Notez que cette fonctionnalité n’est disponible que pour les clients Adobe Managed Services.
AEM 6.4.3.0 introduit la prise en charge Admin Console des instances AEM et de l’Adobe d’authentification basée sur le système IMS(Identity Management System) pour les clients AEM Managed Services.
L'intégration AEM à Admin Console permet aux clients d'AEM Managed Services de gérer tous les utilisateurs Experience Cloud dans une seule console. Les utilisateurs et les groupes peuvent être affectés à des profils de produits associés à des instances AEM, ce qui leur permet de se connecter à une instance spécifique.
L’authentification IMS fonctionne en utilisant le protocole OAuth entre AEM et le point de terminaison Adobe IMS. Une fois qu’un utilisateur a été ajouté à IMS et possède une identité Adobe, il peut se connecter aux instances AEM Managed Services à l’aide des informations d’identification IMS.
Le flux d’identifiant de connexion utilisateur est indiqué ci-dessous, l’utilisateur sera redirigé vers IMS et éventuellement vers le fournisseur d’identité client pour la validation SSO, puis redirigé vers AEM.
L'intégration du client à Admin Console est une condition préalable à l'utilisation de l'Adobe IMS pour l'authentification AEM.
Pour commencer, une organisation doit être configurée pour les clients dans Adobe IMS. Les clients Adobe Enterprise sont représentés en tant qu’organisations IMS dans Adobe Admin Console.
AEM clients Managed Services doivent déjà disposer d'une organisation configurée et, dans le cadre de l'approvisionnement IMS, les instances de client seront mises à disposition dans le Admin Console pour la gestion des droits d'utilisateur et de l'accès.
L’authentification des utilisateurs par IMS sera un travail commun à AMS et les clients, chacun devant mener à bien ses workflows.
Une fois qu’un client est défini en tant qu’organisation IMS et qu’AMS a attribué ce client pour l’IMS, voici, en résumé, les workflows de la configuration nécessaires :
Pour plus d’informations sur les bases de la gestion des identités dans Adobe, y compris sur la configuration de fournisseur d’identité, voir l’article présenté sur cette page.
Pour plus d'informations sur l'administration d'entreprise et Admin Console consultez l'article cette page.
Il existe trois méthodes d’intégration des utilisateurs en fonction de la taille du client et de ses préférences :
Les utilisateurs et les groupes peuvent être créés manuellement dans l'interface utilisateur Admin Console. Cette méthode peut être utilisée s’il y a un nombre réduit d’utilisateurs à gérer. Par exemple, moins de 50 utilisateurs d’AEM.
Les utilisateurs peuvent aussi être créés manuellement si le client utilise déjà cette méthode pour administrer d’autres produits Adobe comme Analytics, Target ou des applications Creative Cloud.
Pour gérer facilement la création d’utilisateurs, un fichier CSV peut être téléchargé pour permettre l’ajout groupé des utilisateurs :
L’outil de synchronisation des utilisateurs permet aux clients d’entreprise de créer ou de gérer des utilisateurs Adobe utilisant Active Directory ou d’autres services testés de répertoires OpenLDAP. Les utilisateurs cibles sont les administrateurs d’identité informatique (Enterprise Directory et administrateurs système) qui pourront installer et configurer l’outil. Cet outil en open source est personnalisable, de telle sorte que les clients peuvent le faire modifier par un développeur en fonction de leurs besoins spécifiques.
Lorsque User Sync s’exécute, il récupère une liste d’utilisateurs du Principal Directory de l’entreprise (ou de toute autre source de données compatible) et la compare à la liste d’utilisateurs dans Admin Console. Il appelle ensuite l’API d’Adobe User Management afin que Admin Console soit synchronisé avec l’annuaire de l’organisation. Le flux de changement est entièrement à sens unique ; les modifications effectuées dans Admin Console ne sont pas répercutées dans le répertoire.
L’outil permet à l’administrateur système de mapper les groupes d’utilisateurs du répertoire du client avec la configuration du produit et les groupes d’utilisateurs dans Admin Console. La nouvelle version UST permet également la création dynamique de groupes d’utilisateurs dans le Admin Console.
Pour configurer la synchronisation des utilisateurs, l’organisation doit créer un ensemble d’informations d’identification de la même manière qu’avec l’User Management API .
La synchronisation des utilisateurs est distribuée via le référentiel Adobe Github à cet emplacement :
https://github.com/adobe-apiplatform/user-sync.py/releases/latest
Notez qu’une version préliminaire 2.4RC1 est disponible avec la prise en charge de la création de groupe dynamique et se trouve ici : https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
Les principales fonctionnalités de cette version sont la possibilité de mapper dynamiquement de nouveaux groupes LDAP pour l’adhésion des utilisateurs dans Admin Console, ainsi que la création de groupes d’utilisateurs dynamiques.
Vous trouverez plus d’informations sur les nouvelles fonctionnalités du groupe ici :
https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration
Pour plus d’informations sur l’outil de synchronisation des utilisateurs, consultez la page de documentation.
L’outil de synchronisation des utilisateurs doit s’enregistrer en tant qu’UMAPI client d’Adobe I/O en suivant la procédure décrite ici.
La documentation relative à la console Adobe I/O est disponible ici.
L'API User Management utilisée par l'outil de synchronisation des utilisateurs est traitée à cet emplacement.
La configuration IMS d’AEM sera gérée par l’équipe Adobe Managed Services. Cependant, l’administrateur du client peut la modifier en fonction de ses besoins (par exemple, pour gérer l’appartenance automatique des groupes ou le mappage de groupes). Le client IMS sera également enregistré par votre équipe Managed Services.
Lorsque l’administrateur de produit du client se connecte à Admin Console, plusieurs instances du contexte de produit Managed Services AEM s’affichent, comme illustré ci-dessous :
Dans cet exemple, l’organisation AEM-MS-Onboard comporte 32 instances couvrant différents environnements et topologies tels que Intermédiaire, Production, etc.
Les détails de l’instance peuvent être vérifiés pour identifier celle-ci :
Un profil de produit est associé à chaque instance de contexte du produit. Ce profil de produit est utilisé pour attribuer l’accès aux utilisateurs et aux groupes.
Tous les utilisateurs et groupes ajoutés au profil de produit pourront se connecter à cette instance, comme illustré dans l’exemple ci-dessous :
AEM peut continuer à prendre en charge les connexions locales pour les utilisateurs administrateurs, puisque l’écran de connexion dispose d’une option de connexion locale :
Pour les autres utilisateurs, la connexion via IMS peut être utilisée une fois qu’IMS est configuré sur l’instance. L’utilisateur doit d’abord cliquer sur le bouton Se connecter avec Adobe comme illustré ci-dessous :
Il est alors redirigé vers l’écran de connexion IMS et saisit ses informations d’identification :
Si un fournisseur d’identité fédérée est configuré lors de la configuration initiale de Admin Console, l’utilisateur sera redirigé vers le fournisseur d’identité du client pour l’authentification unique.
Le fournisseur d’identité est Okta dans l’exemple ci-dessous :
Une fois l’authentification terminée, l’utilisateur est redirigé vers AEM et connecté :
Pour les instances AEM existantes qui utilisent une autre méthode d’authentification et qui sont désormais migrées vers IMS, une étape de migration est nécessaire.
Les utilisateurs existants dans le référentiel AEM (provenant localement, via LDAP ou SAML) peuvent être migrés pour pointer vers IMS en tant que IDP à l’aide de l’utilitaire de migration d’utilisateur.
Cet utilitaire sera exécuté par votre équipe AMS dans le cadre de la mise en service de l’IMS.
Le contrôle d'accès et les autorisations continueront d’être gérés en AEM, ce qui peut se faire en séparant les groupes d’utilisateurs des IMS (par exemple AEM-GRP-008 dans l’exemple ci-dessous) et des groupes locaux où les autorisations et le contrôle d'accès sont définis. Les groupes d’utilisateurs synchronisés à partir de l’IMS peuvent être attribués aux groupes locaux et hériter des autorisations.
Dans l’exemple ci-dessous, nous ajoutons des groupes synchronisés au groupe local Dam_Users comme exemple.
Ici, un utilisateur a également été affecté à quelques groupes dans le Admin Console. ( Notez que les utilisateurs et les groupes peuvent être synchronisés à partir du protocole LDAP à l'aide de l'outil de synchronisation des utilisateurs ou créés localement, consultez la section Intégration d'utilisateurs àAdmin Console ci-dessus).
*Notez que les groupes d’utilisateurs ne sont synchronisés que lorsque les utilisateurs se connectent à l’instance, pour les clients qui ont un grand nombre d’utilisateurs et de groupes, un utilitaire de synchronisation de groupes peut être exécuté par AMS pour prérécupérer les groupes pour la gestion des contrôles d'accès et des autorisations décrite ci-dessus.
L’utilisateur fait partie des groupes suivants dans IMS :
Lorsque l’utilisateur se connecte, ses adhésions de groupes sont synchronisées, comme illustré ci-dessous :
Dans AEM, les groupes d’utilisateurs synchronisés à partir de l’IMS peuvent être ajoutés en tant que membres aux groupes locaux existants, par exemple aux utilisateurs DAM.
Comme illustré ci-dessous, le groupe AEM-GRP_008 hérite des autorisations et droits des utilisateurs DAM. C’est un moyen efficace de gérer des autorisations pour les groupes synchronisés. Il est généralement utilisé dans les méthodes d’authentification par LDAP.