Autenticação do Adobe IMS e suporte do Admin Console para AEM Managed Services adobe-ims-authentication-and-admin-console-support-for-aem-managed-services

CAUTION
AEM 6.4 chegou ao fim do suporte estendido e esta documentação não é mais atualizada. Para obter mais detalhes, consulte nossa períodos de assistência técnica. Encontre as versões compatíveis here.
NOTE
Observe que esse recurso está disponível somente para clientes do Adobe Managed Services.

Introdução introduction

O AEM 6.4.3.0 apresenta suporte Admin Console para instâncias AEM e autenticação baseada no Adobe IMS (Identity Management System) para AEM Managed Services clientes.

AEM integração ao Admin Console permitirá que AEM clientes do Managed Services gerenciem todos os usuários do Experience Cloud em um único console. Usuários e grupos podem ser atribuídos a perfis de produto associados a instâncias de AEM, permitindo que eles façam logon em uma instância específica.

Destaques principais key-highlights

  • AEM o suporte de autenticação IMS é somente para autores, administradores ou desenvolvedores do AEM, não para usuários finais externos de visitantes do site do cliente como visitantes do site
  • O Admin Console representará AEM clientes da Managed Services como Organizações do IMS e suas Instâncias como Contextos do produto. Os administradores de sistema e de produto do cliente poderão gerenciar o acesso às instâncias
  • AEM Managed Services sincronizará as topologias do cliente com o Admin Console. Haverá uma instância do AEM Contexto de Produto Managed Services por Instância no Admin Console.
  • Os perfis de produto no Admin Console determinam quais instâncias um usuário pode acessar
  • A autenticação federada usando provedores de identidade compatíveis com SAML 2 próprios dos clientes é compatível
  • Somente as Enterprise ID ou Federated ID (para logon único do cliente) serão compatíveis, não as IDs de Adobe pessoal.
  • O gerenciamento de usuários (no Adobe Admin Console) continuará sendo de propriedade dos administradores do cliente.

Arquitetura architecture

A autenticação IMS funciona usando o protocolo OAuth entre o AEM e o terminal Adobe IMS. Depois que um usuário é adicionado ao IMS e tem uma Adobe Identity, ele pode fazer logon nas instâncias do AEM Managed Services usando as credenciais do IMS.

O fluxo de logon do usuário é mostrado abaixo. O usuário será redirecionado para o IMS e, opcionalmente, para o IDP do cliente para validação do SSO e redirecionado para o AEM.

image2018-9-23_23-55-8

Como configurar how-to-set-up

Integração de organizações ao Admin Console onboarding-organizations-to-admin-console

A integração do cliente ao Admin Console é um pré-requisito para usar o Adobe IMS para autenticação de AEM.

Como primeira etapa, os clientes devem ter uma Organização provisionada no Adobe IMS. Os clientes do Adobe Enterprise são representados como Organizações do IMS na Adobe Admin Console.

AEM os clientes da Managed Services já devem ter uma organização provisionada e, como parte do provisionamento do IMS, as instâncias do cliente serão disponibilizadas na Admin Console para gerenciar os direitos e o acesso do usuário.

A mudança para o IMS para autenticação de usuário será um esforço conjunto entre o AMS e os clientes, com cada um tendo seus fluxos de trabalho para serem concluídos.

Quando um cliente existe como uma Organização IMS e o AMS é feito com o provisionamento do cliente para IMS, este é o resumo dos workflows de configuração necessários:

image2018-9-23_23-33-25

  1. O Administrador do sistema designado recebe um convite para fazer logon no Admin Console
  2. O administrador do sistema reclama o domínio para confirmar a propriedade do domínio (neste exemplo, acme.com)
  3. O Administrador do sistema configura os Diretórios de usuário
  4. O Administrador do sistema configura o Provedor de identidade (IDP) no Admin Console para configuração do SSO.
  5. O AEM Admin gerencia os grupos locais, permissões e privilégios, como de costume. Consulte Sincronização de usuários e grupos
NOTE
Para obter mais informações sobre as noções básicas do Adobe Identity Management, incluindo a configuração do IDP, consulte o artigo esta página.
Para obter mais informações sobre a Administração corporativa e o Admin Console, consulte o artigo esta página.

Integração de usuários ao Admin Console onboarding-users-to-the-admin-console

Há três maneiras de integrar usuários dependendo do tamanho do cliente e de suas preferências:

  1. Criar usuários e grupos manualmente no Admin Console
  2. Fazer upload de um arquivo CSV com usuários
  3. Sincronize usuários e grupos do Ative Diretory corporativo do cliente.

Adição manual por meio da interface do usuário do Admin Console manual-addition-through-admin-console-ui

Usuários e grupos podem ser criados manualmente na interface do usuário do Admin Console. Esse método pode ser usado se eles não tiverem um grande número de usuários para gerenciar. Por exemplo, um número de usuários com menos de 50 AEM.

Os usuários também podem ser criados manualmente se o cliente já estiver usando esse método para administrar outros produtos do Adobe, como aplicativos do Analytics, Target ou Creative Cloud.

image2018-9-23_20-39-9

Upload de arquivo na interface do usuário do Admin Console file-upload-in-the-admin-console-ui

Para facilitar a criação de usuários, um arquivo CSV pode ser carregado para adicionar usuários em massa:

image2018-9-23_18-59-57

Ferramenta de sincronização de usuários user-sync-tool

A Ferramenta de sincronização de usuários (UST, User Sync Tool) permite que os clientes corporativos criem ou gerenciem usuários do Adobe utilizando o Ative Diretory ou outros serviços de diretório OpenLDAP testados. Os usuários de destino são Administradores de identidade de TI (Diretório corporativo e Administradores do sistema) que poderão instalar e configurar a ferramenta. A ferramenta de código aberto é personalizável para que os clientes possam modificá-la para atender às suas necessidades específicas.

Quando a Sincronização de usuários é executada, ela obtém uma lista de usuários do Diretório ativo da organização (ou qualquer outra fonte de dados compatível) e a compara com a lista de usuários no Admin Console. Em seguida, chama a API de gerenciamento de usuários da Adobe para que o Admin Console seja sincronizado com o diretório da organização. O fluxo de mudanças é totalmente unidirecional; as edições feitas no Admin Console não são enviadas para o diretório.

A ferramenta permite que o administrador do sistema mapeie grupos de usuários no diretório do cliente com a configuração do produto e grupos de usuários no Admin Console, a nova versão UST também permite a criação dinâmica de grupos de usuários no Admin Console.

Para configurar a Sincronização de usuários, a organização precisa criar um conjunto de credenciais da mesma forma que usaria a API de gerenciamento de usuários.

image2018-9-23_13-36-56

A Sincronização de usuários é distribuída pelo repositório do Adobe Github neste local:

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

Observe que uma versão de pré-lançamento 2.4RC1 está disponível com suporte à criação de grupos dinâmicos e pode ser encontrada aqui: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

Os principais recursos desta versão são a capacidade de mapear dinamicamente novos grupos LDAP para associação de usuários no Admin Console, bem como a criação dinâmica de grupos de usuários.

Mais informações sobre os novos recursos do grupo podem ser encontradas aqui:

https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration

NOTE
Para obter mais informações sobre a Ferramenta de sincronização de usuários, consulte o página de documentação.
A Ferramenta de sincronização de usuários precisa se registrar como um UMAPI Adobe I/O client usando o procedimento descrito here.
A Documentação do console do Adobe I/O pode ser encontrada here.
A API de gerenciamento de usuários usada pela Ferramenta de sincronização de usuários é contemplada neste localização.
NOTE
A configuração do AEM IMS será gerenciada pela equipe do Adobe Managed Services. No entanto, o administrador do cliente pode modificá-lo de acordo com seus requisitos (por exemplo, Associação automática de grupo ou Mapeamento de grupo). O cliente IMS também será registrado pela equipe da Managed Services.

Como usar how-to-use

Gerenciamento de produtos e acesso do usuário no Admin Console managing-products-and-user-access-in-admin-console

Quando o Administrador de produto do cliente fizer logon no Admin Console, ele verá várias instâncias do Contexto de produto AEM Managed Services, como mostrado abaixo:

screen_shot_2018-09-17at105804pm

Neste exemplo, a organização AEM-MS-Onboard O tem 32 instâncias que abrangem topologias e ambientes diferentes, como Preparo, Produção etc.

screen_shot_2018-09-17at105517pm

Os detalhes da instância podem ser verificados para identificar a instância:

screen_shot_2018-09-17at105601pm

Em cada instância do Contexto do Produto, haverá um Perfil de Produto associado. Esse perfil de produto é usado para atribuir acesso a usuários e grupos.

image2018-9-18_7-48-50

Todos os usuários e grupos adicionados nesse perfil de produto poderão fazer logon nessa instância, como mostrado no exemplo abaixo:

screen_shot_2018-09-17at105623pm

Logon no AEM logging-into-aem

Logon do administrador local local-admin-login

AEM pode continuar a suportar logons locais para usuários administradores, pois a tela de logon tem uma opção para fazer logon localmente:

screen_shot_2018-09-18at121056am

Logon baseado no IMS ims-based-login

Para outros usuários, o logon baseado no IMS pode ser usado assim que o IMS for configurado na instância. O usuário primeiro clicará no Fazer logon com o Adobe como mostrado abaixo:

image2018-9-18_0-10-32

Eles serão redirecionados para a tela de logon do IMS e inserirão suas credenciais:

screen_shot_2018-09-17at15629pm

Se um IDP federado for configurado durante a instalação inicial do Admin Console, o usuário será redirecionado ao IDP do cliente para SSO.

O IDP é Okta no exemplo abaixo:

screen_shot_2018-09-17at15734pm

Após a conclusão da autenticação, o usuário será redirecionado de volta para o AEM e conectado:

screen_shot_2018-09-18at120124am

Migração de usuários existentes migrating-existing-users

Para instâncias de AEM existentes que estão usando outro método de Autenticação e agora estão sendo migradas para o IMS, é necessário haver uma etapa de migração.

Os usuários existentes no repositório de AEM (originado localmente, via LDAP ou SAML) podem ser migrados para apontar para o IMS como o IDP usando o Utilitário de migração de usuário.

Esse utilitário será executado pela equipe do AMS como parte do provisionamento do IMS.

Gerenciando permissões e ACLs no AEM managing-permissions-and-acls-in-aem

O controle de acesso e as permissões continuarão a ser gerenciados no AEM, isso pode ser feito usando a separação de Grupos de usuários provenientes de IMS (por exemplo, AEM-GRP-008 no exemplo abaixo) e grupos locais onde as permissões e o controle de acesso são definidos. Os grupos de usuários sincronizados do IMS podem ser atribuídos a grupos locais e herdar as permissões.

No exemplo abaixo, adicionamos grupos sincronizados ao grupo local Dam_Users, como exemplo.

Aqui, um usuário também foi atribuído a alguns grupos no Admin Console. ( Observe que os usuários e grupos podem ser sincronizados do LDAP usando a ferramenta de sincronização de usuários ou criados localmente, consulte a seção Integração de usuários ao Admin Console acima).

NOTE
Os grupos de usuários só são sincronizados quando os usuários fazem logon na instância.

screen_shot_2018-09-17at94207pm

O usuário faz parte dos seguintes Grupos no IMS:

screen_shot_2018-09-17at94237pm

Quando o usuário faz logon, as Associações de grupo são sincronizadas, como mostrado abaixo:

screen_shot_2018-09-17at94033pm

No AEM, os grupos de usuários sincronizados do IMS podem ser adicionados como membros a grupos locais existentes, por exemplo, Usuários do DAM.

screen_shot_2018-09-17at95804pm

Como mostrado abaixo, o grupo AEM-GRP_008 herda as Permissões e privilégios dos usuários do DAM. Essa é uma maneira eficaz de gerenciar permissões para grupos sincronizados, além de ser comumente usada em métodos de autenticação baseados em LDAP.

screen_shot_2018-09-17at10505pm

recommendation-more-help
5ce3024a-cbea-458b-8b2f-f9b8dda516e8