enterprise-Kunden werden in der Adobe Admin Console als IMS-Organisationen angezeigt. Dies ist das Portal, das Adobe-Kunden verwenden, um ihre Produktberechtigungen für ihre Benutzer und Gruppen zu verwalten.
Für AEM-Kunden sollte bereits eine Organisation bereitgestellt sein. Im Rahmen der IMS-Bereitstellung werden die Kundeninstanzen zur Verwaltung der Benutzerberechtigungen und -zugriffe in der Admin Console bereitgestellt.
Sobald ein Kunde als IMS-Organisation existiert, muss er sein System wie folgt konfigurieren:
  1. Der festgelegte Systemadministrator erhält eine Einladung zur Anmeldung bei Cloud Manager. Nach der Anmeldung bei Cloud Manager können die Systemadministratoren entweder AEM-Programme und -Umgebungen bereitstellen oder für Verwaltungsaufgaben zur Admin Console navigieren.
  2. Der Systemadministrator beansprucht eine Domäne, um die Eigentümerschaft der Domäne zu bestätigen (beispielsweise acme.com).
  3. Der Systemadministrator richtet die Benutzerverzeichnisse ein.
  4. Der Systemadministrator führt die IDP-Konfiguration in der Admin Console aus, um Single-Sign-On einzurichten.
  5. Der AEM-Administrator verwaltet die lokalen Gruppen, Berechtigungen und Zugriffsrechte wie gewohnt.
Die Grundlagen von Adobe Identity Management einschließlich der IDP-Konfiguration werden hier behandelt.
Die Verwaltung von Unternehmen und die Verwendung der Admin Console werden hier behandelt.

Onboarding von Benutzern zur Admin Console

Je nach der Größe des Kunden und den bevorzugten Einstellungen gibt es drei Möglichkeiten, Benutzer hinzuzufügen: Manuelles Erstellen von Benutzern in der Admin Console, Hochladen einer .csv-Datei oder Synchronisieren von Benutzern aus dem Active Directory des Unternehmens des Kunden.
Manuelles Hinzufügen über die Admin Console-Benutzeroberfläche
Benutzer und Gruppen können manuell in der Admin Console-Benutzeroberfläche erstellt werden. Diese Methode kann verwendet werden, wenn nur wenige Benutzer verwaltet werden müssen. Zum Beispiel bei weniger als 50 AEM-Benutzern oder wenn Sie die Methode bereits zur Verwaltung anderer Adobe-Produkte wie Analytics, Target oder Creative Cloud-Programmen verwenden.
Datei-Upload in der Admin Console-Benutzeroberfläche
Zur einfachen Handhabung der Benutzererstellung können Sie eine .csv -Datei hochladen, um eine große Anzahl von Benutzern hinzuzufügen.
Tool zur Benutzersynchronisierung
Mit dem Tool zur Benutzersynchronisierung (kurz UST) können unsere Unternehmenskunden Adobe-Benutzer mithilfe von Active Directory erstellen und verwalten. Dies funktioniert auch für andere getestete OpenLDAP-Verzeichnisdienste. Die Zielbenutzer sind IT-Identitätsadministratoren (Enterprise-Verzeichnis- oder Systemadministratoren), die das Tool installieren und konfigurieren können. Das Open Source-Tool ist anpassbar, sodass Sie das Tool an die eigenen Anforderungen anpassen können.
Wenn die Benutzersynchronisierung ausgeführt wird, ruft das Tool eine Liste der Benutzer aus dem Active Directory des Unternehmens ab und vergleicht sie mit der Liste der Benutzer in der Admin Console. Anschließend ruft es die Adobe User Management-API auf, damit die Admin Console mit dem Verzeichnis der Organisation synchronisiert wird. Der Änderungsfluss ist einseitig. Änderungen, die in der Admin Console vorgenommen wurden, werden nicht in das Verzeichnis übertragen.
Das Tool ermöglicht es dem Systemadministrator, Benutzergruppen im Kundenverzeichnis mit der Produktkonfiguration und den Benutzergruppen in der Admin Console abzubilden.
Um die Benutzersynchronisierung einzurichten, muss die Organisation Anmeldeinformationen erstellen. Die Schritte hierfür sind dieselben wie bei der User Management-API .
Das Tool zur Benutzersynchronisierung steht über das Adobe Github-Repository an diesem Speicherort zur Verfügung.
Eine Vorabversion 2.4RC1 ist mit Unterstützung der dynamischen Gruppenbildung verfügbar und kann hier gefunden werden.
Die wichtigsten Funktionen dieser Version sind die Möglichkeit, neue LDAP-Gruppen für die Benutzermitgliedschaft in der Admin Console dynamisch zuzuordnen und dynamische Benutzergruppen zu erstellen.
Weitere Informationen zu den neuen Gruppenfunktionen finden Sie hier .
Dokumentation zur Benutzersynchronisierung
Weitere Informationen finden Sie in der UST-Dokumentation .
Das Tool zur Benutzersynchronisierung muss mit dem Verfahren hier als Adobe I/O-Client-UMAPI registriert werden.
Die Dokumentation zur Adobe I/O-Konsole finden Sie hier .
Die User Management-API, die vom Tool zur Benutzersynchronisierung verwendet wird, wird hier erläutert.

Konfiguration von Adobe Experience as a Cloud Service

Die erforderliche AEM-IMS-Konfiguration wird automatisch konfiguriert, wenn die AEM-Umgebungen und -Instanzen bereitgestellt werden. Der Administrator kann sie jedoch entsprechend seinen Anforderungen nach der hier beschriebenen Methode ändern.
Die erforderliche AEM-IMS-Konfiguration wird automatisch konfiguriert, wenn die AEM-Umgebungen und -Instanzen bereitgestellt werden. Kundenadministratoren können einen Teil der Konfiguration gemäß ihren Anforderungen ändern.
Der allgemeine Ansatz besteht darin, Adobe IMS als OAuth-Anbieter zu konfigurieren. Der Apache Jackrabbit Oak Standard Sync Handler kann wie bei der LDAP-Synchronisierung geändert werden.
Nachfolgend sind die wichtigsten OSGI-Konfigurationen aufgeführt, die geändert werden müssen, um Eigenschaften wie die automatische Mitgliedschaft für Benutzer oder Gruppenzuordnungen zu ändern.

Verwendung

Verwalten von Produkten und Benutzerzugriff in der Admin Console

Wenn sich der Produktadministrator bei der Admin Console anmeldet, sieht er wie unten gezeigt mehrere Instanzen des AEM Managed Services-Produktkontexts:
In diesem Beispiel hat AEM-MS-Onboard der Organisation 32 Instanzen mit unterschiedlichen Topologien und Umgebungen wie Staging oder Produktion.
Unter jeder Produktkontextinstanz gibt es zugehörige Produktprofile. Mit diesen Produktprofilen wird Benutzern und Gruppen der Zugriff mit den erforderlichen Berechtigungen zugewiesen.
Das Profil Administrator_xxx wird verwendet, um Administratorberechtigungen in der zugehörigen AEM-Instanz zu gewähren, während das Profil User_xxx zum Hinzufügen regulärer Benutzer verwendet wird.
Alle unter diesem Produktprofil hinzugefügten Benutzer und Gruppen können sich wie im Beispiel unten gezeigt bei dieser Instanz anmelden:

Anmelden bei Adobe Experience Manager as a Cloud Service

Lokale Administratoranmeldung
AEM kann lokale Anmeldungen für Administratoren weiterhin unterstützen. Der Anmeldebildschirm bietet eine Option zur lokalen Anmeldung:
IMS-basierte Anmeldung
Für andere Benutzer kann die IMS-basierte Anmeldung verwendet werden, sobald IMS für die Instanz konfiguriert wurde. Benutzer klicken wie unten gezeigt auf die Schaltfläche „Mit Adobe anmelden“:
Jeder Benutzer, der in IMS erstellt wurde, kann mit der Adobe ID oder der Federated ID erstellt werden. Wenn ein Benutzer mit der Adobe-ID eingerichtet wird, wird er mithilfe des Identitätsanbieters seiner Firma für die Anmeldung authentifiziert.
Anschließend werden sie zum IMS-Anmeldebildschirm weitergeleitet und müssen ihre Anmeldeinformationen eingeben:
Wenn während der Ersteinrichtung der Admin Console Federated IDP konfiguriert wurde, wird der Benutzer zum Kunden-IDP für die einmalige Anmeldung weitergeleitet:
Sobald die Authentifizierung abgeschlossen ist, wird der Benutzer zurück zu AEM weitergeleitet und angemeldet:

Verwalten von Berechtigungen und Zugriffssteuerungslisten (ACLs) in Adobe Experience Manager as a Cloud Service

Die Zugriffssteuerungslisten (ACLs) und Berechtigungen werden weiterhin in AEM verwaltet. Die vom IMS synchronisierten Benutzergruppen können lokalen Gruppen zugewiesen werden, in denen ACLs und Berechtigungen definiert sind.
Im Beispiel unten werden der lokalen Gruppe Dam_Users synchronisierte Gruppen hinzugefügt.
Der Benutzer ist Teil der folgenden Gruppen in IMS:
Wenn sich der Benutzer anmeldet, werden die Gruppenmitgliedschaften wie unten dargestellt synchronisiert:
In AEM können die aus IMS synchronisierten Benutzergruppen vorhandenen lokalen Gruppen (z. B. DAM-Benutzer ) als Mitglieder hinzugefügt werden.
Wie unten gezeigt, erbt die Gruppe AEM-GRP_008 die Berechtigungen und Rechte von DAM-Benutzer . Dies ist eine effektive Möglichkeit zur Verwaltung von Berechtigungen für synchronisierte Gruppen und wird häufig auch in der LDAP-basierten Authentifizierungsmethode verwendet.

Zugriff auf Cloud Manager

Um auf Cloud Manager oder AEM als Cloud-Service-Umgebung zugreifen zu können, müssen Sie Profilen des Cloud Manager-Produkts zugewiesen sein.
Unter Rollendefinitionen finden Sie weitere Informationen zu Rollen von Benutzern, die die Verfügbarkeit bestimmter Funktionen in Cloud Manager steuern.
Cloud Manager verfügt über vorkonfigurierte Rollen mit entsprechenden Berechtigungen. Informationen zu den einzelnen Rollen mit bestimmten Berechtigungen, vorkonfigurierten Aufgaben oder Berechtigungen, die mit den einzelnen Rollen verknüpft sind, finden Sie unter Rollenbasierte Berechtigungen .
Schritte zum Hinzufügen eines Benutzers
  1. Hinzufügen eines Benutzers auf ein bestimmtes Profil entweder über den Bildschirm eines vorhandenen Benutzers oder über einen neuen Benutzerbildschirm.
  2. Alternativ können Sie einen Benutzer auch über den Bildschirm " Übersicht "hinzufügen, wie in der folgenden Abbildung dargestellt.
    Sie können einem Benutzer mehr als ein Profil zuweisen, wie in der folgenden Abbildung dargestellt.
  3. Nachdem Sie zum entsprechenden Profil hinzugefügt wurden, sollten Sie über Adobe Experience Cloud oben rechts in der Benutzeroberfläche auf die entsprechenden Mieter in Cloud Manager zugreifen können.

Zugriff auf eine Instanz in AEM als Cloud-Dienst

Die im vorherigen Abschnitt erwähnten Schritte müssen bereits abgeschlossen sein, bevor Sie Zugriff auf eine Instanz in AEM als Cloud-Dienst erhalten.
Um Zugriff auf eine AEM-Instanz in der Admin-Konsole zu haben, sollten Sie das Cloud Manager-Programm und die Umgebung im Programm in der Produkt-Liste der Admin-Konsole sehen.
Im folgenden Screenshot sehen Sie beispielsweise zwei verfügbare Umgebung: dev author und a publish .
Um Zugriff auf AEM-Instanzen zu erhalten, muss der Benutzer einer Gruppe des entsprechenden Cloud-Service-Produkts hinzugefügt werden.
Jede Autoreninstanz verfügt über einen AEM-Administrator und ein AEM-Profil für Benutzer und jede Instanz im Veröffentlichungsmodus über ein AEM-Profil. Sie können nach Bedarf weitere Profil hinzufügen.
Um Zugriff auf die AEM-Instanz auf Administratorebene zu erhalten, fügen Sie den Benutzer dem AEM-Administrator-Profil für das jeweilige Produkt hinzu.