请注意,此功能仅适用于Adobe Managed Services客户。
AEM 6.4.3.0引入了对AEM实例和基于Adobe IMS(Identity Management系统)的身份验证的Admin Console支持,以便 AEM Managed Services 客户。
AEMAdmin Console入门允许AEM Managed Services客户在一个控制台中管理所有Experience Cloud用户。 可以将用户和组分配到与AEM实例关联的产品配置文件,从而允许他们登录到特定实例。
IMS身份验证通过在AEM和Adobe IMS端点之间使用OAuth协议来工作。 将用户添加到 IMS 并拥有 Adobe 身份后,他们便可以使用 IMS 凭证登录到 AEM Managed Services 实例。
下面显示了用户登录流程,用户将被重定向到IMS,并(可选)重定向到客户IDP以进行SSO验证,然后重定向回AEM。
Admin Console的客户载入是使用Adobe IMS进行AEM身份验证的先决条件。
第一步,客户应在Adobe IMS中设置组织。 Adobe企业客户在 Adobe Admin Console.
AEM Managed Services客户应已设置组织,作为IMS设置的一部分,客户实例将在Admin Console中提供,用于管理用户权限和访问权限。
迁移到IMS以进行用户身份验证是AMS与客户共同努力的结果,每个客户都需要完成其工作流。
客户作为IMS组织存在,并且AMS完成了为IMS配置客户的过程后,以下是所需配置工作流的摘要:
根据客户的规模和偏好,可通过三种方式载入用户:
可以在 Admin Console UI 中手动创建用户和组。如果要管理的用户数量不多,则可以使用此方法。 例如,少于50个AEM用户。
如果客户已使用此方法管理其他Adobe产品(如Analytics、Target或Creative Cloud应用程序),则也可以手动创建用户。
为便于创建用户,可以上传CSV文件以批量添加用户:
用户同步工具(简称UST)使企业客户能够利用Active Directory或其他经测试的OpenLDAP目录服务创建或管理Adobe用户。 目标用户是IT身份管理员(企业目录和系统管理员),他们将能够安装和配置该工具。 开源工具是可自定义的,以便客户可以让开发人员对其进行修改以符合他们自己的特定要求。
当用户同步运行时,它会从组织的Active Directory(或任何其他兼容的数据源)中获取用户列表,并将其与Admin Console中的用户列表进行比较。 然后,它会调用 Adobe 用户管理 API,以便将 Admin Console 与组织的目录同步。变更流程完全是单向的;在Admin Console中所做的任何编辑都不会推送到目录。
该工具允许系统管理员将客户目录中的用户组与Admin Console中的产品配置和用户组进行映射,新的UST版本还允许在Admin Console中动态创建用户组。
要设置用户同步,组织需要创建一组凭证,其方式与使用用户管理 API 的方式相同。
用户同步通过位于以下位置的AdobeGithub存储库分发:
https://github.com/adobe-apiplatform/user-sync.py/releases/latest
请注意,支持创建动态组的预发行版本2.4RC1可用,该版本可在此处找到: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
此版本的主要功能是能够动态映射新的 LDAP 组以在 Admin Console 中获得用户成员资格,以及动态创建用户组。
有关新组功能的更多信息,请参阅此处:
https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration
AEM IMS配置将由Adobe托管服务团队处理。 但是,客户管理员可以根据其要求(例如,自动组成员资格或组映射)对其进行修改。 IMS客户端也将由您的Managed Services团队进行注册。
当客户产品管理员登录到Admin Console时,他们将看到AEM Managed Services产品上下文的多个实例,如下所示:
在此示例中,组织 AEM-MS-Onboard 具有32个实例,这些实例跨不同的拓扑和环境,如暂存、生产等。
可以检查实例详细信息以标识实例:
在每个产品上下文实例下,将有一个关联的产品配置文件。 此产品配置文件用于为用户和组分配访问权限。
在此产品配置文件下添加的任何用户和组都将能够登录到该实例,如以下示例所示:
AEM可以继续支持管理员用户的本地登录,因为登录屏幕具有本地登录选项:
对于其他用户,只需在实例上配置 IMS 即可使用基于 IMS 的登录。用户将首先单击 使用Adobe登录 按钮,如下所示:
随后,他们将被重定向到IMS登录屏幕并输入其凭据:
如果在初始Admin Console设置期间配置了联合IDP,则用户将被重定向到用于SSO的客户IDP。
以下示例中的IDP为Okta:
身份验证完成后,用户将被重定向回 AEM 并登录:
对于使用其他身份验证方法且当前正在迁移到IMS的现有AEM实例,需要执行迁移步骤。
可以使用用户迁移实用程序迁移AEM存储库(通过本地、LDAP或SAML)中的现有用户,以指向IMS作为IDP。
此实用程序将由您的AMS团队作为IMS配置的一部分运行。
访问控制和权限将继续在AEM中进行管理,这可以通过将来自IMS的用户组(例如以下示例中的AEM-GRP-008)与定义权限和访问控制的本地组分离来实现。 可以将从IMS同步的用户组分配给本地组并继承权限。
在以下示例中,我们将同步的组作为示例添加到本地 Dam_Users 组。
在本例中,还为Admin Console中的几个组分配了用户。 (请注意,用户和组可以使用用户同步工具从LDAP同步,也可以在本地创建,请参阅部分 将用户载入Admin Console )。
只有当用户登录到实例时,才会同步用户组。
用户是 IMS 中以下组的一部分:
用户登录时,会同步其组成员资格,如下所示:
在AEM中,可以将从IMS同步的用户组作为成员添加到现有的本地组,如DAM用户。
如下所示,组 AEM-GRP_008 会继承DAM用户的权限。 这是管理已同步组权限的有效方法,也常用于基于LDAP的身份验证方法。