Compatibilidad de Admin Console y autenticación de IMS de Adobe para AEM Managed Services

NOTA

Tenga en cuenta que esta función solo está disponible para los clientes de Adobe Managed Services.

Introducción

AEM 6.4.3.0 incorpora compatibilidad con Admin Console para instancias de AEM y autenticación basada en IMS de Adobe (Identity Management System) para clientes de AEM Managed Services.

AEM incorporación al Admin Console permitirá a AEM clientes de Managed Services administrar todos los usuarios Experience Cloud en una consola. Los usuarios y grupos se pueden asignar a perfiles de producto asociados con instancias de AEM, lo que les permite iniciar sesión en una instancia específica.

Puntos clave destacados

  • AEM compatibilidad con la autenticación IMS solo es para autores, administradores o desarrolladores de AEM, no para usuarios finales externos del sitio del cliente como visitantes del sitio
  • El Admin Console representará a AEM clientes de Managed Services como organizaciones de IMS y sus instancias como contextos de producto. Los administradores de sistemas de clientes y productos podrán administrar el acceso a las instancias
  • AEM Managed Services sincronizará las topologías de los clientes con el Admin Console. Habrá una instancia de AEM contexto de producto de Managed Services por instancia en el Admin Console.
  • Los perfiles de producto del Admin Console determinarán a qué instancias puede acceder un usuario
  • Se admite la autenticación federada utilizando los propios proveedores de identidad compatibles con SAML 2 de los clientes
  • Solo se admitirán los Enterprise ID o Federated ID (para el inicio de sesión único del cliente), no los ID de Adobe personales.
  • La administración de usuarios (en Adobe Admin Console) seguirá siendo propiedad de los administradores de clientes.

Arquitectura

La autenticación IMS funciona mediante el protocolo OAuth entre AEM y el extremo IMS de Adobe. Una vez que se añade un usuario a IMS y tiene una identidad de Adobe, puede iniciar sesión en las instancias de AEM Managed Services con las credenciales de IMS.

El flujo de inicio de sesión del usuario se muestra a continuación; se redirige al usuario a IMS y, opcionalmente, al IDP del cliente para la validación de SSO y, a continuación, se le redirige de nuevo a AEM.

image2018-9-23_23-55-8

Cómo configurar

Incorporación de organizaciones a Admin Console

La incorporación del cliente al Admin Console es un requisito previo para utilizar IMS de Adobe para AEM autenticación.

Como primer paso, los clientes deben tener una organización aprovisionada en Adobe IMS. Los clientes de Adobe Enterprise están representados como organizaciones de IMS en Adobe Admin Console.

AEM los clientes de Managed Services ya deben disponer de una organización aprovisionada y, como parte del aprovisionamiento de IMS, las instancias de cliente estarán disponibles en el Admin Console para administrar los derechos de usuario y el acceso.

El paso a IMS para la autenticación de usuarios será un esfuerzo conjunto entre AMS y los clientes, y cada uno de ellos tendrá que completar sus flujos de trabajo.

Una vez que un cliente existe como una organización de IMS y AMS se ha realizado con el aprovisionamiento del cliente para IMS, este es el resumen de los flujos de trabajo de configuración necesarios:

image2018-9-23_23-33-25

  1. El administrador del sistema designado recibe una invitación para iniciar sesión en el Admin Console
  2. El administrador del sistema reclama un dominio para confirmar la propiedad del dominio (en este ejemplo acme.com)
  3. El administrador del sistema configura los directorios de usuario
  4. El administrador del sistema configura el proveedor de identidad (IDP) en el Admin Console para la configuración de SSO.
  5. El administrador de AEM administra los grupos locales, los permisos y los privilegios de la forma habitual. Consulte Sincronización de usuarios y grupos
NOTA

Para obtener más información sobre los fundamentos de Identity Management de Adobe, incluida la configuración de IDP, consulte el artículo esta página.

Para obtener más información sobre Enterprise Administration and Admin Console, consulte el artículo esta página.

Incorporación de usuarios al Admin Console

Existen tres formas de integrar a los usuarios en función del tamaño del cliente y de sus preferencias:

  1. Crear manualmente usuarios y grupos en el Admin Console
  2. Cargar un archivo CSV con usuarios
  3. Sincronice usuarios y grupos desde Active Directory empresarial del cliente.

Adición manual a través de la interfaz de usuario de Admin Console

Los usuarios y grupos se pueden crear manualmente en la interfaz de usuario de Admin Console. Este método se puede utilizar si no tienen un gran número de usuarios que administrar. Por ejemplo, un número menor de 50 usuarios AEM.

Los usuarios también se pueden crear manualmente si el cliente ya está utilizando este método para administrar otros productos de Adobe como aplicaciones de Analytics, Target o Creative Cloud.

image2018-9-23_20-39-9

Carga de archivos en la interfaz de usuario del Admin Console

Para facilitar la gestión de la creación de usuarios, se puede cargar un archivo CSV para agregar usuarios de forma masiva:

image2018-9-23_18-59-57

Herramienta de sincronización de usuarios

La herramienta de sincronización de usuarios (UST en resumen) permite a los clientes empresariales crear o administrar usuarios de Adobe utilizando Active Directory u otros servicios de directorio OpenLDAP probados. Los usuarios de destino son administradores de identidad de TI (Enterprise Directory y administradores del sistema) que podrán instalar y configurar la herramienta. La herramienta de código abierto es personalizable para que los clientes puedan hacer que un desarrollador la modifique para adaptarla a sus propios requisitos particulares.

Cuando se ejecuta la sincronización de usuarios, se obtiene una lista de usuarios de Active Directory de la organización (o de cualquier otra fuente de datos compatible) y se compara con la lista de usuarios del Admin Console. A continuación, llama a la API de administración de usuarios de Adobe para sincronizar Admin Console con el directorio de la organización. El flujo de cambios es totalmente unidireccional; las ediciones realizadas en el Admin Console no se insertan en el directorio .

La herramienta permite que el administrador del sistema asigne grupos de usuarios en el directorio del cliente con la configuración del producto y los grupos de usuarios en el Admin Console. La nueva versión del sistema operativo también permite la creación dinámica de grupos de usuarios en el Admin Console.

Para configurar la sincronización de usuarios, la organización debe crear un conjunto de credenciales de la misma manera que usaría la API de administración de usuarios.

image2018-9-23_13-36-56

La sincronización de usuarios se distribuye a través del repositorio de GitHub de Adobe en esta ubicación:

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

Tenga en cuenta que la versión de prelanzamiento 2.4RC1 está disponible con compatibilidad para la creación de grupos dinámicos y se puede encontrar aquí: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

Las principales características de esta versión son la capacidad de asignar dinámicamente nuevos grupos LDAP para la pertenencia de usuarios a Admin Console, así como la creación dinámica de grupos de usuarios.

Puede encontrar más información sobre las nuevas funciones de grupo aquí:

https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration

NOTA

Para obtener más información sobre la herramienta de sincronización de usuarios, consulte la página de documentación.

La herramienta de sincronización de usuarios debe registrarse como cliente de Adobe I/O UMAPI mediante el procedimiento descrito aquí.

La documentación de la consola Adobe I/O se encuentra aquí.

La API de administración de usuarios que utiliza la herramienta de sincronización de usuarios se cubre en esta ubicación.

NOTA

La configuración AEM de IMS la gestionará el equipo de Adobe Managed Services. Sin embargo, el administrador de clientes puede modificarlo según sus necesidades (por ejemplo, Pertenencia a grupos automática o Asignación de grupos). El cliente IMS también será registrado por su equipo de Managed Services.

Usos

Administración de productos y acceso de usuarios en Admin Console

Cuando el administrador de productos del cliente inicia sesión en Admin Console, verá varias instancias del contexto de producto de Managed Services de AEM como se muestra a continuación:

screen_shot_2018-09-17at105804pm

En este ejemplo, la organización AEM-MS-Onboard tiene 32 instancias que abarcan diferentes topologías y entornos como Stage, Prod, etc.

screen_shot_2018-09-17at105517pm

Los detalles de la instancia se pueden comprobar para identificar la instancia:

screen_shot_2018-09-17at105601pm

En cada instancia de contexto de producto, habrá un perfil de producto asociado. Este perfil de producto se utiliza para asignar acceso a usuarios y grupos.

image2018-9-18_7-48-50

Los usuarios y grupos agregados bajo este perfil de producto pueden iniciar sesión en esa instancia en , como se muestra en el ejemplo siguiente:

screen_shot_2018-09-17at105623pm

Iniciando sesión en AEM

Inicio de sesión de administrador local

AEM seguir admitiendo los inicios de sesión locales para los usuarios administradores, ya que la pantalla de inicio de sesión tiene la opción de iniciar sesión localmente:

screen_shot_2018-09-18at121056am

Inicio de sesión basado en IMS

Para otros usuarios, el inicio de sesión basado en IMS se puede utilizar una vez que IMS esté configurado en la instancia. El usuario primero hará clic en el botón Iniciar sesión con Adobe como se muestra a continuación:

image2018-9-18_0-10-32

A continuación, se les redirigirá a la pantalla de inicio de sesión de IMS e introduzca sus credenciales:

screen_shot_2018-09-17at15629pm

Si se configura un IDP federado durante la configuración inicial de Admin Console, se redirige al usuario al IDP del cliente para SSO.

El IDP es Okta en el siguiente ejemplo:

screen_shot_2018-09-17at15734pm

Una vez finalizada la autenticación, se redirige al usuario a AEM para iniciar sesión:

screen_shot_2018-09-18at120124am

Migración de usuarios existentes

Para las instancias de AEM existentes que utilizan otro método de autenticación y que ahora se están migrando a IMS, debe haber un paso de migración.

Los usuarios existentes en el repositorio de AEM (con origen local, a través de LDAP o SAML) se pueden migrar para que apunten a IMS como IDP con la Utilidad de migración de usuarios.

Su equipo de AMS ejecutará esta utilidad como parte del aprovisionamiento de IMS.

Administración de permisos y ACL en AEM

El control de acceso y los permisos se seguirán administrando en AEM, esto se puede lograr mediante la separación de los grupos de usuarios procedentes de IMS (por ejemplo, AEM-GRP-008 en el ejemplo siguiente) y los grupos locales donde se definen los permisos y el control de acceso. Los grupos de usuarios sincronizados con IMS se pueden asignar a grupos locales y heredar los permisos.

En el ejemplo siguiente, se añaden grupos sincronizados al grupo local Dam_Users como ejemplo.

En este caso, también se ha asignado un usuario a algunos grupos del Admin Console. ( Tenga en cuenta que los usuarios y grupos pueden sincronizarse desde LDAP con la herramienta de sincronización de usuarios o crearse localmente, consulte la sección Incorporación de usuarios al Admin Console anterior).

NOTA

Los grupos de usuarios solo se sincronizan cuando los usuarios inician sesión en la instancia.

screen_shot_2018-09-17at94207pm

El usuario forma parte de los siguientes grupos en IMS:

screen_shot_2018-09-17at94237pm

Cuando el usuario inicia sesión, se sincronizan las suscripciones al grupo, como se muestra a continuación:

screen_shot_2018-09-17at94033pm

En AEM, los grupos de usuarios sincronizados con IMS se pueden agregar como miembros a grupos locales existentes, por ejemplo, usuarios de DAM.

screen_shot_2018-09-17at95804pm

Como se muestra a continuación, el grupo AEM-GRP_008 hereda los permisos y privilegios de los usuarios de DAM. Esta es una forma eficaz de administrar permisos para grupos sincronizados y se utiliza comúnmente también en métodos de autenticación basados en LDAP.

screen_shot_2018-09-17at10505pm

En esta página

Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now