Show Menu
TÓPICOS×

Autenticação e suporte do Adobe IMS Admin Console para serviços gerenciados do AEM

Observe que esse recurso está disponível somente para clientes do Adobe Managed Services.

Introdução

O AEM 6.4.3.0 apresenta Admin Console suporte para instâncias do AEM e autenticação baseada no Adobe IMS (Identity Management System) para clientes do AEM Managed Services .
O AEM integrado ao Admin Console permitirá que os clientes dos Serviços gerenciados do AEM gerenciem todos os usuários da Experience Cloud em um único console. Usuários e grupos podem ser atribuídos a perfis de produtos associados a instâncias do AEM, permitindo que eles façam logon em uma instância específica.

Destaques principais

  • O suporte à autenticação do AEM IMS é somente para autores, administradores ou desenvolvedores do AEM, e não para usuários finais externos de visitantes do site como o do cliente
  • O Admin Console representará os clientes dos Serviços gerenciados do AEM como Organizações IMS e suas Instâncias como Contextos de produtos. Os administradores de sistemas e produtos do cliente poderão gerenciar o acesso às instâncias
  • Os serviços gerenciados do AEM sincronizarão as topologias do cliente com o Admin Console. Haverá uma instância do Contexto de produto de serviços gerenciados do AEM por instância no Admin Console.
  • Product Profiles in Admin Console will determine which instances a user can access
  • A autenticação federada usando provedores de identidade compatíveis com SAML 2 dos próprios clientes é suportada
  • Somente Enterprise ID ou Federated ID(para logon único do cliente) serão compatíveis, não com Adobe IDs pessoais.
  • User Management (na Adobe Admin Console) continuará sendo propriedade dos administradores do cliente.

Arquitetura

A autenticação IMS funciona usando o protocolo OAuth entre o AEM e o terminal Adobe IMS. Depois que um usuário é adicionado ao IMS e tem uma Adobe Identity, ele pode fazer logon nas instâncias do AEM Managed Services usando as credenciais do IMS.
O fluxo de logon do usuário é mostrado abaixo, o usuário será redirecionado para o IMS e, opcionalmente, para o IDP do cliente para validação SSO e, em seguida, redirecionado para o AEM.

How To Set Up

Onboarding Organizations to Admin Console

The customer onboarding to Admin Console is a pre-requisite to using Adobe IMS for AEM authentication.
Como primeira etapa, os clientes devem ter uma organização provisionada no Adobe IMS. Os clientes do Adobe Enterprise são representados como Organizações IMS no Adobe [Admin Console] .
AEM Managed Services customers should already have an organization provisioned, and as part of the IMS provisioning, the customer instances will be made available in the Admin Console for managing user entitlements and access.
A mudança para o IMS para autenticação do usuário será um esforço conjunto entre o AMS e os clientes, cada um com suas workflows de conclusão.
Quando um cliente existe como uma Organização IMS e o AMS é feito com o provisionamento do cliente para o IMS, este é o resumo dos workflows de configuração necessários:
  1. The designated System Admin receives an invite to log in to the Admin Console
  2. O administrador do sistema reclama o domínio para confirmar a propriedade do domínio (neste exemplo, acme.com)
  3. O administrador do sistema configura os diretórios do usuário
  4. O administrador do sistema configura o provedor de identidade (IDP) na configuração Admin Console para SSO.
  5. O administrador do AEM gerencia grupos locais, permissões e privilégios, como de costume. Consulte Sincronização de usuários e grupos
Para obter mais informações sobre as noções básicas do Adobe Identity Management, incluindo a configuração do IDP, consulte o artigo nesta página.
Para obter mais informações sobre a Administração corporativa e Admin Console consulte o artigo nesta página .

Usuários integrados ao Admin Console

Existem três maneiras de os usuários integrados dependerem do tamanho do cliente e de suas preferências:
  1. Criar manualmente usuários e grupos em Admin Console
  2. Carregar um arquivo CSV com usuários
  3. Sincronizar usuários e grupos do Ative Diretory corporativo do cliente.

Manual Addition through Admin Console UI

Users and Groups can be manually created in the Admin Console UI. Esse método pode ser usado se não tiver um grande número de usuários para gerenciar. Por exemplo, um número de usuários com menos de 50 AEM.
Os usuários também podem ser criados manualmente se o cliente já estiver usando esse método para administrar outros produtos da Adobe, como aplicativos do Analytics, do Público alvo ou da Creative Cloud.

Upload de arquivo na Admin Console interface do usuário

Para facilitar a manipulação da criação do usuário, um arquivo CSV pode ser carregado para adicionar usuários em massa:

Ferramenta de sincronização de usuários

A User Sync Tool (UST) permite que clientes corporativos criem ou gerenciem usuários da Adobe que utilizam o Ative Diretory ou outros serviços de diretório OpenLDAP testados. Os usuários do público alvo são administradores de identidade de TI (Enterprise Diretory e administradores de sistema) que poderão instalar e configurar a ferramenta. A ferramenta de código aberto é personalizável para que os clientes possam ter um desenvolvedor que a modifique de acordo com seus próprios requisitos específicos.
When User Sync runs, it fetches a list of users from the organization’s Active Directory (or any other compatible data source) and compares it with the list of users within the Admin Console. It then calls the Adobe User Management API so that the Admin Console is synchronized with the organization’s directory. O fluxo de mudança é totalmente unidirecional; as edições feitas no diretório Admin Console não são enviadas para o diretório.
A ferramenta permite que o administrador do sistema mapeie grupos de usuários no diretório do cliente com a configuração do produto e grupos de usuários no Admin Console, a nova versão do UST também permite a criação dinâmica de grupos de usuários no Admin Console.
To set up User Sync, the organization needs to create a set of credentials in the same way they would use the [User Management] API .
A Sincronização do usuário é distribuída pelo repositório do Adobe Github neste local:
Observe que uma versão de pré-lançamento 2.4RC1 está disponível com suporte à criação de grupos dinâmicos e pode ser encontrada aqui: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
The major features for this release are the ability to dynamically map new LDAP groups for user membership in the Admin Console, as well as dynamic user group creation.
Mais informações sobre os novos recursos do grupo podem ser encontradas aqui:
Para obter mais informações sobre a Ferramenta de sincronização do usuário, consulte a página da documentação.
The User Sync Tool needs to register as an Adobe I/O client UMAPI using the procedure described here .
The Adobe I/O Console Documentation can be found here .
A User Management API usada pela Ferramenta de sincronização de usuário é abordada neste local .
A configuração do AEM IMS será gerenciada pela equipe de Serviços gerenciados da Adobe. No entanto, o administrador do cliente pode modificá-lo de acordo com seus requisitos (por exemplo, Associação de grupo automático ou Mapeamento de grupo). O cliente IMS também será registrado pela equipe de Serviços gerenciados.

Como usar

Managing Products and User Access in Admin Console

When the customer Product Administrator logs in to Admin Console, they will see multiple instances of the AEM Managed Services Product Context as shown below:
In this example, the org AEM-MS-Onboard has 32 instances spanning different topologies and environments like Stage, Prod, etc.
Os detalhes da instância podem ser verificados para identificar a instância:
Em cada instância do Contexto do produto, haverá um Perfil do Produto associado. Este perfil de produto é usado para atribuir acesso a usuários e grupos.
Todos os usuários e grupos adicionados sob este perfil de produto poderão fazer logon nessa instância, como mostra o exemplo abaixo:

Fazer logon no AEM

Logon de administrador local

O AEM pode continuar a suportar logons locais para usuários administradores, já que a tela de logon tem uma opção para fazer logon localmente:

Logon baseado no IMS

Para outros usuários, o logon baseado no IMS pode ser usado assim que o IMS for configurado na instância. The user will first click on the Sign in with Adobe button as shown below:
Eles serão redirecionados para a tela de login do IMS e inserirão suas credenciais:
If a federated IDP is configured during initial Admin Console setup, then the user will be redirected to the customer IDP for SSO.
O IDP é Okta no exemplo abaixo:
Após a conclusão da autenticação, o usuário será redirecionado de volta para o AEM e conectado:

Migração de usuários existentes

Para instâncias AEM existentes que estejam usando outro método de autenticação e que agora estejam sendo migradas para o IMS, é necessário uma etapa de migração.
Os usuários existentes no repositório do AEM (originados localmente, via LDAP ou SAML) podem ser migrados para apontar para o IMS como o IDP usando o Utilitário de migração do usuário.
Este utilitário será executado pela equipe do AMS como parte do provisionamento de IMS.

Gerenciamento de permissões e ACLs no AEM

O Controle de acesso e as permissões continuarão a ser gerenciados no AEM, isso pode ser feito usando a separação dos Grupos de usuários provenientes do IMS (por exemplo, AEM-GRP-008 no exemplo abaixo) e dos grupos locais onde as permissões e o controle de acesso estão definidos. Os grupos de usuários sincronizados do IMS podem ser atribuídos a grupos locais e herdar as permissões.
No exemplo abaixo, adicionamos grupos sincronizados ao grupo local Dam_Users , como exemplo.
Aqui, um usuário também foi atribuído a alguns grupos no Admin Console. (Observe que os usuários e grupos podem ser sincronizados do LDAP usando a ferramenta de sincronização do usuário ou criados localmente, consulte a seção Usuários integradosAdmin Console ​acima).
*Observe que grupos de usuários só são sincronizados quando os usuários fazem logon na instância, para clientes que têm um grande número de usuários e grupos, um utilitário de sincronização de grupo pode ser executado pelo AMS para obter previamente grupos para o gerenciamento de controles de acesso e permissões descrito acima.
O usuário faz parte dos seguintes Grupos no IMS:
Quando o usuário faz logon, as Associações de grupo são sincronizadas, como mostrado abaixo:
No AEM, os grupos de usuários sincronizados do IMS podem ser adicionados como membros a grupos locais existentes, por exemplo, Usuários do DAM.
Como mostrado abaixo, o grupo AEM-GRP_008 herda as Permissões e privilégios de usuários DAM. Essa é uma maneira eficaz de gerenciar permissões para grupos sincronizados e também é comumente usada em métodos de autenticação baseados em LDAP.