Show Menu
ARGOMENTI×

autenticazione IMS Adobe e Admin Console supporto per AEM Managed Services

Questa funzione è disponibile solo per i clienti di Adobe Managed Services.

Introduzione

AEM 6.4.3.0 introduce Admin Console il supporto per le istanze AEM e l'autenticazione basata Adobe IMS( Identity Management System) per AEM clienti Managed Services .
AEM l'accesso al Admin Console sistema consentirà AEM clienti Managed Services di gestire tutti gli utenti Experience Cloud in un'unica console. Gli utenti e i gruppi possono essere assegnati ai profili di prodotto associati alle istanze AEM, consentendo loro di accedere a un'istanza specifica.

Elementi di rilievo

  • AEM supporto dell'autenticazione IMS è solo per autori, amministratori o sviluppatori AEM, non per utenti finali esterni di siti cliente come i visitatori del sito
  • I clienti Managed Services Admin Console saranno AEM come organizzazioni IMS e le relative istanze come contesti di prodotto. Gli amministratori di prodotto e di sistema dei clienti potranno gestire l'accesso alle istanze
  • AEM Managed Services sincronizzerà le topologie dei clienti con il Admin Console. Esiste un'istanza di AEM contesto prodotto Managed Services per istanza nel Admin Console.
  • Product Profiles in Admin Console will determine which instances a user can access
  • È supportata l'autenticazione federativa tramite provider di identità conformi SAML 2
  • Saranno supportati solo Enterprise ID o Federated ID (per il cliente Single Sign-On), non ID Adobe personali.
  • User Management (nel Adobe Admin Console) continueranno a essere di proprietà degli amministratori cliente.

Architettura

L'autenticazione IMS funziona utilizzando il protocollo OAuth tra AEM e l'endpoint IMS del Adobe . Dopo l’aggiunta a IMS, un utente con identità Adobe può accedere ad AEM Managed Services utilizzando le credenziali IMS.
Il flusso di accesso dell'utente è riportato di seguito, l'utente verrà reindirizzato a IMS e, facoltativamente, all'IDP del cliente per la convalida SSO e quindi reindirizzato nuovamente a AEM.

How To Set Up

Onboarding Organizations to Admin Console

The customer onboarding to Admin Console is a pre-requisite to using Adobe IMS for AEM authentication.
Come primo passo, i clienti devono avere un'organizzazione predisposta in Adobe IMS. clienti Enterprise Adobe sono rappresentati come organizzazioni IMS nel Adobe Admin Console .
AEM Managed Services customers should already have an organization provisioned, and as part of the IMS provisioning, the customer instances will be made available in the Admin Console for managing user entitlements and access.
Il passaggio a IMS per l'autenticazione degli utenti sarà uno sforzo congiunto tra AMS e i clienti, con ciascuno dei quali i flussi di lavoro saranno completati.
Una volta che un cliente esiste come organizzazione IMS e AMS ha effettuato il provisioning del cliente per IMS, questo è il riepilogo dei flussi di lavoro di configurazione richiesti:
  1. The designated System Admin receives an invite to log in to the Admin Console
  2. L'amministratore di sistema richiede il dominio per confermare la proprietà del dominio (in questo esempio acme.com)
  3. L'amministratore di sistema imposta le directory utente
  4. L'amministratore di sistema configura il provider di identità (IDP) nella configurazione Admin Console per SSO.
  5. L'amministratore AEM gestisce i gruppi locali, le autorizzazioni e i privilegi come al solito. Consultate Sincronizzazione di utenti e gruppi
Per ulteriori informazioni sul Adobe Identity Management Basics, inclusa la configurazione IDP, consultate l'articolo in questa pagina.
Per ulteriori informazioni sull'amministrazione Enterprise e Admin Console consultate l'articolo in questa pagina .

Onboarding Users to the Admin Console

Esistono tre modi per integrare gli utenti a seconda delle dimensioni del cliente e delle loro preferenze:
  1. Creare manualmente utenti e gruppi in Admin Console
  2. Caricare un file CSV con gli utenti
  3. Sincronizzare utenti e gruppi dall'Active Directory aziendale del cliente.

Manual Addition through Admin Console UI

Users and Groups can be manually created in the Admin Console UI. Questo metodo può essere utilizzato se non dispone di un numero elevato di utenti da gestire. Ad esempio, un numero inferiore a 50 utenti AEM.
Gli utenti possono anche essere creati manualmente se il cliente utilizza già questo metodo per amministrare altri prodotti Adobe come Analytics, Target o applicazioni di Creative Cloud.

Caricamento file nell’ Admin Console interfaccia utente

Per semplificare la gestione della creazione di utenti, potete caricare un file CSV per aggiungere utenti in massa:

Strumento User Sync

Lo strumento di sincronizzazione utenti (UST in breve) consente ai clienti aziendali di creare o gestire utenti di Adobi che utilizzano Active Directory o altri servizi di directory OpenLDAP testati. Gli utenti di destinazione sono amministratori di identità IT (Enterprise Directory e System Admins) che saranno in grado di installare e configurare lo strumento. Lo strumento open source è personalizzabile in modo che i clienti possano modificarlo in base alle proprie esigenze specifiche.
When User Sync runs, it fetches a list of users from the organization’s Active Directory (or any other compatible data source) and compares it with the list of users within the Admin Console. It then calls the Adobe User Management API so that the Admin Console is synchronized with the organization’s directory. Il flusso di variazione è interamente unidirezionale; eventuali modifiche apportate nella directory Admin Console non vengono inviate alla directory.
Lo strumento consente all'amministratore di sistema di mappare i gruppi di utenti nella directory del cliente con la configurazione del prodotto e i gruppi di utenti nella Admin Console, la nuova versione UST consente anche la creazione dinamica dei gruppi di utenti nella Admin Console.
Per configurare User Sync, l’organizzazione deve creare un set di credenziali in modo analogo a come userebbe l’ User Management API .
La sincronizzazione degli utenti è distribuita tramite l'archivio di Github Adobe, nel seguente percorso:
Una versione precedente alla release 2.4RC1 è disponibile con il supporto per la creazione di gruppi dinamici ed è disponibile qui: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
The major features for this release are the ability to dynamically map new LDAP groups for user membership in the Admin Console, as well as dynamic user group creation.
Ulteriori informazioni sulle nuove funzioni del gruppo sono disponibili qui:
Per ulteriori informazioni sullo strumento di sincronizzazione degli utenti, consulta la pagina della documentazione.
The User Sync Tool needs to register as an Adobe I/O client UMAPI using the procedure described here .
The Adobe I/O Console Documentation can be found here .
L' User Management API utilizzata dallo strumento di sincronizzazione degli utenti è trattata in questa posizione .
La configurazione IMS AEM sarà gestita dal team Adobe Managed Services. Tuttavia, l'amministratore del cliente può modificarlo in base alle proprie esigenze (ad esempio, Appartenenza automatica al gruppo o Mappatura del gruppo). Il client IMS verrà registrato anche dal team Managed Services.

Guida all’uso

Managing Products and User Access in Admin Console

When the customer Product Administrator logs in to Admin Console, they will see multiple instances of the AEM Managed Services Product Context as shown below:
In this example, the org AEM-MS-Onboard has 32 instances spanning different topologies and environments like Stage, Prod, etc.
I dettagli dell’istanza possono essere verificati per identificare l’istanza:
In ogni istanza Contesto prodotto, sarà associato un profilo di prodotto. Questo profilo di prodotto viene utilizzato per assegnare l'accesso a utenti e gruppi.
Tutti gli utenti e i gruppi aggiunti sotto questo profilo di prodotto potranno accedere a tale istanza come mostrato nell'esempio seguente:

Accesso AEM

Login amministratore locale

AEM continuare a supportare gli accessi locali per gli utenti Admin, poiché la schermata di accesso dispone di un'opzione per accedere localmente:

Accesso basato su IMS

Per altri utenti, è possibile utilizzare l’accesso basato su IMS dopo che IMS è stato configurato per l’istanza. The user will first click on the Sign in with Adobe button as shown below:
Vengono quindi reindirizzati alla schermata di accesso IMS e immettono le proprie credenziali:
If a federated IDP is configured during initial Admin Console setup, then the user will be redirected to the customer IDP for SSO.
L'IDP è Okta nell'esempio seguente:
Una volta completata l’autenticazione, l’utente verrà reindirizzato ad AEM per eseguire l’accesso:

Migrazione degli utenti esistenti

Per le istanze di AEM esistenti che utilizzano un altro metodo di autenticazione e che ora vengono trasferite a IMS, è necessario effettuare una migrazione.
Gli utenti esistenti nell'archivio AEM (originati localmente, tramite LDAP o SAML) possono essere migrati a IMS come IDP utilizzando l'Utilità di migrazione degli utenti.
Questa utility verrà eseguita dal team AMS come parte del provisioning IMS.

Gestione di autorizzazioni e ACL in AEM

Il controllo degli accessi e le autorizzazioni continueranno a essere gestiti in AEM, ciò può essere ottenuto separando i gruppi di utenti provenienti da IMS (ad es. AEM-GRP-008 nell'esempio seguente) e i gruppi locali in cui sono definite le autorizzazioni e il controllo degli accessi. I gruppi di utenti sincronizzati da IMS possono essere assegnati a gruppi locali e ereditare le autorizzazioni.
Nell’esempio seguente, ad esempio, i gruppi sincronizzati vengono aggiunti al gruppo Dam_Users locale.
In questo caso, un utente è stato assegnato anche a alcuni gruppi nella Admin Console. (Gli utenti e i gruppi possono essere sincronizzati da LDAP utilizzando lo strumento di sincronizzazione utenti o creati localmente. Consultate la sezione Utenti onboardingAdmin Console qui sopra).
*Si noti che i gruppi di utenti vengono sincronizzati solo quando gli utenti accedono all'istanza, per i clienti che hanno un numero elevato di utenti e gruppi, AMS può eseguire un'utility di sincronizzazione di gruppo per preacquisire i gruppi per il controllo degli accessi e la gestione delle autorizzazioni descritte in precedenza.
L’utente fa parte dei seguenti gruppi in IMS:
Quando l’utente esegue l’accesso, le iscrizioni ai gruppi vengono sincronizzate, come illustrato di seguito:
In AEM, i gruppi di utenti sincronizzati da IMS possono essere aggiunti come membri a gruppi locali esistenti, ad esempio Utenti DAM.
Come mostrato di seguito, il gruppo AEM-GRP_008 eredita i privilegi e le autorizzazioni degli utenti DAM. Questo è un modo efficace per gestire le autorizzazioni per i gruppi sincronizzati ed è comunemente utilizzato anche nei metodi di autenticazione basati su LDAP.