Adobe IMS对AEM Managed Services的身份验证和Admin Console支持

简介

AEM 6.4.3.0为​AEM Managed Services​客户引入了对AEM实例和基于Adobe IMS(Identity Management系统)的身份验证的Admin Console支持。

AEM登入Admin Console将允许AEM Managed Services客户在一个控制台中管理所有Experience Cloud用户。 可以将用户和用户组分配给与AEM实例关联的产品用户档案，允许他们登录到特定实例。

主要亮点

• AEM IMS身份验证支持仅针对AEM作者、管理员或开发人员，不针对客户站点(如站点访客)的外部最终用户
• 该Admin Console将AEM Managed Services客户表示为IMS组织，其实例表示为产品上下文。 客户系统和产品管理员将能够管理对实例的访问
• AEM Managed Services将将客户拓扑与Admin Console同步。 Admin Console中每个实例将有一个AEM Managed Services Product Context实例。
• Admin Console中的产品用户档案将决定用户可以访问的实例
• 支持使用客户自己的符合SAML 2的标识提供者的联合身份验证
• 仅支持Enterprise ID或Federated ID（用于客户单点登录），不支持个人AdobeID。
• 用户管理(在Adobe Admin Console中)将继续归客户管理员所有。

架构

IMS身份验证是通过在AEM和Adobe IMS端点之间使用OAuth协议来工作的。 将用户添加到 IMS 并拥有 Adobe 身份后，他们便可以使用 IMS 凭证登录到 AEM Managed Services 实例。

用户登录流如下所示，用户将被重定向到IMS，并可选地被重定向到客户IDP以进行SSO验证，然后被重定向回AEM。

如何设置

将组织载入 Admin Console

Admin Console是使用Adobe IMS进行AEM身份验证的先决条件。

作为第一步，客户应在Adobe IMS中设置组织。 Adobe Enterprise客户在Adobe Admin Console中表示为IMS组织。

AEM Managed Services客户应已设置了组织，作为IMS设置的一部分，将在管理用户权利和访问权限的Admin Console中提供客户实例。

迁移到IMS进行用户身份验证将是AMS和客户之间的共同努力，每个客户都有工作流完成。

一旦客户作为IMS组织存在，并且AMS完成了为IMS为客户设置，这就是所需配置工作流的摘要：

1. 指定的系统管理员收到登录Admin Console的邀请
2. 系统管理员声明域以确认域的所有权（在此示例中为acme.com）
3. 系统管理员设置用户目录
4. 系统管理员在SSO设置Admin Console中配置标识提供者(IDP)。
5. AEM管理员照常管理本地组、权限和权限。 请参阅用户和组同步

将用户加入Admin Console

根据客户的规模及其偏好，有三种登录用户的方法：

1. 在Admin Console中手动创建用户和用户组
2. 上传包含用户的CSV文件
3. 从客户的企业Active Directory同步用户和用户组。

通过 Admin Console UI 手动添加

可以在 Admin Console UI 中手动创建用户和组。如果用户数量不多，则可以使用此方法。 例如，少于50个AEM用户。

如果客户已经使用此方法管理其他Adobe产品(如Analytics、目标或Creative Cloud应用程序)，则还可以手动创建用户。

在Admin ConsoleUI中上载文件

为了轻松处理用户创建，可以上传CSV文件以批量添加用户：

用户同步工具

用户同步工具（简称UST）使企业客户能够利用Active Directory或其他经测试的OpenLDAP目录服务创建或管理Adobe用户。 目标用户是IT身份管理员（企业目录和系统管理员），他们将能够安装和配置该工具。 开放源工具是可自定义的，因此客户可以让开发人员修改它以满足他们自己的特定要求。

当用户同步运行时，它会从组织的Active Directory（或任何其他兼容的数据源）中获取一列表用户，并将其与Admin Console内用户的列表进行比较。 然后，它会调用 Adobe 用户管理 API，以便将 Admin Console 与组织的目录同步。改变的流程完全是单向的；在Admin Console中所做的任何编辑不会推送到目录。

此工具允许系统管理员将客户目录中的用户组与Admin Console中的产品配置和用户组映射，新的UST版本还允许在Admin Console中动态创建用户组。

要设置用户同步，组织需要创建一组凭证，其方式与使用用户管理 API 的方式相同。

User Sync通过Adobe Github存储库分发，位于以下位置：

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

请注意，预发行版2.4RC1支持动态组创建，可在以下位置找到：https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

此版本的主要功能是能够动态映射新的 LDAP 组以在 Admin Console 中获得用户成员资格，以及动态创建用户组。

有关新组功能的更多信息，请访问：

https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration

使用方法

在 Admin Console 中管理产品和用户访问权限

当客户产品管理员登录到Admin Console时，他们将看到AEM Managed Services产品上下文的多个实例，如下所示：

在此示例中，组织​AEM-MS-Onboard​有32个实例，这些实例跨不同的拓扑和环境，如Stage、Prod等。

可以检查实例详细信息以标识实例：

在每个Product Context实例下，都会有一个关联的Product用户档案。 此产品用户档案用于向用户和组分配访问权限。

在本产品用户档案下添加的任何用户和用户组都将能够登录到该实例，如下例所示：

登录AEM

本地管理员登录

AEM可以继续支持管理员用户的本地登录，因为登录屏幕具有在本地登录的选项：

基于 IMS 的登录

对于其他用户，只需在实例上配置 IMS 即可使用基于 IMS 的登录。用户将首先单击​使用Adobe​登录按钮，如下所示：

然后，他们将被重定向到IMS登录屏幕并输入其凭据：

如果在初始Admin Console设置期间配置了联合IDP，则会将用户重定向到客户IDP以进行SSO。

IDP为Okta，如下例所示：

身份验证完成后，用户将被重定向回 AEM 并登录：

迁移现有用户

对于使用其他身份验证方法并正在迁移到IMS的现有AEM实例，需要执行迁移步骤。

AEM存储库（通过LDAP或SAML在本地源）中的现有用户可以通过“用户迁移实用程序”迁移到IMS作为IDP。

此实用程序将由您的AMS团队作为IMS设置的一部分运行。

管理AEM中的权限和ACL

访问控制和权限将继续在AEM中进行管理，这可以通过将来自IMS的用户组(例如下例中的AEM-GRP-008)与定义权限和访问控制的本地组分开来实现。 可以将从IMS同步的用户组分配给本地组并继承权限。

在以下示例中，我们将同步的组作为示例添加到本地 Dam_Users 组。

此处，还为Admin Console中的几个用户组分配了用户。 (请注意，用户和用户组可以使用用户同步工具从LDAP同步或在本地创建，请参阅上面的Admin Console 入门用户部分)。

用户是 IMS 中以下组的一部分：

用户登录时，会同步其组成员资格，如下所示：

在AEM中，从IMS同步的用户组可以作为成员添加到现有的本地组，例如DAM用户。

如下所示，组​AEM-GRP_008​继承了DAM用户的权限和权限。 这是管理已同步组权限的有效方式，也常用于基于LDAP的身份验证方法。