Suporte IMS do Adobe Experience Manager as a Cloud Service ims-support-for-aem-as-a-cloud-service
Introdução introduction
- O AEM as a Cloud Service inclui suporte do Admin Console para instâncias do AEM e autenticação baseada no Adobe Identity Management System (IMS).
- O Admin Console permite que os administradores gerenciem todos os usuários da Experience Cloud de maneira centralizada.
- Usuários e grupos podem ser atribuídos a perfis de produtos associados a uma instância do AEM as a Cloud Service, permitindo que façam logon nessa instância.
Destaques principais key-highlights
O AEM as a Cloud Service oferece suporte à autenticação IMS somente para os usuários Autor, Administrador e Desenvolvedor. Ele não oferece suporte para usuários finais externos de sites do cliente como visitantes do site.
- O Admin Console representará clientes como Organizações IMS, Autores e Instâncias de publicação em um ambiente como Instâncias de contexto de produto. Essa representação permitirá que os administradores de sistema e de produto gerenciem o acesso às instâncias.
- Os perfis de produto no Admin Console determinam quais instâncias um usuário pode acessar.
- Os clientes poderão usar seus próprios Provedores de identidade (IDP, na sigla em inglês) compatíveis com SAML 2 para Logon único.
- Somente IDs empresariais ou federadas para Logon único do cliente serão compatíveis, sem Adobe IDs pessoais.
Arquitetura architecture
A autenticação do IMS funciona usando o protocolo OAuth entre o AEM e o terminal Adobe IMS. Depois que um usuário é adicionado ao IMS e tem uma Adobe Identity, ele pode fazer logon no serviço de criação do AEM usando as credenciais do IMS.
O fluxo de logon do usuário é mostrado abaixo. O usuário será redirecionado para o IMS e, como opção, para o IDP do cliente para o SSO e redirecionado de volta para o AEM.
Como configurar how-to-set-up
Integração de organizações ao Adobe Admin Console onboarding-orgs-to-adobe-admin-console
A integração do cliente ao Adobe Admin Console é um pré-requisito para o uso do Adobe IMS para autenticação do AEM.
Como primeira etapa, os clientes precisam ter uma organização provisionada no Adobe IMS. Os clientes do Adobe Enterprise são representados como Organizações IMS no Adobe Admin Console. Essa área é o portal usado pelos clientes da Adobe para gerenciar os direitos de seus produtos para usuários e grupos.
Os clientes do AEM já devem ter uma Organização provisionada e, como parte do provisionamento IMS, as instâncias do cliente serão disponibilizadas no Admin Console para gerenciar os direitos e o acesso do usuário.
Depois que um cliente passa a existir como uma Organização IMS, será necessário configurar o sistema conforme resumido a seguir:
- O Administrador do sistema designado recebe um convite para fazer logon no Cloud Manager. Depois de fazer logon no Cloud Manager, os administradores do sistema podem optar por provisionar programas e ambientes do AEM ou navegar até o Admin Console para tarefas Administrativas.
- O Administrador do sistema alega que um domínio confirma a propriedade do respectivo domínio (por exemplo, acme.com)
- O Administrador do sistema configura os Diretórios de usuário.
- O administrador do sistema faz a configuração do IDP no Admin Console para definir o Logon único.
- O Administrador do AEM gerencia os grupos locais, permissões e privilégios, como de costume.
As noções básicas do Adobe Identity Management, incluindo a configuração do IDP, são contempladas aqui.
O uso do Enterprise Administration e do Admin Console é contemplado aqui.
Integração de usuários ao Admin Console onboarding-users-in-admin-console
Há três maneiras de integrar usuários. Cada método depende do tamanho do cliente e de sua preferência. É possível criar usuários manualmente no Admin Console, fazer upload de um arquivo .csv ou sincronizar usuários do diretório principal corporativo do cliente.
Adição manual por meio da interface do usuário do Admin Console
Usuários e grupos podem ser criados manualmente na interface do usuário do Admin Console. Esse método pode ser usado se não houverem muitos usuários para gerenciar. Por exemplo, menos de 50 usuários do AEM ou se você já estiver usando esse método para administrar outros produtos da Adobe, como aplicativos do Analytics, do Target ou da Creative Cloud.
Upload de arquivo na interface do usuário do Admin Console
Para facilitar a criação de usuários, um arquivo .csv pode ser carregado para adicionar usuários em massa.
Ferramenta de sincronização de usuários
A Ferramenta de Sincronização de Usuários (UST, sigla em inglês) permite que nossos clientes corporativos criem e gerenciem usuários da Adobe usando o diretório principal. Isso também funciona para outros serviços de diretório OpenLDAP testados. Os usuários de destino são administradores de identidade de TI (diretório corporativo ou administradores do sistema) que poderão instalar e configurar a ferramenta. A ferramenta de código aberto pode ser personalizada para que os clientes possam modificá-la de acordo com seus próprios requisitos específicos.
Quando a Sincronização de usuários é executada, ela obtém uma lista de usuários do Diretório principal da organização e a compara com a lista de usuários no Admin Console. Em seguida, chama a API User Management da Adobe para que o Admin Console seja sincronizado com o diretório da organização. O fluxo de mudanças é totalmente unidirecional. As edições realizadas no Admin Console não são enviadas para o diretório.
A ferramenta permite que o administrador do sistema mapeie grupos de usuários no diretório do cliente com a configuração do produto e grupos de usuários no Admin Console.
Para configurar a Sincronização de usuários, a organização precisa criar um conjunto de credenciais da mesma forma que usaria a API User Management.
A Ferramenta de sincronização de usuários é distribuída pelo repositório do Github da Adobe neste local.
Os principais recursos desta versão são a capacidade de mapear dinamicamente novos grupos LDAP para associações de usuários no Admin Console, bem como a criação dinâmica de grupos de usuários.
Mais informações sobre os novos recursos do grupo podem ser encontradas neste local.
Documentação da sincronização de usuários
Consulte a Documentação da UST para obter mais detalhes.
A ferramenta de sincronização de usuários deve se registrar como um UMAPI do cliente do Adobe Developer usando o procedimento aqui.
A documentação do Adobe Developer Console pode ser encontrada aqui.
A API User Management usada pela Ferramenta de sincronização de usuários é explicada aqui.
Configuração do Adobe Experience as a Cloud Service aem-configuration
A configuração IMS do AEM necessária será configurada automaticamente quando os ambientes e as instâncias do AEM forem provisionados. Os administradores do cliente podem modificar parte da configuração de acordo com seus requisitos
A abordagem geral é configurar o Adobe IMS como provedor OAuth. O Apache Jackrabbit Oak Default Sync Handler pode ser modificado da mesma forma que na sincronização de LDAP.
Abaixo estão as principais configurações de OSGI que devem ser modificadas para alterar propriedades como associação automática de usuários ou mapeamentos de grupos.
Como usar how-to-use
Gerenciamento de produtos e acesso do usuário no Admin Console managing-products-and-user-access-in-admin-console
Quando o administrador do produto fizer logon no Admin Console, ele verá várias instâncias do Contexto de produto do AEM as a Cloud Service, como mostrado abaixo. Por exemplo, selecione qualquer um dos produtos da página Visão geral:
Você verá uma lista de instâncias já existentes:
Em cada instância de Contexto de produto, haverá instâncias que abrangem os serviços de autor ou publicação nos ambientes de produção, preparo ou desenvolvimento. Cada instância está associada a funções de perfis de produto ou do Cloud Manager. Esses perfis de produto são usados para atribuir acesso a usuários e grupos com os privilégios necessários.
O perfil Administradores_xxx do AEM será usado para conceder privilégios de Administrador na instância do AEM associada, enquanto o perfil Usuários_xxx do AEM é usado para adicionar usuários normais.
Todos os usuários e grupos adicionados a esse perfil de produto podem fazer logon nessa instância, conforme mostrado no exemplo abaixo:
Fazendo logon no Adobe Experience Manager as a Cloud Service logging-in-to-aem
Logon do administrador local
O AEM pode continuar a oferecer suporte a logons locais para usuários Admin. A tela de logon permite fazer logon localmente:
Logon baseado no IMS
Para outros usuários, o logon baseado em IMS é usado após a configuração do IMS na instância. O usuário clica no botão Fazer logon com a Adobe, conforme mostrado abaixo:
Eles são redirecionados para a tela de logon do IMS e devem inserir suas credenciais:
Se um IDP federado for configurado durante a configuração inicial do Admin Console, o usuário será redirecionado para o IDP do cliente para o SSO:
Após a conclusão da autenticação, o usuário será redirecionado de volta para o AEM e conectado:
Gerenciando permissões e ACLs no Adobe Experience Manager as a Cloud Service managing-permissions-in-aem
ACLs e permissões continuam a ser gerenciadas no AEM. Os grupos de usuários sincronizados do IMS podem ser atribuídos a grupos locais onde ACLs e privilégios são definidos.
No exemplo abaixo, adicionamos grupos sincronizados ao grupo local Dam_Users, como exemplo.
O usuário faz parte dos seguintes Grupos no IMS:
Quando o usuário faz logon, as Associações de grupo são sincronizadas, como mostrado abaixo:
No AEM, os Grupos de usuários sincronizados do IMS podem ser adicionados como membros a grupos locais existentes, como Usuários do DAM.
Como mostrado abaixo, o grupo AEM-GRP_008 herda as permissões e os privilégios de Usuários DAM. Essa herança é uma maneira eficaz de gerenciar permissões para grupos sincronizados e geralmente é usada no método de autenticação baseado em LDAP.
Acesso ao Cloud Manager accessing-cloud-manager
Para acessar o Cloud Manager ou os ambientes do AEM as a Cloud Service, é necessário estar atribuído aos Perfis do produto do Cloud Manager.
Consulte Definições de função para saber mais sobre funções de usuários que controlam a disponibilidade de recursos específicos no Cloud Manager.
Etapas para adicionar um usuário
-
Adicione um usuário a um perfil específico na tela de um usuário existente ou na tela de um novo usuário.
-
Como alternativa, você também pode adicionar um usuário na tela Visão geral, como mostrado na figura abaixo.
note note NOTE É possível atribuir mais de um perfil a um usuário, conforme mostrado na figura abaixo. 
-
Após ter sido adicionado ao perfil apropriado, será possível acessar os respectivos locatários no Cloud Manager por meio da Adobe Experience Cloud, usando o canto superior direito da interface.
Acesso a uma instância no AEM as a Cloud Service accessing-instance-cloud-service
Para ter acesso a uma instância do AEM no Admin Console, você deve ver o programa do Cloud Manager e os ambientes dentro do programa na lista de produtos no Admin Console.
Por exemplo, na captura de tela abaixo, você verá dois ambientes disponíveis, o autor de desenvolvimento e uma publicação.
Para obter acesso às instâncias do AEM, o usuário deve ser adicionado a um grupo do produto Cloud Service apropriado.
Cada instância do autor tem um Perfil de administradores do AEM e usuários do AEM e cada instância de publicação tem um Perfil de usuários do AEM. É possível adicionar outros perfis, conforme necessário.
Para obter acesso de nível administrativo à instância do AEM, adicione o usuário ao Perfil de administradores do AEM para esse Produto específico.