Unterstützung der Adobe IMS-Authentifizierung und der Admin Console für AEM Managed Services adobe-ims-authentication-and-admin-console-support-for-aem-managed-services

NOTE
Diese Funktion ist nur für Adobe Managed Services-Kunden verfügbar.

Einführung introduction

AEM 6.4.3.0 führt die Unterstützung der Admin Console für AEM-Instanzen und Adobe IMS-basierte Authentifizierung (Identity Management-System) für Kundinnen und Kunden von AEM Managed Services ein.

Durch das AEM-Onboarding für die Admin Console kann Kundschaft von AEM Managed Services alle Experience Cloud-Benutzerinnen und -Benutzer in einer Konsole verwalten. Benutzerinnen und Benutzer können Produktprofilen zugeordnet werden, die mit AEM-Instanzen verknüpft sind, sodass sie sich bei einer bestimmten Instanz anmelden können.

Wichtige Highlights key-highlights

  • AEM IMS-Authentifizierungsunterstützung ist nur für AEM Autoren, Administratoren oder Entwickler gedacht, nicht für externe Endbenutzer der Kunden-Site wie Site-Besucher.
  • Die Admin Console zeigt Kundinnen und Kunden von AEM Managed Services als „IMS-Organisationen“ und ihre Instanzen als „Produktkontexte“ an. Kundensystem- und Produktadmins können den Zugriff auf Instanzen verwalten.
  • AEM Managed Services synchronisiert Kundentopologien mit der Admin Console. In der Admin Console ist pro Instanz eine AEM Managed Services-Produktkontext-Instanz vorhanden.
  • Produktprofile in der Admin Console legen fest, auf welche Instanzen Benutzerinnen und Benutzer zugreifen können.
  • Federated Authentication über den SAML 2-konformen Identitäts-Provider der Kundin bzw. des Kunden wird unterstützt
  • Es werden nur Enterprise IDs oder Federated IDs (für Single-Sign-on von Kunden) unterstützt, nicht personenbezogene Adobe-IDs.
  • User Management (in der Adobe Admin Console) ist weiterhin Aufgabe der Kundenadmins.

Architektur architecture

Die IMS-Authentifizierung funktioniert über das OAuth-Protokoll zwischen AEM und dem Adobe IMS-Endpunkt. Wenn Benutzer zu IMS hinzugefügt wurden und eine Adobe ID haben, können sie sich mit den IMS-Anmeldeinformationen bei AEM Managed Services-Instanzen anmelden.

Die Schritte zur Benutzeranmeldung werden unten gezeigt. Die Benutzenden werden zu IMS und optional zum Kunden-IDP für die SSO-Validierung und anschließend zurück zu AEM weitergeleitet.

image2018-9-23_23-55-8

Einrichtung how-to-set-up

Onboarding von Organisationen in der Admin Console onboarding-organizations-to-admin-console

Das Onboarding von Kundschaft in der Admin Console ist eine Voraussetzung für die Verwendung von Adobe IMS zur AEM-Authentifizierung.

Als ersten Schritt sollte Kundschaft eine Organisation in Adobe IMS bereitstellen. Adobe Enterprise-Kundschaft wird in der Adobe Admin Console als IMS-Organisation angezeigt.

Für AEM Managed Services-Kundschaft sollte bereits eine Organisation bereitgestellt sein. Im Rahmen der IMS-Bereitstellung werden die Kundeninstanzen zur Verwaltung der Benutzerberechtigungen und -zugriffe in der Admin Console bereitgestellt.

Der Wechsel zu IMS zur Benutzerauthentifizierung ist eine gemeinsame Maßnahme zwischen AMS und Kunden, wobei jede Seite eigene Workflows abschließen muss.

Sobald ein Kunde als „IMS-Organisation“ existiert und AMS die Bereitstellung des Kunden für IMS abgeschlossen hat, lautet die Zusammenfassung der erforderlichen Konfigurationsschritte wie folgt:

image2018-9-23_23-33-25

  1. Der festgelegte Systemadmin erhält eine Einladung zur Anmeldung bei der Admin Console
  2. Die Systemadministrator beansprucht die Domain, um die Eigentümerschaft der Domain zu bestätigen (in diesem Beispiel acme.com).
  3. Systemadmins richten die Benutzerverzeichnisse ein.
  4. Der Systemadmin konfiguriert den Identitätsanbieter (IDP) in der Admin Console, um SSO einzurichten.
  5. Der AEM Administrator verwaltet die lokalen Gruppen, Berechtigungen und Berechtigungen wie gewohnt. Siehe „Benutzer- und Gruppensynchronisierung“.
NOTE
Weitere Informationen zu den Grundlagen zur Identitätsverwaltung von Adobe, einschließlich der IDP-Konfiguration, finden Sie auf dieser Seite.
Weitere Informationen zur Verwaltung für Unternehmen und zur Admin Console finden Sie im Artikel auf dieser Seite.

Onboarding von Benutzerinnen und Benutzern in der Admin Console onboarding-users-to-the-admin-console

Je nach der Größe des Kunden und den bevorzugten Einstellungen gibt es drei Möglichkeiten, Benutzerinnen und Benutzer hinzuzufügen:

  1. Manuelles Erstellen von Benutzenden und Gruppen in der Admin Console
  2. Hochladen einer CSV-Datei mit Benutzenden
  3. Synchronisieren Sie Benutzende und Gruppen im Active Directory des Unternehmens der Kundin bzw. des Kunden.

Manuelles Hinzufügen über die Admin Console-Benutzeroberfläche manual-addition-through-admin-console-ui

Benutzerinnen und Benutzer sowie Gruppen können manuell in der Admin Console-Benutzeroberfläche erstellt werden. Diese Methode kann verwendet werden, wenn nicht viele Benutzer zu verwalten sind. Beispielsweise weniger als 50 AEM Benutzer.

Benutzer können auch manuell erstellt werden, wenn der Kunde diese Methode bereits zur Verwaltung anderer Adobe-Produkte wie Adobe Analytics-, Adobe Target- oder Adobe Creative Cloud-Anwendungen verwendet.

image2018-9-23_20-39-9

Datei-Upload über die Admin Console-Benutzeroberfläche file-upload-in-the-admin-console-ui

Zur einfachen Handhabung der Benutzererstellung können Sie eine CSV-Datei hochladen, um eine große Anzahl von Benutzenden hinzuzufügen:

image2018-9-23_18-59-57

Tool zur Benutzersynchronisierung user-sync-tool

Mit dem Tool zur Benutzersynchronisierung (kurz UST) können Unternehmenskunden Adobe-Benutzer erstellen oder verwalten, die Active Directory oder andere getestete OpenLDAP-Verzeichnisdienste verwenden. Die Zielbenutzenden sind IT-Identitätsadmins (Enterprise-Verzeichnis- oder Systemadmins), die das Tool installieren und konfigurieren können. Das Open-Source-Tool ist anpassbar, sodass ein Entwickler es an seine eigenen Anforderungen anpassen kann.

Wenn die Benutzersynchronisierung ausgeführt wird, ruft das Tool eine Liste der Benutzenden aus dem Active Directory des Unternehmens (oder einer anderen kompatiblen Datenquelle) ab und vergleicht sie mit der Liste der Benutzenden in der Admin Console. Anschließend ruft es die Adobe User Management-API auf, damit die Admin Console mit dem Verzeichnis der Organisation synchronisiert wird. Der Änderungsfluss ist nur eine Möglichkeit; alle Änderungen, die in der Admin Console werden nicht in das Verzeichnis verschoben.

Mit dem Tool können Systemadmins Benutzergruppen im Verzeichnis der Kundschaft Produktkonfigurationen und Benutzergruppen in der Admin Console zuordnen. Die neue UST-Version ermöglicht außerdem die dynamische Erstellung von Benutzergruppen in der Admin Console.

Um die Benutzersynchronisierung einzurichten, muss die Organisation Anmeldeinformationen erstellen. Die Schritte hierfür sind dieselben wie bei der User Management -API.

image2018-9-23_13-36-56

Die Benutzersynchronisierung steht über das Adobe Github-Repository an diesem Speicherort zur Verfügung:

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

Hinweis: Eine Pre-Release-Version 2.4RC1 mit Unterstützung für dynamische Gruppenerstellung steht hier zur Verfügung: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

Die Hauptfunktionen dieser Version sind die Möglichkeit, neue LDAP-Gruppen für die Benutzermitgliedschaft in der Admin Consoleund der Erstellung einer dynamischen Benutzergruppe.

Weitere Informationen zu den neuen Gruppenfunktionen finden Sie hier:

https://adobe-apiplatform.github.io/user-sync.py/en/user-manual/advanced_configuration.html#additional-group-options

NOTE
Weitere Informationen zum Tool zur Benutzersynchronisierung finden Sie in der Dokumentationsseite.
Das User Sync Tool muss mit dem hier beschriebenen Verfahren als Adobe I/O-Client-UMAPI registriert werden.
Die Dokumentation zur Adobe I/O-Konsole finden Sie hier.
Die User Management-API, die vom User Sync Tool verwendet wird, wird hier erläutert.
NOTE
Die AEM IMS-Konfiguration wird vom Adobe Managed Services-Team vorgenommen. Der Kundenadministrator kann sie jedoch gemäß seinen Anforderungen ändern (z. B. automatische Gruppenmitgliedschaft oder Gruppenzuordnung). Der IMS-Client wird auch von Ihrem Managed Services-Team registriert.

Verwendung how-to-use

Verwalten von Produkten und Benutzerzugriff in der Admin Console managing-products-and-user-access-in-admin-console

Wenn sich Produktadmins der Kundschaft bei der Admin Console anmelden, sehen sie, wie unten gezeigt, mehrere Instanzen des AEM Managed Services-Produktkontexts:

screen_shot_2018-09-17at105804pm

In diesem Beispiel wird die AEM-MS-Onboard verfügt über 32 Instanzen, die verschiedene Topologien und Umgebungen wie Staging, Produktion usw. umfassen.

screen_shot_2018-09-17at105517pm

Sie können die Instanzdetails überprüfen, um die Instanz zu identifizieren:

screen_shot_2018-09-17at105601pm

Unter jeder Produktkontextinstanz ist ein zugehöriges Produktprofil vorhanden. Dieses Produktprofil wird zum Zuweisen der Zugriffsrechte für Benutzende verwendet.

image2018-9-18_7-48-50

Alle unter diesem Produktprofil hinzugefügten Benutzenden können sich bei dieser Instanz anmelden, wie im folgenden Beispiel gezeigt:

screen_shot_2018-09-17at105623pm

Anmelden bei AEM logging-into-aem

Lokale Adminanmeldung local-admin-login

AEM kann lokale Anmeldungen für Admins weiterhin unterstützen. Der Anmeldebildschirm bietet eine Option zur lokalen Anmeldung:

screen_shot_2018-09-18at121056am

IMS-basierte Anmeldung ims-based-login

Für andere Benutzende kann die IMS-basierte Anmeldung verwendet werden, sobald IMS für die Instanz konfiguriert wurde. Der Benutzer klickt zuerst auf Anmelden mit Adobe wie unten gezeigt:

image2018-9-18_0-10-32

Anschließend werden sie zum IMS-Anmeldebildschirm weitergeleitet und geben ihre Anmeldeinformationen ein:

screen_shot_2018-09-17at115629pm

Wenn während der Ersteinrichtung der Admin Console Federated IDP konfiguriert wurde, werden Benutzerinnen und Benutzer zur einmaligen Anmeldung zum Kunden-IDP weitergeleitet.

Im folgenden Beispiel ist Okta der IDP:

screen_shot_2018-09-17at115734pm

Sobald die Authentifizierung abgeschlossen ist, wird die Benutzerin bzw. der Benutzer zurück zu AEM weitergeleitet und angemeldet:

screen_shot_2018-09-18at120124am

Migrieren von vorhandenen Benutzenden migrating-existing-users

Für bestehende AEM-Instanzen, die eine andere Authentifizierungsmethode verwenden und jetzt auf IMS migriert werden, muss ein Migrationsschritt durchgeführt werden.

Vorhandene Benutzerinnen und Benutzer im AEM-Repository (lokal über LDAP oder SAML hinzugefügt) können mit dem User Migration Utility migriert werden, damit sie auf IMS als IDP verweisen.

Dieses Dienstprogramm wird von Ihrem AMS-Team im Rahmen der IMS-Bereitstellung ausgeführt.

Verwalten von Berechtigungen und ACLs in AEM managing-permissions-and-acls-in-aem

Zugriffskontrolle und Berechtigungen werden weiterhin in AEM verwaltet. Dies kann durch die Trennung von Benutzergruppen aus IMS (im Beispiel unten AEM-GRP-008 ) und lokalen Gruppen erreicht werden, in denen die Berechtigungen und Zugriffssteuerung definiert sind. Die von IMS synchronisierten Benutzergruppen können lokalen Gruppen zugewiesen werden und die Berechtigungen erben.

Im Beispiel unten werden der lokalen Gruppe Dam_Users synchronisierte Gruppen hinzugefügt.

Hier wurde ein Benutzer in der Admin Console auch einigen Gruppen zugewiesen. (Die Benutzer und Gruppen können mit dem Benutzersynchronisierungstool aus LDAP synchronisiert oder lokal erstellt werden. Siehe Onboarding von Benutzern zumAdmin Console früher).

NOTE
Benutzergruppen werden nur synchronisiert, wenn sich Benutzerinnen und Benutzer bei der Instanz anmelden.

screen_shot_2018-09-17at94207pm

Die Benutzerin bzw. der Benutzer ist Teil der folgenden Gruppen in IMS:

screen_shot_2018-09-17at94237pm

Wenn sich die Benutzerin bzw. der Benutzer anmeldet, werden die Gruppenmitgliedschaften wie unten dargestellt synchronisiert:

screen_shot_2018-09-17at94033pm

In AEM können die mit IMS synchronisierten Benutzergruppen als Mitglieder zu vorhandenen lokalen Gruppen hinzugefügt werden, z. B. DAM-Benutzer.

screen_shot_2018-09-17at95804pm

Wie unten gezeigt, erbt die Gruppe AEM-GRP_008 die Berechtigungen und Zugriffsrechte von DAM-Benutzenden. Dies ist eine effektive Möglichkeit zur Verwaltung von Berechtigungen für synchronisierte Gruppen und wird häufig auch bei LDAP-basierten Authentifizierungsmethoden verwendet.

screen_shot_2018-09-17at110505pm

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2