Show Menu
主题×

AEM Managed Services的Adobe IMS身 Admin Console 份验证和支持

请注意,此功能仅对Adobe Managed Services客户可用。

简介

AEM 6.4.3.0为AEM Managed Services客户引入 Admin Console 了对AEM实例和基于Adobe IMS(标识管理系统)的身份验证 的支持
AEM入门后,AEM Admin Console Managed Services客户可以在一个控制台中管理所有Experience Cloud用户。 用户和用户组可分配给与AEM实例关联的产品用户档案,允许他们登录到特定实例。

主要亮点

  • AEM IMS身份验证支持仅针对AEM作者、管理员或开发人员,不针对客户站点(如站点访客)的外部最终用户
  • The will Admin Console deser AEM Managed Services客户as IMS Organizations and their Instances as Product上下文。 客户系统和产品管理员将能够管理对实例的访问
  • AEM Managed Services将客户拓扑与同步 Admin Console。 在中,每个实例将有一个AEM Managed Services产品上下文实例 Admin Console。
  • Product Profiles in Admin Console will determine which instances a user can access
  • 支持使用客户自己的符合SAML 2规范的标识提供者的联合身份验证
  • 仅支持Enterprise ID或Federated ID(客户单点登录),不支持个人Adobe ID。
  • User Management (在Adobe Admin Console中)将继续归客户管理员所有。

架构

IMS身份验证通过在AEM和Adobe IMS端点之间使用OAuth协议来工作。 将用户添加到 IMS 并拥有 Adobe 身份后,他们便可以使用 IMS 凭证登录到 AEM Managed Services 实例。
用户登录流程如下所示,用户将被重定向到IMS,或者被重定向到客户IDP进行SSO验证,然后被重定向回AEM。

How To Set Up

Onboarding Organizations to Admin Console

The customer onboarding to Admin Console is a pre-requisite to using Adobe IMS for AEM authentication.
作为第一步,客户应在Adobe IMS中配置组织。 Adobe Enterprise客户在 Adobe [Admin Console]中表示为IMS组织
AEM Managed Services customers should already have an organization provisioned, and as part of the IMS provisioning, the customer instances will be made available in the Admin Console for managing user entitlements and access.
转向IMS进行用户身份验证将是AMS和客户的共同努力,每个客户都有工作流完成。
一旦客户作为IMS组织存在并且AMS完成了为IMS为客户提供的配置,这就是所需配置工作流的摘要:
  1. The designated System Admin receives an invite to log in to the Admin Console
  2. 系统管理员声明域,用于确认域的所有权(在此示例中为acme.com)
  3. 系统管理员设置用户目录
  4. 系统管理员在SSO设置中配置标识提供 Admin Console 者(IDP)。
  5. AEM管理员会像往常一样管理本地用户组、权限和权限。 请参阅用户和用户组同步
有关Adobe Identity Management基础知识(包括IDP配置)的详细信息,请参阅 本页文章。
有关企业管理的更多信息, Admin Console 请参阅此 页面

入门用户至 Admin Console

根据客户的规模和偏好,可通过三种方式建立用户:
  1. 在 Admin Console
  2. 上传包含用户的CSV文件
  3. 从客户的企业Active Directory中同步用户和用户组。

Manual Addition through Admin Console UI

Users and Groups can be manually created in the Admin Console UI. 如果用户数不多,则可以使用此方法。 例如,少于50个AEM用户。
如果客户已使用此方法管理其他Adobe产品(如Analytics、目标或Creative Cloud应用程序),则还可以手动创建用户。

UI中的文件上 Admin Console 传

为便于用户创建,可以上传CSV文件以批量添加用户:

用户同步工具

用户同步工具(简称UST)使企业客户能够使用Active Directory或其他经测试的OpenLDAP目录服务创建或管理Adobe用户。 目标用户是IT标识管理员(企业目录和系统管理员),他们将能够安装和配置该工具。 开放源代码工具可自定义,这样客户就可以让开发人员修改它,以满足他们自己的特定要求。
When User Sync runs, it fetches a list of users from the organization’s Active Directory (or any other compatible data source) and compares it with the list of users within the Admin Console. It then calls the Adobe User Management API so that the Admin Console is synchronized with the organization’s directory. 改变的流程完全是单向的;在中所做的任何编 Admin Console 辑都不会推送到该目录。
此工具允许系统管理员将客户目录中的用户组与产品配置以及UST中的用户组进行映射 Admin Console,新版UST还允许在中动态创建用户组 Admin Console。
To set up User Sync, the organization needs to create a set of credentials in the same way they would use the [User Management] API .
用户同步通过Adobe Github存储库分发,位于以下位置:
请注意,预发行版2.4RC1支持动态组创建,可在以下网址找到: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
The major features for this release are the ability to dynamically map new LDAP groups for user membership in the Admin Console, as well as dynamic user group creation.
有关新组功能的更多信息,请访问:
有关用户同步工具的详细信息,请参阅文 档页面
The User Sync Tool needs to register as an Adobe I/O client UMAPI using the procedure described here .
The Adobe I/O Console Documentation can be found here .
用 User Management 户同步工具使用的API在此位置被覆
AEM IMS配置将由Adobe Managed Services团队处理。 但是,客户管理员可以根据其要求修改它(例如“自动用户组成员关系”或“用户组映射”)。 IMS客户端也将由您的托管服务团队进行注册。

使用方法

Managing Products and User Access in Admin Console

When the customer Product Administrator logs in to Admin Console, they will see multiple instances of the AEM Managed Services Product Context as shown below:
In this example, the org AEM-MS-Onboard has 32 instances spanning different topologies and environments like Stage, Prod, etc.
可以检查实例详细信息以标识该实例:
在每个Product Context实例下,将有一个关联的Product用户档案。 此产品用户档案用于为用户和用户组分配访问权限。
在此产品用户档案下添加的任何用户和用户组都将能够登录到该实例,如下例所示:

登录AEM

本地管理员登录名

AEM可以继续支持管理员用户的本地登录,因为登录屏幕有一个用于本地登录的选项:

基于 IMS 的登录

对于其他用户,只需在实例上配置 IMS 即可使用基于 IMS 的登录。The user will first click on the Sign in with Adobe button as shown below:
然后,他们将被重定向到IMS登录屏幕并输入其凭据:
If a federated IDP is configured during initial Admin Console setup, then the user will be redirected to the customer IDP for SSO.
IDP为Okta,如下例所示:
身份验证完成后,用户将被重定向回 AEM 并登录:

迁移现有用户

对于使用其他身份验证方法并正在迁移到IMS的现有AEM实例,需要执行迁移步骤。
AEM存储库(通过LDAP或SAML本地源)中的现有用户可以使用用户迁移实用程序迁移到IMS作为IDP。
此实用程序将由AMS团队作为IMS配置的一部分运行。

管理AEM中的权限和ACL

访问控制和权限将继续在AEM中进行管理,这可以通过使用来自IMS的用户组(例如,以下示例中的AEM-GRP-008)和定义权限和访问控制的本地组来实现。 可以将从IMS同步的用户组分配给本地用户组并继承权限。
在以下示例中,我们将同步的组作为示例添加到本地 Dam_Users 组。
此处,用户也被分配到中的几个组 Admin Console。 (请注意,用户和用户组可以使用用户同步工具从LDAP同步或在本地创建,请参阅上面的 入门用户Admin Console ​一节)。
*请注意,用户组仅在登录到实例时才会同步,对于拥有大量用户和用户组的客户,AMS可以运行组同步实用程序以预取组以进行上述访问控制和权限管理。
用户是 IMS 中以下组的一部分:
用户登录时,会同步其组成员资格,如下所示:
在AEM中,可以将从IMS同步的用户组作为成员添加到现有的本地组,例如DAM用户。
如下所示,组 AEM-GRP_008 会继承DAM用户的权限和权限。 这是管理已同步组权限的有效方法,也常用于基于LDAP的身份验证方法。