Autenticazione IMS Adobe e supporto Admin Console AEM Managed Services

NOTA

Questa funzione è disponibile solo per i clienti di Adobe Managed Services.

Introduzione

AEM 6.4.3.0 introduce supporto Admin Console per AEM istanze e autenticazione basata su Identity Management System ( Adobe System) per i clienti AEM Managed Services.

AEM l'accesso al Admin Console consentirà AEM clienti Managed Services di gestire tutti utenti di Experienci Cloud in un'unica console. Gli utenti e i gruppi possono essere assegnati ai profili di prodotto associati alle istanze AEM, consentendo loro di accedere a un'istanza specifica.

Elementi di rilievo

  • AEM supporto dell'autenticazione IMS è solo per autori, amministratori o sviluppatori AEM, non per utenti finali esterni di siti cliente come i visitatori del sito
  • Il Admin Console rappresenterà AEM clienti Managed Services come organizzazioni IMS e le loro istanze come contesti di prodotto. Gli amministratori di prodotto e di sistema dei clienti potranno gestire l'accesso alle istanze
  • AEM Managed Services sincronizzerà le topologie dei clienti con il Admin Console . Nell'Admin Console di sarà presente un'istanza AEM contesto prodotto Managed Services per istanza.
  • Profili di prodotto in Admin Console determinerà a quali istanze può accedere un utente
  • È supportata l'autenticazione federativa tramite provider di identità conformi SAML 2
  • Saranno supportati solo Enterprise ID o Federated ID (per il cliente Single Sign-On), non ID Adobe personali.
  • La gestione degli utenti (in Adobe Admin Console) continuerà ad essere di proprietà degli amministratori cliente.

Architettura

L'autenticazione IMS funziona utilizzando il protocollo OAuth tra AEM e l'endpoint IMS del Adobe . Dopo l’aggiunta a IMS, un utente con identità Adobe può accedere ad AEM Managed Services utilizzando le credenziali IMS.

Il flusso di accesso dell'utente è riportato di seguito, l'utente verrà reindirizzato a IMS e, facoltativamente, all'IDP del cliente per la convalida SSO e quindi reindirizzato nuovamente a AEM.

image2018-9-23_23-55-8

Come impostare

Onboarding di organizzazioni in Admin Console

L'onboarding del cliente Admin Console è un prerequisito per utilizzare Adobe IMS per AEM autenticazione.

Come primo passo, i clienti devono avere un'organizzazione predisposta in Adobe IMS. clienti Enterprise Adobe sono rappresentati come organizzazioni IMS in Adobe Admin Console.

AEM clienti Managed Services devono già disporre di un'organizzazione predisposta e, come parte del provisioning IMS, le istanze cliente saranno rese disponibili nel Admin Console per la gestione delle adesioni e dell'accesso degli utenti.

Il passaggio a IMS per l'autenticazione degli utenti sarà uno sforzo congiunto tra AMS e i clienti, con ciascuno dei quali i flussi di lavoro saranno completati.

Una volta che un cliente esiste come organizzazione IMS e AMS ha effettuato il provisioning del cliente per IMS, questo è il riepilogo dei flussi di lavoro di configurazione richiesti:

image2018-9-23_23-33-25

  1. L'amministratore di sistema designato riceve un invito ad accedere al Admin Console
  2. L'amministratore di sistema richiede il dominio per confermare la proprietà del dominio (in questo esempio acme.com)
  3. L'amministratore di sistema imposta le directory utente
  4. L'amministratore di sistema configura il provider di identità (IDP) nel Admin Console per l'impostazione SSO.
  5. L'amministratore AEM gestisce i gruppi locali, le autorizzazioni e i privilegi come al solito. Consultate Sincronizzazione di utenti e gruppi
NOTA

Per ulteriori informazioni sul Adobe Identity Management Basics, inclusa la configurazione IDP, vedere l'articolo questa pagina.

Per ulteriori informazioni sull'amministrazione Enterprise e sul Admin Console vedere l'articolo questa pagina.

Onboarding Users to the Admin Console

Esistono tre modi per integrare gli utenti a seconda delle dimensioni del cliente e delle loro preferenze:

  1. Creare manualmente utenti e gruppi in Admin Console
  2. Caricare un file CSV con gli utenti
  3. Sincronizzare utenti e gruppi dall'Active Directory aziendale del cliente.

Aggiunta manuale tramite l’interfaccia di Admin Console

È possibile creare manualmente utenti e gruppi nell’interfaccia di Admin Console. Questo metodo può essere utilizzato se non dispone di un numero elevato di utenti da gestire. Ad esempio, un numero inferiore a 50 utenti AEM.

Gli utenti possono anche essere creati manualmente se il cliente utilizza già questo metodo per amministrare altri prodotti Adobe come Analytics, Target o applicazioni di Creative Cloud.

image2018-9-23_20-39-9

Caricamento file nell'interfaccia utente del Admin Console

Per semplificare la gestione della creazione di utenti, potete caricare un file CSV per aggiungere utenti in massa:

image2018-9-23_18-59-57

Strumento User Sync

Lo strumento di sincronizzazione utenti (UST in breve) consente ai clienti aziendali di creare o gestire utenti di Adobi che utilizzano Active Directory o altri servizi di directory OpenLDAP testati. Gli utenti di destinazione sono amministratori di identità IT (Enterprise Directory e System Admins) che saranno in grado di installare e configurare lo strumento. Lo strumento open source è personalizzabile in modo che i clienti possano modificarlo in base alle proprie esigenze specifiche.

Durante l'esecuzione della sincronizzazione utenti, recupera un elenco di utenti da Active Directory dell'organizzazione (o da qualsiasi altra origine dati compatibile) e lo confronta con l'elenco di utenti all'interno del Admin Console . Chiama quindi l’API User Management di Adobe in modo che Admin Console sia sincronizzato con la directory dell’organizzazione. Il flusso di variazione è interamente unidirezionale; eventuali modifiche apportate nel Admin Console non vengono inviate alla directory.

Lo strumento consente all'amministratore di sistema di mappare i gruppi di utenti nella directory del cliente con la configurazione del prodotto e i gruppi di utenti nel Admin Console . La nuova versione UST consente inoltre la creazione dinamica dei gruppi di utenti nel Admin Console .

Per configurare User Sync, l’organizzazione deve creare un set di credenziali in modo analogo a come userebbe l’API User Management.

image2018-9-23_13-36-56

La sincronizzazione degli utenti è distribuita tramite l'archivio di Github Adobe, nel seguente percorso:

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

Una versione precedente alla release 2.4RC1 è disponibile con il supporto per la creazione di gruppi dinamici ed è disponibile qui: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

Le funzioni principali di questa versione includono la possibilità di mappare dinamicamente i nuovi gruppi LDAP per l’iscrizione degli utenti in Admin Console, nonché la creazione dinamica di gruppi di utenti.

Ulteriori informazioni sulle nuove funzioni del gruppo sono disponibili qui:

https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration

NOTA

Per ulteriori informazioni sullo strumento di sincronizzazione degli utenti, consultare la pagina della documentazione.

Lo strumento di sincronizzazione utenti deve registrarsi come client Adobe I/O UMAPI utilizzando la procedura descritta qui.

La documentazione relativa console Adobe I/O è disponibile qui.

L'API di gestione utente utilizzata dallo strumento di sincronizzazione degli utenti è trattata in questa posizione.

NOTA

La configurazione IMS AEM sarà gestita dal team Adobe Managed Services. Tuttavia, l'amministratore del cliente può modificarlo in base alle proprie esigenze (ad esempio, Appartenenza automatica al gruppo o Mappatura del gruppo). Il client IMS verrà registrato anche dal team Managed Services.

Guida all’uso

Gestione dei prodotti e dell’accesso utente in Admin Console

Quando l'amministratore del prodotto cliente accede al Admin Console, visualizzerà più istanze del contesto AEM prodotto Managed Services come illustrato di seguito:

screen_shot_2018-09-17at105804pm

In questo esempio, l'organizzazione AEM-MS-Onboard ha 32 istanze che si estendono su topologie e ambienti diversi come Stage, Prod, ecc.

screen_shot_2018-09-17at105517pm

I dettagli dell’istanza possono essere verificati per identificare l’istanza:

screen_shot_2018-09-17at105601pm

In ogni istanza Contesto prodotto, sarà associato un profilo di prodotto. Questo profilo di prodotto viene utilizzato per assegnare l'accesso a utenti e gruppi.

image2018-9-18_7-48-50

Tutti gli utenti e i gruppi aggiunti sotto questo profilo di prodotto potranno accedere a tale istanza come mostrato nell'esempio seguente:

screen_shot_2018-09-17at105623pm

Accesso a AEM

Login amministratore locale

AEM continuare a supportare gli accessi locali per gli utenti Admin, poiché la schermata di accesso dispone di un'opzione per accedere localmente:

screen_shot_2018-09-18at121056am

Accesso basato su IMS

Per altri utenti, è possibile utilizzare l’accesso basato su IMS dopo che IMS è stato configurato per l’istanza. L'utente farà clic sul pulsante Accedi con Adobe come mostrato di seguito:

image2018-9-18_0-10-32

Vengono quindi reindirizzati alla schermata di accesso IMS e immettono le proprie credenziali:

screen_shot_2018-09-17at115629pm

Se durante la configurazione iniziale di Admin Console viene configurato un IDP federato, l’utente verrà reindirizzato all’IDP del cliente per l’accesso SSO.

L'IDP è Okta nell'esempio seguente:

screen_shot_2018-09-17at15734pm

Una volta completata l’autenticazione, l’utente verrà reindirizzato ad AEM per eseguire l’accesso:

screen_shot_2018-09-18at120124am

Migrazione degli utenti esistenti

Per le istanze di AEM esistenti che utilizzano un altro metodo di autenticazione e che ora vengono trasferite a IMS, è necessario effettuare una migrazione.

Gli utenti esistenti nell'archivio AEM (originati localmente, tramite LDAP o SAML) possono essere migrati a IMS come IDP utilizzando l'Utilità di migrazione degli utenti.

Questa utility verrà eseguita dal team AMS come parte del provisioning IMS.

Gestione delle autorizzazioni e degli ACL in AEM

Il controllo degli accessi e le autorizzazioni continueranno a essere gestiti in AEM, ciò può essere ottenuto separando i gruppi di utenti provenienti da IMS (ad es. AEM-GRP-008 nell'esempio seguente) e i gruppi locali in cui sono definite le autorizzazioni e il controllo degli accessi. I gruppi di utenti sincronizzati da IMS possono essere assegnati a gruppi locali e ereditare le autorizzazioni.

Nell’esempio seguente, ad esempio, i gruppi sincronizzati vengono aggiunti al gruppo Dam_Users locale.

In questo caso, un utente è stato assegnato anche a alcuni gruppi nel Admin Console . ( Gli utenti e i gruppi possono essere sincronizzati da LDAP utilizzando lo strumento di sincronizzazione degli utenti o creati localmente. Consultate la sezione Onboarding Users to the Admin Console sopra).

*Si noti che i gruppi di utenti vengono sincronizzati solo quando gli utenti accedono all'istanza, per i clienti che hanno un numero elevato di utenti e gruppi, AMS può eseguire un'utility di sincronizzazione di gruppo per preacquisire i gruppi per il controllo degli accessi e la gestione delle autorizzazioni descritte in precedenza.

screen_shot_2018-09-17at94207pm

L’utente fa parte dei seguenti gruppi in IMS:

screen_shot_2018-09-17at94237pm

Quando l’utente esegue l’accesso, le iscrizioni ai gruppi vengono sincronizzate, come illustrato di seguito:

screen_shot_2018-09-17at94033pm

In AEM, i gruppi di utenti sincronizzati da IMS possono essere aggiunti come membri a gruppi locali esistenti, ad esempio Utenti DAM.

screen_shot_2018-09-17at95804pm

Come mostrato di seguito, il gruppo AEM-GRP_008 eredita le autorizzazioni e i privilegi degli utenti DAM. Questo è un modo efficace per gestire le autorizzazioni per i gruppi sincronizzati ed è comunemente utilizzato anche nei metodi di autenticazione basati su LDAP.

screen_shot_2018-09-17at110505pm

In questa pagina