Show Menu
トピック×

Adobe Experience Manager as a Cloud Service に対する IMS のサポート

概要

  • AEM as a Cloud Service の Admin Console では、AEM インスタンスと、Adobe Identity Management System(IMS)ベースの認証をサポートしてます。
  • Admin Console を使用すると、管理者がすべての Experience Cloud ユーザーを一元的に管理できます。
  • AEM as a Cloud Service インスタンスに関連付けられている製品プロファイルにユーザーとグループを割り当てることができます。その結果、ユーザーとグループはその特定のインスタンスにログインできるようになります。

主なハイライト

AEM as a Cloud Service では、作成者、管理者および開発者ユーザーに対してのみ IMS 認証をサポートしています。サイトの訪問者など、顧客サイトの外部エンドユーザーに対してはサポートしていません。
  • Admin Console では、お客様を IMS 組織として表し、環境内のオーサーインスタンスとパブリッシュインスタンスを製品コンテキストインスタンスとして表します。これにより、システム管理者と製品管理者がインスタンスへのアクセスを管理できるようになります。
  • Admin Console の製品プロファイルによって、ユーザーがアクセスできるインスタンスが決まります。
  • お客様は、SAML 2 に準拠している独自の ID プロバイダー(IDP)をシングルサインオンに使用できます。
  • 個人用の Adobe ID ではなく、お客様のシングルサインオン用のエンタープライズ ID またはフェデレーテッド ID のみがサポートされます。

アーキテクチャ

IMS 認証は、AEM と Adobe IMS エンドポイントの間で OAuth プロトコルを使用して機能します。ユーザーが IMS に追加され、アドビの ID を持つようになると、IMS 資格情報を使用して AEM オーサーサービスにログインできます。
ユーザーログインフローを以下に示します。ユーザーは IMS にリダイレクトされ、オプションで SSO のためにカスタマー IDP にリダイレクトされてから、AEM にリダイレクトされます。

設定方法

Adobe Admin Console への組織のオンボーディング

Adobe Admin Console にお客様をオンボーディングすることは、AEM 認証に Adobe IMS を使用するための前提条件です。
最初のステップとして、Adobe IMS に組織をプロビジョニングする必要があります。法人のお客様は、 Adobe Admin Console では IMS 組織として表されます。Admin Console は、アドビのお客様が自社製品に対するユーザーおよびグループの使用権限を管理するために使用するポータルです。
AEM のお客様は、既に組織がプロビジョニングされています。また、IMS プロビジョニングの一環として、ユーザーの使用権限とアクセスを管理するために、Admin Console でカスタマーインスタンスを利用できるようになります。
お客様が IMS 組織として存在するようになれば、お客様のシステムを、次に要約するように設定する必要があります。
  1. 指定されたシステム管理者が、Cloud Manager へのログインの招待を受け取ります。Cloud Manager にログインした後、システム管理者は AEM のプログラムと環境のプロビジョニングを選択するか、Admin Console に移動して管理タスクを実行することができます。
  2. システム管理者がドメインを要求して、それぞれのドメイン(この例では acme.com)の所有権を確認します。
  3. システム管理者がユーザーディレクトリを設定します。
  4. システム管理者は、シングルサインオンを設定するために Admin Console で IDP 設定をおこないます。
  5. AEM 管理者が、通常どおりローカルグループと権限および特権を管理します。
IDP 設定など、アドビの ID 管理の基本については、 こちら を参照してください。
Enterprise Administration と Admin Console の使用方法については、 こちら を参照してください。

Admin Console でのユーザーのオンボーディング

お客様の規模と好みに応じて、ユーザーをオンボードする方法は 3 通りあります。つまり、Admin Console でユーザーを手動で作成する、.csv ファイルをアップロードする、お客様の社内 Active Directory からユーザーを同期する、の 3 通りです。
Admin Console UI による手動追加
ユーザーとグループは、Admin Console の UI で手動で作成できます。この方法は、管理するユーザー数が多くない場合に使用できます。例えば、AEM ユーザーが 50 人未満の場合や、Analytics、Target、Creative Cloud アプリケーションなどの他の Adobe 製品を管理するために既にこの方法を使用している場合などです。
Admin Console UI でのファイルアップロード
ユーザー作成を簡単に処理するために、 .csv ファイルをアップロードしてユーザーを一括で追加できます。
ユーザー同期ツール
ユーザー同期ツール(UST)を使用すると、法人のお客様は、Active Directory を利用してアドビユーザーを作成および管理できます。この方法は、検証済みの他の OpenLDAP ディレクトリサービスでも機能します。対象ユーザーは、このツールをインストールおよび設定できる IT ID 管理者(エンタープライズディレクトリまたはシステムの管理者)です。オープンソースツールはカスタマイズ可能なので、お客様が特定の要件に合うように変更できます。
ユーザー同期が実行されると、組織の Active Directory からユーザーリストを取得し、それを Admin Console 内のユーザーリストと比較します。その後、Admin Console を組織のディレクトリと同期するために、Adobe User Management API を呼び出します。変更フローは完全に一方向です。Admin Console でおこなった編集は、ディレクトリにはプッシュされません。
このツールを使用すると、システム管理者は、お客様のディレクトリ内のユーザーグループを、Admin Console 内の製品設定とユーザーグループにマッピングできます。
ユーザー同期を設定するには、 User Management API を使用する場合と同様に、組織が一連の資格情報を作成する必要があります。
ユーザー同期ツールは、 この場所 にある Adobe GitHub リポジトリを通じて配布されます。
プレリリースバージョンの 2.4RC1 は動的グループ作成サポートで利用でき、 この場所 にあります。
このリリースの主な機能は、Admin Console でユーザーのメンバーシップに合わせて新しい LDAP グループを動的にマッピングする機能と、動的なユーザーグループ作成です。
新しいグループ機能の詳細については、 こちら を参照してください。
ユーザー同期に関するドキュメント
詳しくは、 UST のドキュメント を参照してください。
ユーザー同期ツールは、 こちら で説明されている手順を使用して、Adobe I/O クライアント UMAPI として登録する必要があります。
Adobe I/O コンソールのドキュメントについては、 こちら を参照してください。
ユーザー同期ツールで使用される User Management API については、 こちら を参照してください。

Adobe Experience Manager as a Cloud Service の設定

必要な AEM IMS 設定は、AEM の環境とインスタンスがプロビジョニングされる際に自動的におこなわれます。ただし、管理者は、 こちら で説明している方法を使用して、自らの要件に従って設定を変更できます。
必要な AEM IMS 設定は、AEM の環境とインスタンスがプロビジョニングされる際に自動的におこなわれます。顧客側の管理者は、自らの要件に応じて設定の一部を変更できます。
Adobe IMS を OAuth プロバイダーとして設定することが全体的なアプローチになります。LDAP の同期と同様に、 Apache Jackrabbit Oak Default Sync Handler を変更できます。
ユーザーの自動メンバーシップやグループマッピングなどのプロパティを変更するために変更の必要がある主要な OSGi 設定を以下に示します。

使用方法

Admin Console での製品とユーザーアクセスの管理

製品管理者が Admin Console にログインすると、以下に示すように、AEM Managed Services 製品コンテキストの複数のインスタンスが表示されます。
この例では、 AEM-MS-Onboard 組織は、Stage や Prod など、様々なトポロジと環境にまたがる 32 個のインスタンスがあります。
各製品コンテキストインスタンスの下に、関連付けられた製品プロファイルがあります。これらの製品プロファイルは、必要な特権を持つユーザーおよびグループにアクセス権を割り当てるために使用されます。
Administrator_xxx プロファイルは、関連する AEM インスタンスで管理者特権を付与するために使用されるのに対して、 User_xxx プロファイルは、通常のユーザーを追加するために使用されます。
この製品プロファイルの下に追加されたすべてのユーザーおよびグループは、以下の例に示すように、その特定のインスタンスにログインできます。

Adobe Experience Manager as a Cloud Service へのログイン

ローカル管理者ログイン
AEM では引き続き、管理者ユーザーのローカルログインをサポートします。ログイン画面には、ローカルでログインするオプションがあります。
IMS ベースのログイン
他のユーザーの場合は、IMS がインスタンスに設定された後に、IMS ベースのログインを使用できます。ユーザーはまず、下に示すように、「Sign in with Adobe」ボタンをクリックします。
IMS で作成された任意のユーザーは、Adobe ID または Federated ID を使用して作成できます。ユーザーが Adobe ID を使用して設定されている場合、ログインには会社の ID プロバイダーを使用して認証されます。
その後、ユーザーは IMS ログイン画面にリダイレクトされ、認証情報を入力する必要があります。
Admin Console の初期設定中にフェデレーテッド IDP が設定される場合、ユーザーは SSO 用のカスタマー IDP にリダイレクトされます。
認証が完了すると、ユーザーは AEM にリダイレクトされてログインします。

Adobe Experience Manager as a Cloud Service での権限と ACL の管理

ACL と権限は引き続き AEM で管理されます。IMS から同期されたユーザーグループは、ACL と特権が定義されているローカルグループに割り当てることができます。
以下の例では、同期グループをローカル Dam_Users グループに追加しています。
ユーザーは、IMS の以下のグループの一部です。
ユーザーがログインすると、以下に示すように、グループメンバーシップが同期されます。
AEM では、IMS から同期されたユーザーグループを既存のローカルグループ( DAM ユーザー ​など)にメンバーとして追加できます。
下図に示すように、グループ AEM-GRP_008 DAM ユーザー ​の権限と特権を継承します。これは、同期したグループの権限を効果的に管理する方法で、LDAP ベースの認証方法でも一般的に使用されています。

Cloud Manager へのアクセス

Cloud Manager または AEM as a Cloud Service 環境としてアクセスするには、Cloud Manager 製品のプロファイルに割り当てられている必要があります。
Cloud Manager の特定の機能の可用性を管理するユーザーの役割について詳しくは、 役割の定義 を参照してください。
Cloud Manager には、適切な権限を持つ事前設定済みの役割が用意されています。特定の権限、事前設定済みのタスク、または各役割に関連付けられた権限を持つ各役割について詳しくは、 役割に基づく権限 を参照してください。
ユーザーの追加手順
  1. 既存ユーザー画面または新規ユーザー画面から、ユーザーを特定のプロファイルに追加します。
  2. または、次の図に示すように、 概要 ​画面から、ユーザーを追加することもできます。
    次の図に示すように、1 人のプロファイルに複数のユーザーを割り当てることができます。
  3. 適切なプロファイルに追加したら、ユーザーインターフェイスの右上隅を使用して Adobe Experience Cloud を経由して、Cloud Manager の各テナントにアクセスできるようになります。

AEM as a Cloud Service のインスタンスへのアクセス

前の節で説明した手順は、AEM as a Cloud Service のインスタンスにアクセス可能になる前に、既に完了している必要があります。
Admin Console 内の AEM インスタンスにアクセスするには、 Admin Console の製品リストに Cloud Manager プログラムとプログラム内の環境が表示されている必要があります。
例えば、下のスクリーンショットには、2 つの利用可能な環境、すなわち dev author publish が表示されます。
AEM インスタンスにアクセスするには、適切な Cloud Service 製品のグループにユーザーを追加する必要があります。
すべてのオーサーインスタンスには AEM 管理者と AEM ユーザーのプロファイルが割り当てられ、すべてのパブリッシュインスタンスには AEM ユーザーのプロファイルが割り当てられます。必要に応じて、他のプロファイルを追加できます。
AEM インスタンスへの管理者レベルのアクセス権を取得するには、その製品の AEM 管理者プロファイルにユーザーを追加します。