この機能は、Adobe Managed Services のお客様にのみご利用いただけます。
AEM 6.4.3.0 では、AEMインスタンスと、Adobe IMS(Identity Management System) ベースの認証に対するAdmin Consoleサポートが、 AEM Managed Services 顧客。
AEM がアドミンコンソールをオンボーディングしたことにより、AEM Managed Servicesのお客様は 1 つのコンソールですべての Experience Cloud ユーザーを管理できます。ユーザーとグループは AEM インスタンスに関連付けられている製品プロファイルに割り当てることができ、特定のインスタンスにログインできます。
IMS 認証は、AEM と Adobe IMS エンドポイントの間で OAuth プロトコルを使用して機能します。ユーザーが IMS に追加され、Adobe ID を持つようになると、IMS 資格情報を使用して AEM Managed Services インスタンスにログインできます。
ユーザーログインフローを以下に示します。ユーザーは IMS にリダイレクトされ、オプションで SSO 検証のためにカスタマー IDP にリダイレクトされてから、AEM にリダイレクトされます。
アドミンコンソールへお客様をオンボーディングすることは、AEM 認証に Adobe IMS を使用するための前提条件です。
最初のステップとして、Adobe IMS に組織をプロビジョニングする必要があります。Adobe Enterprise のお客様は、Adobe Admin Console に IMS 組織として表されています。
AEM Managed Servicesのお客様は、既に組織がプロビジョニングされている必要があります。また、IMS プロビジョニングの一環として、Admin Consoleでカスタマーインスタンスを使用して、ユーザーの使用権限とアクセスを管理できます。
ユーザー認証のための IMS への移行は、AMS とお客様の共同作業となり、それぞれがワークフローを完了させます。
顧客が IMS 組織として存在し、AMS が顧客の IMS へのプロビジョニングを完了したら、次のような設定ワークフローを実行する必要があります。
ユーザーをオンボードする方法は、お客様の規模と好みに応じて 3 つあります。
ユーザーとグループは、Admin Console の UI で手動で作成できます。この方法は、管理するユーザー数が多くない場合に使用できます。(例:AEM ユーザーが 50 人未満の場合)
Analytics、Target、Creative Cloud などの他の Adobe 製品を管理するためにすでにこの方法を使用している場合は、ユーザーを手動で作成することもできます。
CSV ファイルをアップロードしてユーザーをまとめて登録すると、ユーザーの作成を簡単に処理できます。
ユーザー同期ツール(UST)は、Active Directory または他のテスト済み OpenLDAP ディレクトリサービスを利用して、Adobe ユーザーを作成または管理することができます。対象ユーザーは、このツールをインストールおよび設定できる IT ID 管理者(エンタープライズディレクトリとシステムの管理者)です。オープンソースツールはカスタマイズ可能であるため、顧客は特定の要件に合うように開発者に修正させることができます。
ユーザー同期が実行されると、組織の Active Directory(または他の互換性のあるデータソース)からユーザー一覧を取得し、それをアドミンコンソール内のユーザー一覧と比較します。その後、Admin Console を組織のディレクトリと同期するために、Adobe User Management API を呼び出します。変更の流れは完全に一方向です。アドミンコンソールで行った編集はディレクトリにプッシュされません。
このツールを使用すると、システム管理者はお客様のディレクトリにあるユーザーグループをアドミンコンソールの製品設定とユーザーグループにマッピングできます。また、新しい UST バージョンでは、アドミンコンソールで動的にユーザーグループを作成することもできます。
ユーザー同期を設定するには、User Management API を使用する場合と同様に、組織が一連の資格情報を作成する必要があります。
ユーザー同期は、次の場所にある Adobe Github リポジトリを介して配布されます。
https://github.com/adobe-apiplatform/user-sync.py/releases/latest
次の場所にあるプレリリースバージョンの 2.4RC1 は、動的グループの作成をサポートしています。https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
このリリースの主な機能は、Admin Console でユーザーのメンバーシップに合わせて新しい LDAP グループを動的にマッピングする機能と、動的なユーザーグループ作成です。
新しいグループ機能の詳細については、こちらを参照してください。
https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration
AEM IMS の設定は、Adobe Managed Services チームによって処理されます。ただし、お客様の管理者は必要に応じて変更することができます(例えば、自動グループメンバーシップやグループマッピングなど)。IMS クライアントは、ご自身の Managed Services チームによっても登録されます。
顧客の製品管理者がアドミンコンソールにログインすると、以下に示すように、AEM Managed Services 製品コンテキストの複数のインスタンスが表示されます。
この例では、AEM-MS-Onboard 組織には、ステージング、実稼働など、さまざまなトポロジと環境にまたがる 32 のインスタンスがあります。
詳細を確認するとインスタンスを識別できます。
各製品コンテキストのインスタンスの下に、関連する製品プロファイルがあります。この製品プロファイルは、ユーザーおよびグループにアクセス権を割り当てるために使用されます。
この製品プロファイルの下に追加されたすべてのユーザーおよびグループは、次の例に示すように、そのインスタンスにログインできます。
AEM では引き続き、管理ユーザーのローカルログインをサポートし、ログイン画面にはローカルでログインするオプションがあります。
他のユーザーの場合は、IMS がインスタンスに設定された後に、IMS ベースのログインを使用できます。ユーザーはまず、下に示すように、「Sign in with Adobe」ボタンをクリックします。
その後、ユーザーは IMS ログイン画面にリダイレクトされ、資格情報を入力します。
アドミンコンソールの初期設定中にフェデレーテッド IDP が設定される場合、ユーザーは SSO 用のカスタマー IDP にリダイレクトされます。
次の例では、IDP は Okta です。
認証が完了すると、ユーザーは AEM にリダイレクトされてログインします。
別の認証方式を使用していて、現在 IMS に移行されている既存の AEM インスタンスの場合、移行手順が必要です。
AEM リポジトリ内の既存ユーザー(LDAP または SAML を介してローカルに提供される)は、IDP がユーザー移行ユーティリティを使用しているため、IMS を指すように移行できます。
このユーティリティは、IMS プロビジョニングの一部として AMS チームによって実行されます。
アクセス制御とアクセス許可は引き続き AEM で管理されます。これは、IMS からのユーザーグループ(以下の例では AEM-GRP-008)と、アクセス許可とアクセス制御が定義されているローカルグループの分離を使用して実現できます。IMS から同期されたユーザーグループは、ローカルグループに割り当てられ、権限を継承することができます。
以下の例では、同期グループをローカル Dam_Users グループに追加しています。
ここでは、ユーザーはアドミンコンソールのいくつかのグループにも割り当てられています。( ユーザーとグループは、ユーザー同期ツールを使用して LDAP から同期することも、ローカルで作成することもできます。 ユーザーのAdmin Consoleへのオンボーディング 上 )。
ユーザーグループは、ユーザーがインスタンスにログインした場合にのみ同期されます。
ユーザーは、IMS の以下のグループの一部です。
ユーザーがログインすると、以下に示すように、グループメンバーシップが同期されます。
AEM では、IMS から同期されたユーザーグループを既存のローカルグループ(DAM ユーザーなど)にメンバーとして追加できます。
以下に示すように、グループ AEM-GRP_008 は DAM ユーザーの権限と特権を継承します。これは同期されたグループに対する権限を管理する効果的な方法であり、LDAP ベースの認証方法でも一般的に使用されています。