Unterstützung der Adobe IMS-Authentifizierung und der Admin Console für AEM Managed Services adobe-ims-authentication-and-admin-console-support-for-aem-managed-services

NOTE
Diese Funktion ist nur für Kundinnen und Kunden von Adobe Managed Services verfügbar.

Einführung introduction

AEM 6.4.3.0 führt die Unterstützung der Admin Console für AEM-Instanzen und Adobe IMS-basierte Authentifizierung (Identity Management-System) für Kundinnen und Kunden von AEM Managed Services ein.

Durch das AEM-Onboarding für die Admin Console kann Kundschaft von AEM Managed Services alle Experience Cloud-Benutzerinnen und -Benutzer in einer Konsole verwalten. Benutzerinnen und Benutzer können Produktprofilen zugeordnet werden, die mit AEM-Instanzen verknüpft sind, sodass sie sich bei einer bestimmten Instanz anmelden können.

Wichtige Highlights key-highlights

  • AEM IMS-Authentifizierungsunterstützung ist nur für AEM-Autorinnen bzw. -Autoren, -Admins oder -Entwickelnde, nicht für externe Endbenutzende von Kunden-Sites wie Besucherinnen und Besucher einer Site
  • Die Admin Console zeigt Kundinnen und Kunden von AEM Managed Services als „IMS-Organisationen“ und ihre Instanzen als „Produktkontexte“ an. Kundensystem- und Produktadmins können den Zugriff auf Instanzen verwalten.
  • AEM Managed Services synchronisiert Kundentopologien mit der Admin Console. In der Admin Console ist pro Instanz eine AEM Managed Services-Produktkontext-Instanz vorhanden.
  • Produktprofile in der Admin Console legen fest, auf welche Instanzen Benutzerinnen und Benutzer zugreifen können.
  • Federated Authentication über den SAML 2-konformen Identitäts-Provider der Kundin bzw. des Kunden wird unterstützt
  • Nur Enterprise- oder Federated-IDs (für Single Sign-On bei der Kundin bzw. beim Kunden) werden unterstützt, jedoch keine persönlichen Adobe-IDs.
  • User Management (in der Adobe Admin Console) ist weiterhin Aufgabe der Kundenadmins.

Architektur architecture

Die IMS-Authentifizierung funktioniert über das OAuth-Protokoll zwischen AEM und dem Adobe IMS-Endpunkt. Wenn Benutzer zu IMS hinzugefügt wurden und eine Adobe ID haben, können sie sich mit den IMS-Anmeldeinformationen bei AEM Managed Services-Instanzen anmelden.

Die Schritte zur Benutzeranmeldung werden unten gezeigt. Die Benutzenden werden zu IMS und optional zum Kunden-IDP für die SSO-Validierung und anschließend zurück zu AEM weitergeleitet.

image2018-9-23_23-55-8

Einrichtung how-to-set-up

Onboarding von Organisationen in der Admin Console onboarding-organizations-to-admin-console

Das Onboarding von Kundschaft in der Admin Console ist eine Voraussetzung für die Verwendung von Adobe IMS zur AEM-Authentifizierung.

Als ersten Schritt sollte Kundschaft eine Organisation in Adobe IMS bereitstellen. Adobe Enterprise-Kundschaft wird in der Adobe Admin Console als IMS-Organisation angezeigt.

Für AEM Managed Services-Kundschaft sollte bereits eine Organisation bereitgestellt sein. Im Rahmen der IMS-Bereitstellung werden die Kundeninstanzen zur Verwaltung der Benutzerberechtigungen und -zugriffe in der Admin Console bereitgestellt.

Der Wechsel zu IMS zur Benutzerauthentifizierung ist eine gemeinsame Maßnahme zwischen AMS und Kunden, wobei jede Seite eigene Workflows abschließen muss.

Sobald ein Kunde als „IMS-Organisation“ existiert und AMS die Bereitstellung des Kunden für IMS abgeschlossen hat, lautet die Zusammenfassung der erforderlichen Konfigurationsschritte wie folgt:

image2018-9-23_23-33-25

  1. Der festgelegte Systemadmin erhält eine Einladung zur Anmeldung bei der Admin Console
  2. Die Systemadministrator beansprucht die Domain, um die Eigentümerschaft der Domain zu bestätigen (in diesem Beispiel acme.com).
  3. Systemadmins richten die Benutzerverzeichnisse ein.
  4. Der Systemadmin konfiguriert den Identitätsanbieter (IDP) in der Admin Console, um SSO einzurichten.
  5. Die AEM-Admins verwalten die lokalen Gruppen, Berechtigungen und Zugriffsrechte wie gewohnt. Siehe „Benutzer- und Gruppensynchronisierung“.
NOTE
Weitere Informationen zu den Grundlagen zur Identitätsverwaltung von Adobe, einschließlich der IDP-Konfiguration, finden Sie auf dieser Seite.
Weitere Informationen zur Verwaltung für Unternehmen und zur Admin Console finden Sie im Artikel auf dieser Seite.

Onboarding von Benutzerinnen und Benutzern in der Admin Console onboarding-users-to-the-admin-console

Je nach der Größe des Kunden und den bevorzugten Einstellungen gibt es drei Möglichkeiten, Benutzerinnen und Benutzer hinzuzufügen:

  1. Manuelles Erstellen von Benutzenden und Gruppen in der Admin Console
  2. Hochladen einer CSV-Datei mit Benutzenden
  3. Synchronisieren Sie Benutzende und Gruppen im Active Directory des Unternehmens der Kundin bzw. des Kunden.

Manuelles Hinzufügen über die Admin Console-Benutzeroberfläche manual-addition-through-admin-console-ui

Benutzerinnen und Benutzer sowie Gruppen können manuell in der Admin Console-Benutzeroberfläche erstellt werden. Diese Methode kann verwendet werden, wenn sie nicht viele Benutzende zu verwalten haben. Beispielsweise weniger als 50 AEM-Benutzende.

Benutzende können auch manuell erstellt werden, wenn die Kundin bzw. der Kunde diese Methode bereits zur Verwaltung anderer Adobe-Produkte wie Adobe Analytics, Adobe Target oder Adobe Creative Cloud-Applikationen verwendet.

image2018-9-23_20-39-9

Datei-Upload über die Admin Console-Benutzeroberfläche file-upload-in-the-admin-console-ui

Zur einfachen Handhabung der Benutzererstellung können Sie eine CSV-Datei hochladen, um eine große Anzahl von Benutzenden hinzuzufügen:

image2018-9-23_18-59-57

Tool zur Benutzersynchronisierung user-sync-tool

Das Tool zur Benutzersynchronisierung (User Sync Tool, kurz UST) ermöglicht es Unternehmenskundschaft, Adobe-Benutzende mithilfe von Active Directory und anderen getesteten OpenLDAP-Verzeichnisdiensten zu erstellen und zu verwalten. Die Zielbenutzenden sind IT-Identitätsadmins (Enterprise-Verzeichnis- oder Systemadmins), die das Tool installieren und konfigurieren können. Das Open Source-Tool ist anpassbar, sodass Entwickelnde bei der Kundin bzw. beim Kunden das Tool an die eigenen Anforderungen anpassen können.

Wenn die Benutzersynchronisierung ausgeführt wird, ruft das Tool eine Liste der Benutzenden aus dem Active Directory des Unternehmens (oder einer anderen kompatiblen Datenquelle) ab und vergleicht sie mit der Liste der Benutzenden in der Admin Console. Anschließend ruft es die Adobe User Management-API auf, damit die Admin Console mit dem Verzeichnis der Organisation synchronisiert wird. Der Änderungsfluss ist nur unidirektional. Eventuelle Änderungen in der Admin Console werden nicht an das Verzeichnis gesendet.

Mit dem Tool können Systemadmins Benutzergruppen im Verzeichnis der Kundschaft Produktkonfigurationen und Benutzergruppen in der Admin Console zuordnen. Die neue UST-Version ermöglicht außerdem die dynamische Erstellung von Benutzergruppen in der Admin Console.

Um die Benutzersynchronisierung einzurichten, muss die Organisation Anmeldeinformationen erstellen. Die Schritte hierfür sind dieselben wie bei der User Management -API.

image2018-9-23_13-36-56

Die Benutzersynchronisierung steht über das Adobe Github-Repository an diesem Speicherort zur Verfügung:

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

Hinweis: Eine Pre-Release-Version 2.4RC1 mit Unterstützung für dynamische Gruppenerstellung steht hier zur Verfügung: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

Die wichtigsten Funktionen dieser Version sind die Möglichkeit, neue LDAP-Gruppen für die Benutzermitgliedschaft in der Admin Console dynamisch zuzuordnen und dynamische Benutzergruppen zu erstellen.

Weitere Informationen zu den neuen Gruppenfunktionen finden Sie hier:

https://adobe-apiplatform.github.io/user-sync.py/en/user-manual/advanced_configuration.html#additional-group-options

NOTE
Weitere Informationen zum User Sync Tool finden Sie auf der Dokumentationsseite.
Das User Sync Tool muss mit dem hier beschriebenen Verfahren als Adobe I/O-Client-UMAPI registriert werden.
Die Dokumentation zur Adobe Developer Console finden Sie here.
Die User Management-API, die vom User Sync Tool verwendet wird, wird hier erläutert.
NOTE
Die AEM IMS-Konfiguration wird vom Adobe Managed Services-Team vorgenommen. Die Kundenadmins können sie jedoch gemäß ihren Anforderungen ändern (z. B. automatische Gruppenmitgliedschaft oder Gruppenzuordnung). Der IMS-Client wird auch von Ihrem Managed Services-Team registriert.

Verwendung how-to-use

Verwalten von Produkten und Benutzerzugriff in der Admin Console managing-products-and-user-access-in-admin-console

Wenn sich Produktadmins der Kundschaft bei der Admin Console anmelden, sehen sie, wie unten gezeigt, mehrere Instanzen des AEM Managed Services-Produktkontexts:

screen_shot_2018-09-17at105804pm

In diesem Beispiel hat die Organisation AEM-MS-Onboard 32 Instanzen mit unterschiedlichen Topologien und Umgebungen wie Staging und Produktion.

screen_shot_2018-09-17at105517pm

Sie können die Instanzdetails überprüfen, um die Instanz zu identifizieren:

screen_shot_2018-09-17at105601pm

Unter jeder Produktkontextinstanz ist ein zugehöriges Produktprofil vorhanden. Dieses Produktprofil wird zum Zuweisen der Zugriffsrechte für Benutzende verwendet.

image2018-9-18_7-48-50

Alle unter diesem Produktprofil hinzugefügten Benutzenden können sich bei dieser Instanz anmelden, wie im folgenden Beispiel gezeigt:

screen_shot_2018-09-17at105623pm

Anmelden bei AEM logging-into-aem

Lokale Adminanmeldung local-admin-login

AEM kann lokale Anmeldungen für Admins weiterhin unterstützen. Der Anmeldebildschirm bietet eine Option zur lokalen Anmeldung:

screen_shot_2018-09-18at121056am

IMS-basierte Anmeldung ims-based-login

Für andere Benutzende kann die IMS-basierte Anmeldung verwendet werden, sobald IMS für die Instanz konfiguriert wurde. Die Benutzerin oder der Benutzer klickt zuerst auf Mit Adobe anmelden, wie nachfolgend dargestellt:

image2018-9-18_0-10-32

Anschließend werden sie zum IMS-Anmeldebildschirm weitergeleitet und geben ihre Anmeldeinformationen ein:

screen_shot_2018-09-17at115629pm

Wenn während der Ersteinrichtung der Admin Console Federated IDP konfiguriert wurde, werden Benutzerinnen und Benutzer zur einmaligen Anmeldung zum Kunden-IDP weitergeleitet.

Im folgenden Beispiel ist Okta der IDP:

screen_shot_2018-09-17at115734pm

Sobald die Authentifizierung abgeschlossen ist, wird die Benutzerin bzw. der Benutzer zurück zu AEM weitergeleitet und angemeldet:

screen_shot_2018-09-18at120124am

Migrieren von vorhandenen Benutzenden migrating-existing-users

Für bestehende AEM-Instanzen, die eine andere Authentifizierungsmethode verwenden und jetzt auf IMS migriert werden, muss ein Migrationsschritt durchgeführt werden.

Vorhandene Benutzerinnen und Benutzer im AEM-Repository (lokal über LDAP oder SAML hinzugefügt) können mit dem User Migration Utility migriert werden, damit sie auf IMS als IDP verweisen.

Dieses Dienstprogramm wird von Ihrem AMS-Team im Rahmen der IMS-Bereitstellung ausgeführt.

Verwalten von Berechtigungen und ACLs in AEM managing-permissions-and-acls-in-aem

Zugriffssteuerung und Zugriffsberechtigungen werden weiterhin in AEM verwaltet. Dies kann mithilfe separater Benutzergruppen aus IMS erreicht werden (z. B. AEM-GRP-008 im Beispiel unten), sowie durch lokale Gruppen, in denen die Berechtigungen und Zugriffsrechte definiert sind. Die von IMS synchronisierten Benutzergruppen können lokalen Gruppen zugewiesen werden und die Berechtigungen erben.

Im Beispiel unten werden der lokalen Gruppe Dam_Users synchronisierte Gruppen hinzugefügt.

Hier wurde ein Benutzer in der Admin Console auch einigen Gruppen zugewiesen. (Die Benutzenden und Gruppen können mit dem Benutzersynchronisierungs-Tool aus LDAP synchronisiert oder lokal erstellt werden. Siehe Onboarding von Benutzenden inAdmin Console weiter oben).

NOTE
Benutzergruppen werden nur synchronisiert, wenn sich Benutzerinnen und Benutzer bei der Instanz anmelden.

screen_shot_2018-09-17at94207pm

Die Benutzerin bzw. der Benutzer ist Teil der folgenden Gruppen in IMS:

screen_shot_2018-09-17at94237pm

Wenn sich die Benutzerin bzw. der Benutzer anmeldet, werden die Gruppenmitgliedschaften wie unten dargestellt synchronisiert:

screen_shot_2018-09-17at94033pm

In AEM können die aus IMS synchronisierten Benutzergruppen vorhandenen lokalen Gruppen (z. B. DAM-Benutzenden) als Mitglieder hinzugefügt werden.

screen_shot_2018-09-17at95804pm

Wie unten gezeigt, erbt die Gruppe AEM-GRP_008 die Berechtigungen und Zugriffsrechte von DAM-Benutzenden. Dies ist eine effektive Möglichkeit zur Verwaltung von Berechtigungen für synchronisierte Gruppen, die häufig auch bei LDAP-basierten Authentifizierungsmethoden verwendet wird.

screen_shot_2018-09-17at110505pm

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2