IMS-Unterstützung für Adobe Experience Manager as a Cloud Service ims-support-for-aem-as-a-cloud-service
Einführung introduction
- AEM as a Cloud Service umfasst die Unterstützung der Admin Console für AEM-Instanzen und die auf dem Adobe Identity Management System (kurz IMS) basierende Authentifizierung.
- Die Admin Console ermöglicht Administratoren die zentrale Verwaltung aller Experience Cloud-Benutzer.
- Benutzende und Gruppen können Produktprofilen zugeordnet werden, die mit einer AEM as a Cloud Service-Instanz verknüpft sind, sodass sie sich bei dieser Instanz anmelden können.
Wichtige Highlights key-highlights
AEM as a Cloud Service bietet IMS-Authentifizierungsunterstützung nur für Autoren-, Admin- und Entwicklungsbenutzende. Es bietet keine Unterstützung für externe Endbenutzende von Kunden-Sites wie Site-Besuchende.
- Die Admin Console repräsentiert Kundinnen und Kunden als IMS-Organisationen, Authoring- und Publishing-Instanzen in einer Umgebung als Produktkontextinstanzen. Diese Darstellung ermöglicht es System- und Produktadmins, den Zugriff auf Instanzen zu verwalten.
- Produktprofile in der Admin Console legen fest, auf welche Instanzen Benutzende zugreifen können.
- Die Kundschaft kann ihre eigenen SAML 2-kompatiblen Identitätsanbieter (kurz IDP) für Single-Sign-On verwenden.
- Nur Enterprise IDs oder Federated IDs (für Single Sign-On bei der Kundschaft) werden unterstützt, jedoch keine persönlichen Adobe IDs.
Architektur architecture
Die IMS-Authentifizierung verwendet das OAuth-Protokoll zwischen AEM und dem Adobe IMS-Endpunkt. Wenn Benutzer zu IMS hinzugefügt wurden und eine Adobe ID haben, können sie sich mit den IMS-Anmeldeinformationen bei AEM-Autoren-Services anmelden.
Die Schritte zur Benutzeranmeldung werden unten gezeigt. Die Benutzerin bzw. der Benutzer wird zu IMS und optional zum Kunden-IDP für SSO und anschließend zurück zu AEM weitergeleitet.
Einrichtung how-to-set-up
Onboarding von Organisationen zur Admin Console onboarding-orgs-to-adobe-admin-console
Das Onboarding von Kunden zur Adobe Admin Console ist eine Voraussetzung für die Verwendung von Adobe IMS zur AEM-Authentifizierung.
Der erste Schritt besteht darin, dass die Kundschaft über eine Organisation verfügt, die in Adobe IMS eingerichtet ist. Adobe Enterprise-Kundschaft wird in der Adobe Admin Console als IMS-Organisation angezeigt. In diesem Bereich verwaltet Adobe-Kundschaft ihre Produktberechtigungen für ihre Benutzenden und Gruppen.
AEM-Kundschaft sollte bereits über eine Organisation verfügen, die bereitgestellt wird. Im Rahmen der IMS-Bereitstellung werden die Kundeninstanzen zur Verwaltung der Benutzerberechtigungen und -zugriffe in der Admin Console bereitgestellt.
Sobald die Kundschaft als IMS-Organisation existiert, muss sie ihr System wie folgt konfigurieren:
- Die festgelegten Systemadmins erhalten eine Einladung zur Anmeldung bei Cloud Manager. Nach der Anmeldung bei Cloud Manager können die Systemadmins entweder AEM-Programme und -Umgebungen bereitstellen oder für Verwaltungsaufgaben zur Admin Console navigieren.
- Der Systemadministrator bzw. die Systemadministratorin beansprucht eine Domain, um die Eigentümerschaft der Domain zu bestätigen (beispielsweise acme.com).
- Der Systemadministrator bzw. die Systemadministratorin richtet die Benutzerverzeichnisse ein.
- Die Systemadmins führen die IDP-Konfiguration in der Admin Console aus, um Single Sign-On einzurichten.
- Die AEM-Admins verwalten die lokalen Gruppen, Berechtigungen und Zugriffsrechte wie gewohnt.
Die Adobe Identity Management-Grundlagen, einschließlich der IDP-Konfiguration, werden unter Einrichten von Identität und Single Sign-on behandelt.
Die Verwaltung von Unternehmen und die Verwendung der Admin Console werden unter Willkommen beim Administratorhandbuch für Unternehmen und Teams erläutert.
Onboarding von Benutzenden in der Admin Console onboarding-users-in-admin-console
Es gibt drei Möglichkeiten, Benutzende zu integrieren. Jede Methode hängt von der Größe der Kundschaft und ihrer Präferenz ab. Sie können Benutzende in Admin Console manuell erstellen, eine CSV-Datei hochladen oder Benutzende aus dem Active Directory des Unternehmens synchronisieren.
Manuelles Hinzufügen über die Admin Console-Benutzeroberfläche
Benutzer und Gruppen können manuell in der Admin Console-Benutzeroberfläche erstellt werden. Diese Methode kann verwendet werden, wenn Sie nicht viele Benutzende zu verwalten haben. Zum Beispiel bei weniger als 50 AEM-Benutzerinnen bzw. -Benutzer oder wenn Sie die Methode bereits zur Verwaltung anderer Adobe-Produkte wie Analytics, Target oder Creative Cloud-Applikationen verwenden.
Datei-Upload in der Admin Console-Benutzeroberfläche
Zur einfachen Handhabung der Benutzererstellung können Sie eine .csv-Datei hochladen, um eine große Anzahl von Benutzern hinzuzufügen.
Tool zur Benutzersynchronisierung
Mit dem Tool zur Benutzersynchronisierung (kurz UST – User Sync Tool) können Adobe-Unternehmenskunden Adobe-Benutzende mithilfe von Active Directory erstellen und verwalten. UST funktioniert auch für andere getestete OpenLDAP-Verzeichnis-Services. Die Zielgruppe sind IT-Identitätsadmins (Enterprise Directory- oder Systemadmins), die in der Lage sind, das Tool zu installieren und zu konfigurieren. Das Open-Source-Tool ist anpassbar, sodass Sie das Tool an die eigenen Anforderungen anpassen können.
Wenn die Benutzersynchronisierung ausgeführt wird, ruft das Tool eine Liste der Benutzenden aus dem Active Directory des Unternehmens ab und vergleicht sie mit der Liste der Benutzenden in der Admin Console. Anschließend ruft es die Adobe User Management-API auf, damit die Admin Console mit dem Verzeichnis der Organisation synchronisiert wird. Der Änderungsfluss ist einseitig. Änderungen, die in der Admin Console vorgenommen wurden, werden nicht in das Verzeichnis übertragen.
Mit diesem Tool kann der Systemadmin die Benutzergruppen im Kundenverzeichnis mit der Produktkonfiguration und den Benutzergruppen in der Admin Console abgleichen.
Um die Benutzersynchronisierung einzurichten, muss die Organisation Anmeldeinformationen erstellen. Die Schritte hierfür sind dieselben wie bei der User Management-API.
Das Tool zur Benutzersynchronisierung steht über das Adobe Github-Repository an diesem Speicherort zur Verfügung.
Die wichtigsten Funktionen dieser Version sind die Möglichkeit, neue LDAP-Gruppen für die Benutzermitgliedschaft in der Admin Console dynamisch zuzuordnen und dynamische Benutzergruppen zu erstellen.
Weitere Informationen zu den neuen Gruppenfunktionen finden Sie unter Tool zur Benutzersynchronisierung von Adobe – Weitere Gruppenoptionen.
Dokumentation zur Benutzersynchronisierung
Siehe:
-
Das Tool zur Benutzersynchronisierung muss mit dem Verfahren der Authentifizierung für API-Zugriff als Adobe Developer-Client-UMAPI registriert werden.
-
User Management-API, die vom Tool zur Benutzersynchronisierung verwendet wird
Konfiguration von Adobe Experience as a Cloud Service aem-configuration
Die erforderliche AEM-IMS-Konfiguration wird automatisch konfiguriert, wenn die AEM-Umgebungen und -Instanzen bereitgestellt werden. Kundenadministratoren können einen Teil der Konfiguration gemäß ihren Anforderungen ändern.
Der allgemeine Ansatz besteht darin, Adobe IMS als OAuth-Anbieter zu konfigurieren. Der Apache Jackrabbit Oak Standard Sync Handler kann wie bei der LDAP-Synchronisierung geändert werden.
Im Folgenden sind die wichtigsten OSGI-Konfigurationen aufgeführt, die geändert werden müssen, um Eigenschaften wie die automatische Benutzerzugehörigkeit oder die Gruppenzuordnung zu ändern.
Verwendung how-to-use
Verwalten von Produkten und Benutzerzugriff in der Admin Console managing-products-and-user-access-in-admin-console
Wenn sich der Produktadmin der Kundschaft bei der Admin Console anmeldet, sieht er wie unten gezeigt mehrere Instanzen des AEM as a Cloud Service-Produktkontexts. Wählen Sie zum Beispiel eines der Produkte auf der Seite Übersicht:
Es wird eine Liste der vorhandenen Instanzen angezeigt:
Unter jeder Produktkontext-Instanz gibt es Instanzen, die sich auf Authoring- oder Publishing-Services über Produktions-, Staging- oder Entwicklungs-Umgebungen hinweg erstrecken. Jede Instanz wird Produktprofilen oder Cloud Manager-Rollen zugeordnet. Diese Produktprofile werden für die Zuweisung des Zugriffs an Benutzende und Gruppen mit den erforderlichen Berechtigungen verwendet.
Das Profil AEM Administrators_xxx wird verwendet, um Adminrechte in der zugehörigen AEM-Instanz zu gewähren, während das Profil AEM Users_xxx verwendet wird, um reguläre Benutzende hinzuzufügen.
Alle unter diesem Produktprofil hinzugefügten Benutzenden und Gruppen können sich wie im Beispiel unten gezeigt bei dieser Instanz anmelden:
Anmelden bei Adobe Experience Manager as a Cloud Service logging-in-to-aem
Lokale Administratoranmeldung
AEM kann lokale Anmeldungen für Admin-Benutzende weiterhin unterstützen. Auf dem Anmeldebildschirm können Sie sich lokal anmelden:
IMS-basierte Anmeldung
Für andere Benutzende wird die IMS-basierte Anmeldung verwendet, nachdem IMS in der Instanz konfiguriert wurde. Die Benutzerin bzw. der Benutzer klickt wie unten gezeigt auf die Schaltfläche „Mit Adobe anmelden“:
Sie werden zum IMS-Anmeldebildschirm umgeleitet und müssen ihre Anmeldeinformationen eingeben:
Wenn während der Ersteinrichtung der Admin Console Federated IDP konfiguriert wurde, wird die Benutzerin bzw. der Benutzer zum Kunden-IDP für die einmalige Anmeldung (SSO) weitergeleitet:
Sobald die Authentifizierung abgeschlossen ist, wird die Person zurück zu AEM weitergeleitet und angemeldet:
Verwalten von Berechtigungen und Zugriffssteuerungslisten (ACLs) in Adobe Experience Manager as a Cloud Service managing-permissions-in-aem
Die Zugriffssteuerungslisten (ACLs) und Berechtigungen werden weiterhin in AEM verwaltet. Die vom IMS synchronisierten Benutzergruppen können lokalen Gruppen zugewiesen werden, in denen ACLs und Berechtigungen definiert sind.
Im folgenden Beispiel werden die synchronisierten Gruppen der lokalen Gruppe Dam_Users hinzugefügt, um ein Beispiel zu geben.
Der Benutzer ist Teil der folgenden Gruppen in IMS:
Wenn sich der Benutzer anmeldet, werden die Gruppenmitgliedschaften wie unten dargestellt synchronisiert:
In AEM können die aus IMS synchronisierten Benutzergruppen vorhandenen lokalen Gruppen (z. B. DAM-Benutzer) als Mitglieder hinzugefügt werden.
Wie unten dargestellt, erbt die Gruppe AEM-GRP_008 die Berechtigungen und Privilegien von DAM Users. Diese Vererbung ist eine effektive Möglichkeit zur Verwaltung von Berechtigungen für synchronisierte Gruppen und wird häufig in der LDAP-basierten Authentifizierungsmethode verwendet.
Zugriff auf Cloud Manager accessing-cloud-manager
Um auf Cloud Manager oder Umgebungen in AEM as a Cloud Service zugreifen zu können, müssen Sie den Profilen des Cloud Manager-Produkts zugewiesen werden.
Unter „Rollendefinitionen“ finden Sie weitere Informationen zu Rollen von Benutzenden, die die Verfügbarkeit bestimmter Funktionen in Cloud Manager steuern.
Schritte zum Hinzufügen eines Benutzers
-
Fügen Sie einem bestimmten Profil einen Benutzer hinzu, entweder über den Bildschirm eines vorhandenen Benutzers oder über einen Bildschirm für neue Benutzer.
-
Sie können einen Benutzer auch über den Bildschirm Übersicht hinzufügen, wie in der folgenden Abbildung dargestellt.
note note NOTE Sie können einem Benutzer mehr als ein Profil zuweisen, wie in der folgenden Abbildung dargestellt. 
-
Sobald Sie dem entsprechenden Profil hinzugefügt wurden, sollten Sie in der Lage sein, über Adobe Experience Cloud in der oberen rechten Ecke der Benutzeroberfläche auf die entsprechenden Mandanten im Cloud Manager zuzugreifen.
Zugriff auf eine Instanz in AEM as a Cloud Service accessing-instance-cloud-service
Um auf eine AEM-Instanz in der Admin Console zugreifen zu können, sollten Sie das Cloud Manager-Programm und die Umgebungen innerhalb des Programms in der Produktliste in der Admin Console ansehen.
Im folgenden Screenshot sehen Sie beispielsweise zwei verfügbare Umgebungen: dev author und publish.
Um Zugriff auf AEM-Instanzen zu erhalten, muss die Benutzerin bzw. der Benutzer einer Gruppe des entsprechenden Cloud Service-Produkts hinzugefügt werden.
Jede Authoring-Instanz hat ein AEM-Admin- und AEM-Benutzerprofil und jede Veröffentlichungsinstanz hat ein AEM-Benutzerprofil. Sie können bei Bedarf weitere Profile hinzufügen.
Um Zugriff auf die AEM-Instanz auf Administratorebene zu erhalten, fügen Sie den Benutzer dem AEM-Administratorprofil für das jeweilige Produkt hinzu.