Adobe IMS-Authentifizierung und Admin Console Unterstützung für AEM Managed Services

HINWEIS

Beachten Sie, dass diese Funktion nur für Kunden von Adobe Managed Services verfügbar ist.

HINWEIS

AEM unterstützt derzeit nicht die Zuweisung von Gruppen zu Profilen. Benutzer sollten stattdessen einzeln hinzugefügt werden.

Einführung

AEM 6.4.3.0 führt Admin Console Unterstützung für AEM Instanzen und Adobe IMS(Identity Management System)-basierte Authentifizierung für AEM Managed Services-Kunden ein.

AEM Onboarding bei Admin Console ermöglicht es AEM Managed Services-Kunden, alle Experience Cloud-Benutzer in einer Konsole zu verwalten. Benutzer und Gruppen können Produktprofilen zugewiesen werden, die mit AEM Instanzen verknüpft sind, sodass sie sich bei einer bestimmten Instanz anmelden können.

Wichtige Highlights

  • Die Unterstützung der AEM-IMS-Authentifizierung wird nur für AEM-Autoren, Administratoren oder Entwickler unterstützt, nicht für externe Endbenutzer der Kunden-Site (z. B. Site-Besucher).
  • Der Admin Console repräsentiert AEM Managed Services-Kunden als IMS-Organisationen und ihre Instanzen als Produktkontexte. Kundensystem- und Produktadministratoren können den Zugriff auf Instanzen verwalten.
  • AEM Managed Services synchronisiert Kundentopologien mit der Admin Console. Es wird eine Instanz AEM Managed Services-Produktkontexts pro Instanz im Admin Console geben.
  • Produktprofile in Admin Console bestimmen, auf welche Instanzen ein Benutzer zugreifen kann.
  • Federated Authentication über den SAML 2-konformen Identitäts-Provider des Kunden wird unterstützt.
  • Nur Enterprise IDs oder Federated IDs (für Single Sign-On beim Kunden) werden unterstützt, jedoch keine persönlichen Adobe IDs.
  • User Management (in Adobe Admin Console) weiterhin im Eigentum der Kundenadministratoren stehen.

Architektur

Die IMS-Authentifizierung verwendet das OAuth-Protokoll zwischen AEM und dem Adobe IMS-Endpunkt. Wenn Benutzer zu IMS hinzugefügt wurden und eine Adobe ID haben, können sie sich mit den IMS-Anmeldeinformationen bei AEM Managed Services-Instanzen anmelden.

Die Schritte zur Benutzeranmeldung werden unten gezeigt. Der Benutzer wird zu IMS und optional zum Kunden-IDP für die SSO-Validierung und anschließend zurück zu AEM weitergeleitet.

image2018-9-23_23-55-8

Einrichtung

Onboarding von Organisationen zu Admin Console

Das Onboarding von Kunden zu Admin Console ist eine Voraussetzung für die Verwendung von Adobe IMS zur AEM Authentifizierung.

Als ersten Schritt sollten Kunden eine Organisation in Adobe IMS bereitstellen. Adobe Enterprise-Kunden werden in der Adobe Admin Console als IMS-Organisationen dargestellt.

AEM Managed Services-Kunden bereits über eine Organisation verfügen sollten. Im Rahmen der IMS-Bereitstellung werden die Kundeninstanzen im Admin Console bereitgestellt, um Benutzerberechtigungen und -zugriff zu verwalten.

Der Wechsel zu IMS zur Benutzerauthentifizierung ist eine gemeinsame Maßnahme zwischen AMS und Kunden, wobei jede Seite eigene Workflows abschließen muss.

Sobald ein Kunde als „IMS-Organisation“ existiert und AMS die Bereitstellung des Kunden für IMS abgeschlossen hat, lautet die Zusammenfassung der erforderlichen Konfigurationsschritte wie folgt:

image2018-9-23_23-33-25

  1. Der festgelegte Systemadministrator erhält eine Einladung zur Anmeldung bei Admin Console
  2. Die Systemadministrator beansprucht die Domäne, um die Eigentümerschaft der Domäne zu bestätigen (in diesem Beispiel acme.com).
  3. Der Systemadministrator richtet die Benutzerverzeichnisse ein.
  4. Der Systemadministrator konfiguriert den Identitätsanbieter (IDP) im Admin Console für SSO-Setup.
  5. Der AEM-Administrator verwaltet die lokalen Gruppen, Berechtigungen und Zugriffsrechte wie gewohnt. Siehe Benutzer- und Gruppensynchronisierung .
HINWEIS

Weitere Informationen zu den Grundlagen zur Identitätsverwaltung von Adobe, einschließlich der IDP-Konfiguration, finden Sie auf dieser Seite.

Weitere Informationen zur Unternehmensverwaltung und Admin Console finden Sie im Artikel diese Seite.

Onboarding von Benutzern zum Admin Console

Je nach der Größe des Kunden und den bevorzugten Einstellungen gibt es drei Möglichkeiten, Benutzer hinzuzufügen:

  1. Manuelles Erstellen von Benutzern und Gruppen in Admin Console
  2. Hochladen einer CSV-Datei mit Benutzern
  3. Synchronisieren von Benutzern und Gruppen aus dem Active Directory des Kunden

Manuelles Hinzufügen über die Admin Console-Benutzeroberfläche

Benutzer und Gruppen können manuell in der Admin Console -Benutzeroberfläche erstellt werden. Diese Methode kann verwendet werden, wenn nur wenige Benutzer verwaltet werden müssen, z. B. weniger als 50 AEM-Benutzer.

Benutzer können auch manuell erstellt werden, wenn der Kunde diese Methode bereits zur Verwaltung anderer Adobe-Produkte wie Analytics, Target oder Creative Cloud-Applikationen verwendet.

image2018-9-23_20-39-9

Datei-Upload in der Admin Console-Benutzeroberfläche

Zur einfachen Handhabung der Benutzererstellung können Sie eine CSV-Datei hochladen, um eine große Anzahl von Benutzern hinzuzufügen:

image2018-9-23_18-59-57

Tool zur Benutzersynchronisierung

Das Tool zur Benutzersynchronisierung (User Sync Tool, kurz UST) ermöglicht es Unternehmenskunden, Adobe-Benutzer mithilfe von Active Directory und anderen getesteten OpenLDAP-Verzeichnisdiensten zu erstellen und zu verwalten. Die Zielbenutzer sind IT-Identitätsadministratoren (Enterprise-Verzeichnis- und Systemadministratoren), die das Tool installieren und konfigurieren können. Das Open Source-Tool ist anpassbar, sodass Entwickler beim Kunden das Tool an die eigenen Anforderungen anpassen können.

Wenn die Benutzersynchronisierung ausgeführt wird, ruft das Tool eine Liste der Benutzer aus dem Active Directory des Unternehmens (oder einer anderen kompatiblen Datenquelle) ab und vergleicht sie mit der Liste der Benutzer in der Admin Console. Anschließend ruft es die API der Adobe User Management auf, damit das Admin Console mit dem Verzeichnis des Unternehmens synchronisiert wird. Der Änderungsfluss ist vollständig einseitig. alle Änderungen, die im Admin Console vorgenommen werden, werden nicht in das Verzeichnis verschoben.

Das Tool ermöglicht es dem Systemadministrator, Benutzergruppen im Kundenverzeichnis mit der Produktkonfiguration und Benutzergruppen im Verzeichnis Admin Console zuzuordnen. Die neue UST-Version ermöglicht auch die dynamische Erstellung von Benutzergruppen im Verzeichnis Admin Console.

Um die Benutzersynchronisierung einzurichten, muss die Organisation einen Satz von Anmeldeinformationen auf dieselbe Weise erstellen wie die User Management API.

image2018-9-23_13-36-56

Das zur Benutzersynchronisierung steht über das Adobe Github-Repository an diesem Speicherort zur Verfügung:

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

Beachten Sie, dass eine Vorabversion 2.4RC1 mit Unterstützung für die dynamische Gruppenerstellung verfügbar ist und hier zu finden ist: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

Die Hauptfunktionen dieser Version sind die Möglichkeit, neue LDAP-Gruppen für die Benutzermitgliedschaft in Admin Console dynamisch zuzuordnen und dynamische Benutzergruppen zu erstellen.

Weitere Informationen zu den neuen Gruppenfunktionen finden Sie hier:

https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration

HINWEIS

Weitere Informationen zum User Sync Tool finden Sie auf der Dokumentationsseite.

Das User Sync Tool muss mit dem hier beschriebenen Verfahren als Adobe I/O-Client-UMAPI registriert werden.

Die Dokumentation zur Adobe I/O-Konsole finden Sie hier.

Die User Management-API, die vom Tool zur Benutzersynchronisierung verwendet wird, wird unter location beschrieben.

HINWEIS

Die AEM-IMS-Konfiguration wird vom Adobe Managed Services-Team durchgeführt. Der Kundenadministrator kann sie jedoch gemäß den eigenen Anforderungen ändern (z. B. die automatische Gruppenmitgliedschaft oder die Gruppenzuordnung). Der IMS-Client wird auch von Ihrem Managed Services-Team registriert.

Verwendung

Verwalten von Produkten und Benutzerzugriff in Admin Console

Wenn sich der Produktadministrator des Kunden bei Admin Console anmeldet, sieht er mehrere Instanzen des AEM Managed Services-Produktkontexts wie unten dargestellt:

screen_shot_2018-09-17at105804pm

In diesem Beispiel hat die Organisation AEM-MS-Onboard 32 Instanzen mit unterschiedlichen Topologien und Umgebungen wie Staging, Produktion usw.

screen_shot_2018-09-17at105517pm

Sie können die Instanzdetails überprüfen, um die Instanz zu identifizieren:

screen_shot_2018-09-17at105601pm

Unter jeder Produktkontextinstanz ist ein zugehöriges Produktprofil vorhanden. Dieses Produktprofil wird zum Zuweisen der Zugriffsrechte für Benutzer und Gruppen verwendet.

image2018-9-18_7-48-50

Alle unter diesem Produktprofil hinzugefügten Benutzer und Gruppen können sich wie im Beispiel unten gezeigt bei dieser Instanz anmelden:

screen_shot_2018-09-17at105623pm

Anmelden bei AEM

Lokale Administratoranmeldung

AEM kann lokale Anmeldungen für Administratoren weiterhin unterstützen, da der Anmeldebildschirm eine Option zur lokalen Anmeldung bietet:

screen_shot_2018-09-18at121056am

IMS-basierte Anmeldung

Für andere Benutzer kann die IMS-basierte Anmeldung verwendet werden, sobald IMS für die Instanz konfiguriert wurde. Benutzer klicken wie unten gezeigt auf die Schaltfläche Mit Adobe anmelden:

image2018-9-18_0-10-32

Anschließend werden sie zum IMS-Anmeldebildschirm weitergeleitet und geben ihre Anmeldeinformationen ein:

screen_shot_2018-09-17at115629pm

Wenn während der Ersteinrichtung von Admin Console ein Federated IDP konfiguriert wird, wird der Benutzer zum Kunden-IDP für SSO weitergeleitet.

Im folgenden Beispiel ist Okta der IDP:

screen_shot_2018-09-17at115734pm

Sobald die Authentifizierung abgeschlossen ist, wird der Benutzer zurück zu AEM weitergeleitet und angemeldet:

screen_shot_2018-09-18at120124am

Migrieren vorhandener Benutzer

Für vorhandene AEM-Instanzen, die eine andere Authentifizierungsmethode verwenden und jetzt zu IMS migriert werden, muss ein Migrationsschritt durchgeführt werden.

Vorhandene Benutzer im AEM-Repository (lokal über LDAP oder SAML bezogen) können migriert werden, um mithilfe des User Migration Utility auf IMS als IDP zu verweisen.

Dieses Dienstprogramm wird von Ihrem AMS-Team im Rahmen der IMS-Bereitstellung ausgeführt.

Verwalten von Berechtigungen und ACLs in AEM

Zugriffssteuerung und Zugriffsberechtigungen werden weiterhin in AEM verwaltet. Dies kann mithilfe separater Benutzergruppen aus IMS erreicht werden (z. B. AEM-GRP-008 im Beispiel unten), sowie durch lokale Gruppen, in denen die Berechtigungen und Zugriffsrechte definiert sind. Die von IMS synchronisierten Benutzergruppen können lokalen Gruppen zugewiesen werden und die Berechtigungen erben.

Im Beispiel unten werden der lokalen Gruppe Dam_Users synchronisierte Gruppen hinzugefügt.

Hier wurde ein Benutzer auch einigen Gruppen in Admin Console zugewiesen. ( Bitte beachten Sie, dass die Benutzer und Gruppen mit dem Benutzersynchronisierungstool aus LDAP synchronisiert oder lokal erstellt werden können. Weitere Informationen finden Sie im Abschnitt Onboarding von Benutzern zumAdmin Console oben).

HINWEIS

Benutzergruppen werden nur synchronisiert, wenn sich die Benutzer bei der Instanz anmelden.

screen_shot_2018-09-17at94207pm

Der Benutzer ist Teil der folgenden Gruppen in IMS:

screen_shot_2018-09-17at94237pm

Wenn sich der Benutzer anmeldet, werden die Gruppenmitgliedschaften wie unten dargestellt synchronisiert:

screen_shot_2018-09-17at94033pm

In AEM können die aus IMS synchronisierten Benutzergruppen vorhandenen lokalen Gruppen (z. B. DAM-Benutzern) als Mitglieder hinzugefügt werden.

screen_shot_2018-09-17at95804pm

Wie unten gezeigt, erbt die Gruppe AEM-GRP_008 die Berechtigungen und Zugriffsrechte von DAM-Benutzern. Dies ist eine effektive Möglichkeit zur Verwaltung von Berechtigungen für synchronisierte Gruppen und wird häufig auch in LDAP-basierten Authentifizierungsmethoden verwendet.

screen_shot_2018-09-17at110505pm

Auf dieser Seite