Ondersteuning voor verificatie en Admin Console van Adobe IMS voor AEM Managed Services adobe-ims-authentication-and-admin-console-support-for-aem-managed-services

CAUTION
AEM 6.4 heeft het einde van de uitgebreide ondersteuning bereikt en deze documentatie wordt niet meer bijgewerkt. Raadpleeg voor meer informatie onze technische ondersteuningsperioden. Ondersteunde versies zoeken hier.
NOTE
Deze functie is alleen beschikbaar voor klanten van Adobe Managed Services.

Inleiding introduction

AEM 6.4.3.0 introduceert ondersteuning voor Admin Consoles voor AEM instanties en verificatie op basis van Adobe IMS (Identity Management System) voor AEM Managed Services klanten.

AEM aan boord gaan aan de Admin Console zal AEM klanten van Managed Services toestaan om alle gebruikers van de Experience Cloud in één console te beheren. Gebruikers en groepen kunnen worden toegewezen aan productprofielen die aan AEM instanties zijn gekoppeld, zodat zij zich kunnen aanmelden bij een specifieke instantie.

Belangrijkste kenmerken key-highlights

  • AEM IMS-verificatieondersteuning is alleen bedoeld voor AEM-auteurs, -beheerders of -ontwikkelaars, niet voor externe eindgebruikers van de site zoals sitebezoekers
  • De Admin Console zal AEM klanten van Managed Services als organisaties IMS en hun Instanties als Contexten van het Product vertegenwoordigen. Systeem- en productbeheerders van klanten kunnen de toegang tot instanties beheren
  • AEM Managed Services zal klantentopologieën met de Admin Console synchroniseren. Er zal één geval van AEM het Context van het Product van Managed Services per Instantie in de Admin Console zijn.
  • Productprofielen in Admin Console bepalen welke instanties een gebruiker kan openen
  • Federatieve verificatie met behulp van eigen SAML 2-compatibele identiteitsproviders van klanten wordt ondersteund
  • Alleen Enterprise- of federatieve id's (voor Single Sign-On van klant) worden ondersteund, geen persoonlijke Adobe-id's.
  • Gebruikersbeheer (in Adobe Admin Console) blijft eigendom van de beheerders van de klant.

Architectuur architecture

IMS-verificatie werkt met behulp van het OAuth-protocol tussen AEM en het Adobe IMS-eindpunt. Zodra een gebruiker aan IMS is toegevoegd en een Adobe ID heeft, kan deze zich aanmelden bij AEM Managed Services-instanties met IMS-referenties.

De gebruikerslogin stroom wordt hieronder getoond, zal de gebruiker aan IMS en naar keuze aan klant IDP voor bevestiging van SSO worden opnieuw gericht en dan terug naar AEM.

image2018-9-23_23-55-8

Instellen how-to-set-up

Organisaties on-boarden in Admin Console onboarding-organizations-to-admin-console

De klant die zich aan boord van een Admin Console bevindt, is een absolute voorwaarde voor het gebruik van Adobe IMS voor AEM verificatie.

Als eerste stap moeten klanten beschikken over een organisatie die is ingericht in Adobe IMS. Adobe Enterprise-klanten worden vertegenwoordigd als IMS-organisaties in de Adobe Admin Console.

AEM Managed Services-klanten moeten al over een organisatie beschikken en als onderdeel van de IMS-provisioning zullen de exemplaren van de klant in de Admin Console beschikbaar worden gesteld voor het beheer van gebruikersrechten en toegang.

De overgang naar IMS voor gebruikersverificatie is een gezamenlijke inspanning van AMS en klanten, waarbij elk van hen zijn werkschema's moet voltooien.

Zodra een klant als IMS Organisatie bestaat en AMS met levering van de klant voor IMS wordt gedaan, is dit de samenvatting van de vereiste configuratiewerkschema's:

image2018-9-23_23-33-25

  1. De aangewezen Systeembeheerder ontvangt een uitnodiging om zich aan te melden bij de Admin Console
  2. System Admin beweert Domain om de eigendom van het domein te bevestigen (in dit voorbeeld acme.com)
  3. Systeembeheer stelt gebruikersmappen in
  4. Systeembeheerder configureert de Identiteitsprovider (IDP) in de Admin Console voor SSO-installatie.
  5. De AEM Admin beheert de lokale groepen, de toestemmingen en de voorrechten zoals gebruikelijk. Zie Synchronisatie van gebruikers en groepen
NOTE
Raadpleeg het artikel voor meer informatie over de Adobe Identity Management Basics, inclusief de IDP-configuratie deze pagina.
Raadpleeg het artikel voor meer informatie over de Enterprise Administration en de Admin Console deze pagina.

Gebruikers aan boord nemen van de Admin Console onboarding-users-to-the-admin-console

Er zijn drie manieren aan boord van gebruikers afhankelijk van de grootte van de klant en hun voorkeur:

  1. Handmatig gebruikers en groepen maken in Admin Console
  2. Een CSV-bestand met gebruikers uploaden
  3. Synchroniseer gebruikers en groepen van de bedrijfs Actieve Folder van de klant.

Handmatige toevoeging via de gebruikersinterface van de Admin Console manual-addition-through-admin-console-ui

Gebruikers en groepen kunnen handmatig worden gemaakt in de gebruikersinterface van de Admin Console. Deze methode kan worden gebruikt als ze niet over een groot aantal gebruikers beschikken om te beheren. Bijvoorbeeld een aantal van minder dan 50 AEM gebruikers.

Gebruikers kunnen ook handmatig worden gemaakt als de klant deze methode al gebruikt voor het beheer van andere Adobe-producten, zoals Analytics-, Target- of Creative Cloud-toepassingen.

image2018-9-23_20-39-9

Bestand uploaden in de gebruikersinterface van de Admin Console file-upload-in-the-admin-console-ui

Voor een eenvoudige afhandeling van het maken van gebruikers kan een CSV-bestand worden geüpload om gebruikers in bulk toe te voegen:

image2018-9-23_18-59-57

User Sync Tool user-sync-tool

Met het Hulpprogramma voor gebruikerssynchronisatie (UST in het kort) kunnen zakelijke klanten Adobe-gebruikers maken of beheren met Active Directory of andere geteste OpenLDAP-directoryservices. De doelgebruikers zijn de Beheerders van de Identiteit van IT (de Folder van de Onderneming en de Beheerders van het Systeem) die het hulpmiddel zullen kunnen installeren en vormen. Het opensource-programma kan worden aangepast, zodat klanten het kunnen aanpassen aan hun eigen specifieke vereisten.

Wanneer de looppas van de Synchronisatie van de Gebruiker, het een lijst van gebruikers van de Actieve Folder van de organisatie (of een andere compatibele gegevensbron) haalt en het met de lijst van gebruikers binnen de Admin Console vergelijkt. Vervolgens wordt de Adobe User Management-API opgeroepen, zodat de Admin Console wordt gesynchroniseerd met de directory van de organisatie. De wisselstroom is volledig eenrichtingsverkeer; eventuele bewerkingen die in de Admin Console zijn aangebracht, worden niet naar de map doorgestuurd.

Het hulpmiddel staat systeemadmin toe om gebruikersgroepen in de folder van de klant met productconfiguratie en gebruikersgroepen in de Admin Console in kaart te brengen, staat de nieuwe versie UST ook dynamische verwezenlijking van gebruikersgroepen in de Admin Console toe.

Voor het instellen van User Sync moet de organisatie een set referenties maken op dezelfde manier als voor het gebruik van de User Management-API.

image2018-9-23_13-36-56

De User Sync wordt op deze locatie gedistribueerd via de Adobe Github-repository:

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

Merk op dat een pre-versieversie 2.4RC1 met de dynamische steun van de groepsverwezenlijking beschikbaar is en hier kan worden gevonden: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

De belangrijkste functies voor deze versie zijn de mogelijkheid om nieuwe LDAP-groepen dynamisch toe te wijzen voor gebruikerslidmaatschap in de Admin Console, en het maken van dynamische gebruikersgroepen.

Meer informatie over de nieuwe groepsfuncties vindt u hier:

https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration

NOTE
Raadpleeg voor meer informatie over het gereedschap Gebruikerssynchronisatie het documentatiepagina.
Het hulpmiddel van de Synchronisatie van de Gebruiker moet als cliëntUMAPI van Adobe I/O registreren gebruikend de beschreven procedure hier.
De documentatie van de Adobe I/O-console is te vinden hier.
De API voor gebruikersbeheer die wordt gebruikt door het gereedschap Gebruikerssynchronisatie wordt op deze website behandeld locatie.
NOTE
De AEM IMS-configuratie wordt afgehandeld door het team van Adobe Managed Services. Nochtans, kan de klantenbeheerder het volgens hun vereisten wijzigen (bijvoorbeeld AutoLidmaatschap van de Groep of de Afbeelding van de Groep). De IMS-client wordt ook geregistreerd door uw Managed Services-team.

Het gebruik how-to-use

Producten en gebruikerstoegang beheren in Admin Console managing-products-and-user-access-in-admin-console

Wanneer de beheerder van het Product van de klant zich bij Admin Console aanmeldt, zullen zij veelvoudige instanties van de Context van het Product van AEM Managed Services zien zoals hieronder getoond:

screen_shot_2018-09-17at105804pm

In dit voorbeeld wordt de org AEM-MS-on-board heeft 32 instanties die verschillende topologieën en milieu's zoals Stadium, Prod, enz. overspannen.

screen_shot_2018-09-17at105517pm

De instantiedetails kunnen worden gecontroleerd om de instantie te identificeren:

screen_shot_2018-09-17at105601pm

Onder elke instantie van de Context van het Product, zal er een bijbehorend Profiel van het Product zijn. Dit productprofiel wordt gebruikt voor het toewijzen van toegang aan gebruikers en groepen.

image2018-9-18_7-48-50

Gebruikers en groepen die zijn toegevoegd onder dit productprofiel, kunnen zich aanmelden bij die instantie, zoals in het onderstaande voorbeeld wordt getoond:

screen_shot_2018-09-17at105623pm

Aanmelden bij AEM logging-into-aem

Aanmelden bij lokale beheerder local-admin-login

AEM kunnen lokale aanmeldingen voor Admin-gebruikers blijven ondersteunen, aangezien het aanmeldingsscherm een optie heeft om zich lokaal aan te melden:

screen_shot_2018-09-18at121056am

Op IMS gebaseerde aanmelding ims-based-login

Voor andere gebruikers kan de op IMS gebaseerde aanmelding worden gebruikt zodra IMS in de instantie is geconfigureerd. De gebruiker klikt eerst op de knop Aanmelden met Adobe knop zoals hieronder weergegeven:

image2018-9-18_0-10-32

Vervolgens worden ze omgeleid naar het IMS-aanmeldingsscherm en voeren ze hun referenties in:

screen_shot_2018-09-17at115629pm

Als een federatieve IDP tijdens de eerste installatie van de Admin Console wordt geconfigureerd, wordt de gebruiker omgeleid naar de klant-IDP voor SSO.

IDP is Okta in het volgende voorbeeld:

screen_shot_2018-09-17at115734pm

Nadat de verificatie is voltooid, wordt de gebruiker teruggeleid naar AEM en aangemeld:

screen_shot_2018-09-18at120124am

Bestaande gebruikers migreren migrating-existing-users

Voor bestaande AEM instanties die een andere verificatiemethode gebruiken en nu naar IMS worden gemigreerd, moet er een migratiestap zijn.

Bestaande gebruikers in de AEM opslagplaats (lokaal, via LDAP of SAML) kunnen worden gemigreerd om naar IMS te verwijzen als de IDP met behulp van het Hulpprogramma voor gebruikersmigratie.

Dit hulpprogramma wordt door uw AMS-team uitgevoerd als onderdeel van IMS-provisioning.

Het beheren van Toestemmingen en ACLs in AEM managing-permissions-and-acls-in-aem

Toegangsbeheer en toegangsrechten blijven in AEM worden beheerd, dit kan worden bereikt door scheiding van Gebruikersgroepen die afkomstig zijn van IMS (bijvoorbeeld AEM-GRP-008 in het onderstaande voorbeeld) en lokale groepen waar de machtigingen en toegangsbeheer zijn gedefinieerd. De gebruikersgroepen die van IMS worden gesynchroniseerd kunnen aan lokale groepen worden toegewezen en de toestemmingen erven.

In het onderstaande voorbeeld voegen we gesynchroniseerde groepen toe aan de lokale Dam_Users-groep.

Hier, is een gebruiker ook toegewezen aan een paar groepen in de Admin Console. (Let op: gebruikers en groepen kunnen via LDAP worden gesynchroniseerd met het programma voor gebruikerssynchronisatie of ze kunnen lokaal worden gemaakt. Zie de sectie Gebruikers aan boord nemen van de Admin Console hierboven).

NOTE
Gebruikersgroepen worden alleen gesynchroniseerd wanneer de gebruikers zich aanmelden bij de instantie.

screen_shot_2018-09-17at94207pm

De gebruiker maakt deel uit van de volgende groepen in IMS:

screen_shot_2018-09-17at94237pm

Wanneer de gebruiker zich aanmeldt, worden diens groepslidmaatschappen gesynchroniseerd zoals hieronder weergegeven:

screen_shot_2018-09-17at94033pm

AEM kunnen de gebruikersgroepen die via IMS zijn gesynchroniseerd, als leden worden toegevoegd aan bestaande lokale groepen, bijvoorbeeld DAM-gebruikers.

screen_shot_2018-09-17at95804pm

Zoals hieronder getoond, de groep AEM-GRP_008 erft de toestemmingen en de Bevoegdheden van Gebruikers DAM. Dit is een effectieve manier om machtigingen voor gesynchroniseerde groepen te beheren en wordt ook veel gebruikt in LDAP-gebaseerde verificatiemethoden.

screen_shot_2018-09-17at110505pm

recommendation-more-help
5ce3024a-cbea-458b-8b2f-f9b8dda516e8