Show Menu
TEMAS×

Compatibilidad con IMS para Adobe Experience Manager as a Cloud Service

Introducción

  • AEM as a Cloud Service incluye compatibilidad con Admin Console para instancias de AEM y autenticación basada en Adobe Identity Management System (IMS).
  • Admin Console permite a los administradores gestionar de forma centralizada todos los usuarios de Experience Cloud.
  • Los usuarios y grupos pueden asignarse a perfiles de producto asociados a instancias de AEM as a Cloud Service, lo que les permite iniciar sesión en esa instancia.

Puntos clave destacados

AEM as a Cloud Service ofrece compatibilidad con la autenticación IMS solo para usuarios creadores, administradores y desarrolladores. No ofrece soporte para usuarios finales externos de sitios de clientes como visitantes del sitio.
  • Admin Console representa a los clientes como organizaciones de IMS, instancias de creación y publicación en un entorno como instancias de contexto de producto. Esto permite a los administradores de sistemas y productos gestionar el acceso a las instancias.
  • Los perfiles de producto de Admin Console determinan las instancias a las que puede acceder un usuario.
  • Los clientes pueden utilizar sus propios proveedores de identidad (IDP) compatibles con SAML 2 para el inicio de sesión único.
  • Solo se admiten los Enterprise ID o Federated ID para el inicio de sesión único del cliente, no los Adobe ID personales.

Arquitectura

La autenticación IMS funciona mediante el protocolo OAuth entre AEM y el extremo IMS de Adobe. Una vez que se añade un usuario a IMS y tiene una identidad de Adobe, puede iniciar sesión en el servicio de creación de AEM con las credenciales de IMS.
El flujo de inicio de sesión del usuario se muestra a continuación; se redirige al usuario a IMS y, opcionalmente, al IDP de cliente para SSO y, a continuación, a AEM.

Configuración

Incorporación de organizaciones a Adobe Admin Console

La incorporación del cliente a Adobe Admin Console es un requisito previo para utilizar Adobe IMS para la autenticación de AEM.
Como primer paso, los clientes deben disponer de una organización en Adobe IMS. Los clientes de Adobe Enterprise están representados como organizaciones de IMS en Adobe Admin Console . Es el portal que utilizan los clientes de Adobe para administrar las asignaciones de productos para sus usuarios y grupos.
Los clientes de AEM ya deben disponer de una organización incluida y, como parte del aprovisionamiento de IMS, las instancias de cliente están disponibles en Admin Console para administrar los derechos de usuario y el acceso.
Una vez que un cliente existe como una organización de IMS, debe configurar su sistema como se resume a continuación:
  1. El administrador del sistema designado recibe una invitación para iniciar sesión en Cloud Manager. Después de iniciar sesión en Cloud Manager, los administradores del sistema pueden optar por ofrecer los programas y entornos de AEM o navegar a Admin Console para llevar a cabo tareas administrativas.
  2. El administrador del sistema reclama un dominio para confirmar la propiedad del dominio en cuestión (por ejemplo, acme.com).
  3. El administrador del sistema configura los directorios de usuario.
  4. El administrador del sistema realiza la configuración de IDP en Admin Console para configurar el registro único.
  5. El administrador de AEM gestiona los grupos locales, los permisos y los privilegios de la forma habitual.
Puede informarse sobre los conceptos básicos de Adobe Identity Management, incluida la configuración de IDP, aquí .
Puede informarse sobre el uso de Enterprise Administration y Admin Console aquí .

Incorporación de usuarios en Admin Console

Existen tres formas de integrar a los usuarios en función del tamaño del cliente y de sus preferencias: crear usuarios manualmente en Admin Console, cargar un archivo .csv o sincronizar usuarios desde el Active Directory del cliente.
Adición manual a través de la interfaz de usuario de Admin Console
Los usuarios y grupos se pueden crear manualmente en la interfaz de usuario de Admin Console. Este método se puede utilizar si no hay un gran número de usuarios que administrar. Por ejemplo, menos de 50 usuarios de AEM o si ya está utilizando este método para administrar otros productos de Adobe como Analytics, Target o aplicaciones de Creative Cloud.
Carga de archivos en la interfaz de usuario de Admin Console
Para facilitar la gestión de la creación de usuarios, se puede cargar un archivo .csv para agregar usuarios de forma masiva.
Herramienta de sincronización de usuarios
La herramienta de sincronización de usuarios (o UST abreviada) permite a los clientes de la empresa crear y administrar usuarios de Adobe mediante Active Directory. Esto también funciona para otros servicios de directorio OpenLDAP probados. Los usuarios de destino son administradores de identidad de TI (Enterprise Directory o administradores del sistema) que pueden instalar y configurar la herramienta. La herramienta de código abierto es personalizable para que los clientes la modifiquen y se adapten a sus propios requisitos particulares.
Cuando se ejecuta la sincronización de usuarios, se obtiene una lista de usuarios de Active Directory de la organización y se compara con la lista de usuarios de Admin Console. A continuación, llama a la API de administración de usuarios de Adobe para sincronizar Admin Console con el directorio de la organización. El flujo de cambios es totalmente unidireccional. Las ediciones realizadas en Admin Console no se insertan en el directorio.
La herramienta permite al administrador del sistema asignar grupos de usuarios en el directorio del cliente con la configuración del producto y los grupos de usuarios en Admin Console.
Para configurar la sincronización de usuarios, la organización debe crear un conjunto de credenciales de la misma manera que usaría la API de administración de usuarios .
La herramienta de sincronización de usuarios se distribuye a través del repositorio de Adobe Github en esta ubicación .
La versión de evaluación 2.4RC1 está disponible con compatibilidad para la creación de grupos dinámicos y se puede encontrar aquí .
Las principales características de esta versión son la capacidad de asignar dinámicamente nuevos grupos LDAP para la pertenencia de usuarios a Admin Console, así como la creación dinámica de grupos de usuarios.
Puede encontrar más información sobre las nuevas funciones de grupo en esta ubicación .
Documentación de sincronización de usuarios
Consulte la documentación de la UST para obtener más detalles.
La herramienta de sincronización de usuarios debe registrarse como cliente de Adobe I/O UMAPI mediante el procedimiento especificado aquí .
La documentación de la consola de Adobe I/O se puede encontrar aquí .
La API de administración de usuarios que utiliza la herramienta de sincronización de usuarios se explica aquí .

Configuración de Adobe Experience as a Cloud Service

La configuración de AEM IMS requerida se configura automáticamente cuando se ofrezcan los entornos y las instancias de AEM. Sin embargo, el administrador puede modificarla según sus necesidades utilizando el método descrito aquí .
La configuración de AEM IMS requerida se configura automáticamente cuando se ofrezcan los entornos y las instancias de AEM. Los administradores de clientes pueden modificar parte de la configuración según sea preciso.
El método general consiste en configurar Adobe IMS como proveedor de OAuth. El controlador de sincronización predeterminado Apache Jackrabbit Oak puede modificarse como para la sincronización LDAP.
A continuación, se muestran las configuraciones de OSGI clave que deben modificarse para cambiar propiedades como Pertenencia automática del usuario o Asignaciones de grupos.

Usos

Administración de productos y acceso de usuarios en Admin Console

Cuando el administrador de productos inicia sesión en Admin Console, puede ver varias instancias del contexto de producto de AEM Managed Services, como se muestra a continuación:
En este ejemplo, la organización AEM-MS-Onboard tiene 32 instancias que abarcan diferentes topologías y entornos como ensayo o producción.
En cada instancia de contexto de producto, hay perfiles de producto asociados. Estos perfiles de producto se utilizan para asignar acceso a usuarios y grupos con el privilegio requerido.
El perfil Administrator_xxx se utiliza para otorgar privilegios de administrador en la instancia de AEM asociada, mientras que el perfil User_xxx se utiliza para añadir usuarios habituales.
Los usuarios y grupos agregados bajo este perfil de producto pueden iniciar sesión en esa instancia en particular, como se muestra en el ejemplo siguiente:

Inicio de sesión en Adobe Experience Manager as a Cloud Service

Inicio de sesión de administrador local
AEM puede seguir admitiendo inicios de sesión locales para usuarios que sean administradores. La pantalla de inicio de sesión tiene una opción para iniciar sesión de manera local:
Inicio de sesión basado en IMS
Para otros usuarios, el inicio de sesión basado en IMS se puede utilizar una vez que IMS esté configurado en la instancia. El usuario primero debe hacer clic en el botón Iniciar sesión con Adobe, como se muestra a continuación:
Cualquier usuario creado en IMS puede crearse con un Adobe ID o un Federated ID. Si un usuario está configurado con un Adobe ID, se autentica con el proveedor de identidad de su Compañía para iniciar sesión.
Luego se les redirige a la pantalla de inicio de sesión de IMS y deberán introducir sus credenciales:
Si se configura un IDP federado durante la configuración inicial de Admin Console, se redirige al usuario al IDP del cliente para SSO:
Una vez finalizada la autenticación, se redirige al usuario a AEM para iniciar sesión:

Administración de permisos y ACL en Adobe Experience Manager as a Cloud Service

Las ACL y los permisos se siguen administrando en AEM. Los grupos de usuarios sincronizados desde IMS se pueden asignar a grupos locales donde se definen las ACL y los privilegios.
En el ejemplo siguiente, se añaden grupos sincronizados al grupo local Dam_Users como ejemplo.
El usuario forma parte de los siguientes grupos en IMS:
Cuando el usuario inicia sesión, se sincronizan las suscripciones al grupo, como se muestra a continuación:
En AEM, los grupos de usuarios sincronizados con IMS se pueden agregar como miembros a grupos locales existentes, como los usuarios de DAM .
Como se muestra a continuación, el grupo AEM-GRP_008 hereda los permisos y privilegios de los usuarios de DAM , lo que supone una forma eficaz de administrar los permisos para los grupos sincronizados y se utiliza comúnmente también en el método de autenticación basado en LDAP.

Acceso a Cloud Manager

Para poder acceder a los entornos de Cloud Manager o AEM as a Cloud Service, debe estar asignado a Perfiles del producto Cloud Manager.
Consulte Definiciones de funciones para obtener más información sobre las funciones de los usuarios que rigen la disponibilidad de funciones específicas en Cloud Manager.
Cloud Manager tiene funciones preconfiguradas con los permisos adecuados. Para obtener más información sobre cada una de las funciones con permisos específicos, tareas preconfiguradas o permisos asociados a cada función, consulte Permisos basados en roles .
Pasos para Añadir un usuario
  1. Añada un usuario a un perfil particular desde una pantalla de usuario existente o desde una pantalla de usuario nueva.
  2. También puede agregar un usuario desde la pantalla Información general , como se muestra en la figura siguiente.
    Puede asignar más de un perfil a un usuario, como se muestra en la figura siguiente.
  3. Una vez agregado al perfil correspondiente, debe poder acceder a los inquilinos respectivos en Cloud Manager a través de Adobe Experience Cloud usando la esquina superior derecha de la interfaz de usuario.

Acceder a una instancia en AEM as a Cloud Service

Se deben completar los pasos mencionados en la sección anterior antes de que se le conceda acceso a una instancia en AEM as a Cloud Service.
Para tener acceso a una instancia de AEM dentro de la Admin Console , debe ver el Programa de Cloud Manager y los entornos dentro del programa en la lista del producto en la Admin Console .
Por ejemplo, en la captura de pantalla a continuación, verá dos entornos disponibles, a saber, dev author y un publish .
Para obtener acceso a las instancias de AEM, el usuario deberá agregarse a un grupo del producto de Cloud Service correspondiente.
Cada instancia de autor tendrá un Perfil de administradores de AEM y usuarios de AEM, y cada instancia de publicación tendrá un Perfil de usuarios de AEM. Puede agregar otros perfiles según sea necesario.
Para obtener acceso a nivel de administrador a la instancia de AEM, añada el usuario al Perfil de administradores de AEM para ese producto en particular.