对 Adobe Experience Manager as a Cloud Service 的 IMS 支持 ims-support-for-aem-as-a-cloud-service

简介 introduction

主要亮点 key-highlights

AEM as a Cloud Service 仅为作者、管理员和开发人员用户提供 IMS 身份验证支持。它不为客户站点（如站点访客）的外部最终用户提供支持。

架构 architecture

IMS 身份验证在 AEM 和 Adobe IMS 端点之间使用 OAuth 协议进行工作。当用户添加到 IMS 并拥有 Adobe 身份后，他们便可以使用 IMS 凭据登录到 AEM 创作服务。

用户登录流程如下所示，用户会被重定向到 IMS，并可以选择性地重定向用于 SSO 的客户 IDP，然后重定向回 AEM。

如何设置 how-to-set-up

将组织载入 Adobe Admin Console onboarding-orgs-to-adobe-admin-console

使用 Adobe IMS 进行 AEM 身份验证的前提条件是将客户载入 Adobe Admin Console。

第一步，客户必须在 Adobe IMS 中设置组织。Adobe Enterprise 客户在 Adobe Admin Console 中表示为 IMS 组织。该区域是 Adob​e 客户用来管理其用户和组的产品权限的门户。

AEM 客户应已设置组织，作为 IMS 设置的一部分，客户实例将在 Admin Console 中可用，以用于管理用户权利和访问权限。

客户作为 IMS 组织存在后，需要按照以下方式配置其系统：

此处介绍了 Adobe Identity Management 基础知识，包括 IDP 配置。

此处介绍了企业管理和 Admin Console 用法。

在 Admin Console 中载入用户 onboarding-users-in-admin-console

可以通过三种方式载入用户。每种方法取决于客户的规模及其偏好设置。您可以在 Admin Console 中手动创建用户、上传 .csv 文件或从客户的企业 Active Directory 同步用户。

通过 Admin Console UI 手动添加

可以在 Admin Console UI 中手动创建用户和组。如果要管理的用户数量不多，则可以使用此方法。例如，少于 50 个 AEM 用户，或者如果您已在使用此方法管理其他 Adobe 产品，如 Analytics、Target 或 Creative Cloud 应用程序。

在 Admin Console UI 中上传文件

为便于创建用户，可以上传 .csv 文件以批量添加用户。

用户同步工具

用户同步工具（简称 UST）让 Adobe 的企业客户能够利用 Active Directory 创建和管理 Adobe 用户。该 UST 也适用于其他经测试的 OpenLDAP 目录服务。目标用户是 IT 标识管理员（企业目录或系统管理员），他们能够安装和配置该工具。此开放源代码工具可自定义，这样客户就可以修改它以满足您自己的特定要求。

当用户同步运行时，它会从组织的 Active Directory 中获取用户列表，并将其与 Admin Console 中的用户列表进行比较。然后，它会调用 Adobe User Management API，以便将 Admin Console 与组织的目录同步。更改流程完全是单向的。不会将在 Admin Console 中所做的任何编辑推送到该目录。

此工具允许系统管理员将客户目录中的用户组与 Admin Console 中的产品配置的用户组进行映射。

要设置用户同步，组织必须创建一组凭证，其方式与使用 User Management API 的方式相同。

用户同步工具通过位于此位置的 Adobe GitHub 存储库分发。

此版本的主要功能是能够动态映射新的 LDAP 组以在 Admin Console 中获得用户成员资格，以及动态创建用户组。

有关新组功能的更多信息，请访问此位置。

用户同步文档

有关更多详细信息，请参阅 UST 文档。

用户同步工具必须使用此处的过程注册为 Adobe Developer 客户端 UMAPI。

Adobe Developer Console 文档可在此处找到。

此处介绍了用户同步工具使用的 User Management API。

Adobe Experience as a Cloud Service 配置 aem-configuration

在配置 AEM 环境和实例时，会自动配置所需的 AEM IMS 配置。客户管理员可以根据自己的要求修改部分配置。

大致方法是将 Adobe IMS 配置为 OAuth 提供程序。可以像修改 LDAP 同步一样修改 Apache Jackrabbit Oak 默认同步处理程序。

以下是关键的 OSGI 配置，必须更改这些配置才能更改用户自动成员资格或组映射等属性。

使用方法 how-to-use

在 Admin Console 中管理产品和用户访问权限 managing-products-and-user-access-in-admin-console

当产品管理员登录到 Admin Console 时，他们将看到 AEM as a Cloud Service 产品上下文的多个实例，如下所示。例如，从​ 概述 ​页面中选择任意产品：

您会看到现有实例的列表：

在每个产品上下文实例下，都会有一些实例跨生产、阶段或开发环境中的创作或发布服务。每个实例都会与产品配置文件或 Cloud Manager 角色相关联。这些产品配置文件用于为具有所需权限的用户和组分配访问权限。

AEM Administrators_xxx 配置文件会用于在关联的 AEM 实例中授予管理员特权，而 AEM Users_xxx 配置文件用于添加常规用户。

在此产品配置文件下添加的任何用户和组都能够登录到该实例，如下例所示：

登录 Adobe Experience Manager as a Cloud Service logging-in-to-aem

本地管理员登录

AEM 可继续支持管理员用户在本地登录。可以通过登录屏幕本地登录：

基于 IMS 的登录

对于其他用户，在实例上配置 IMS 后即可使用基于 IMS 的登录。用户单击“使用 Adobe 登录”按钮，如下所示：

他们会被重定向到 IMS 登录屏幕，并必须输入其凭证：

如果在初始 Admin Console 设置过程中配置了联合 IDP，则用户会被重定向到用于 SSO 的客户 IDP：

身份验证完成后，用户会被重定向回 AEM 并登录：

在 Adobe Experience Manager as a Cloud Service 中管理权限和 ACL managing-permissions-in-aem

ACL 和权限仍会继续在 AEM 中管理。可以将从 IMS 同步的用户组分配给定义 ACL 和权限的本地组。

在以下示例中，将同步的组添加至本地 Dam_Users 组。

用户是 IMS 中以下组的一部分：

用户登录时，会同步其组成员资格，如下所示：

在 AEM 中，可以将从 IMS 同步的用户组作为成员添加到现有的本地组，如 DAM 用户。

如下图所示，AEM-GRP_008 组会继承 DAM 用户 ​的权限和特权。这种继承是管理同步组权限的有效方法，通常用于基于 LDAP 的身份验证方法。

访问 Cloud Manager accessing-cloud-manager

要访问 Cloud Manager 或 AEM as a Cloud Service 上的环境，必须将您分配到 Cloud Manager 产品的配置文件。

请参阅“角色定义”，了解有关用于控制 Cloud Manager 中特定功能可用性的用户角色的更多信息。

添加用户的步骤

访问 AEM as a Cloud Service 中的实例 accessing-instance-cloud-service

要在 Admin Console 中访问 AEM 实例，您应在 Admin Console 的产品列表中看到 Cloud Manager 计划和该计划中的环境。

例如，在下面的屏幕截图中，您将看到两个可用的环境，即​ 开发作者 ​和​ 发布。

要访问 AEM 实例，必须将用户添加到相应 Cloud Service 产品的组中。

每个作者实例都具有 AEM 管理员和 AEM 用户配置文件，每个发布实例也都具有 AEM 用户配置文件。您可以根据需要添加其他配置文件。

要获取对 AEM 实例的管理员级别访问权限，请将用户添加到该特定产品的 AEM 管理员配置文件。