Questa funzione è disponibile solo per i clienti di Adobe Managed Services.
AEM 6.4.3.0 introduce il supporto Admin Console per le istanze AEM e l'autenticazione basata Adobe IMS( Identity Management System) per i clienti AEM Managed Services.
AEM l'accesso a Admin Console consentirà AEM clienti Managed Services di gestire tutti gli utenti Experience Cloud in un'unica console. Gli utenti e i gruppi possono essere assegnati ai profili di prodotto associati alle istanze AEM, consentendo loro di accedere a un'istanza specifica.
L'autenticazione IMS funziona utilizzando il protocollo OAuth tra AEM e l'endpoint IMS del Adobe . Dopo l’aggiunta a IMS, un utente con identità Adobe può accedere ad AEM Managed Services utilizzando le credenziali IMS.
Il flusso di accesso dell'utente è riportato di seguito, l'utente verrà reindirizzato a IMS e, facoltativamente, all'IDP del cliente per la convalida SSO e quindi reindirizzato nuovamente a AEM.
L'onboarding del cliente su Admin Console è un prerequisito per utilizzare Adobe IMS per l'autenticazione AEM.
Come primo passo, i clienti devono avere un'organizzazione predisposta in Adobe IMS. clienti Enterprise Adobe sono rappresentati come organizzazioni IMS nel Adobe Admin Console.
AEM clienti Managed Services devono già disporre di un'organizzazione predisposta e, come parte del provisioning IMS, le istanze cliente saranno rese disponibili in Admin Console per la gestione delle adesioni e dell'accesso degli utenti.
Il passaggio a IMS per l'autenticazione degli utenti sarà uno sforzo congiunto tra AMS e i clienti, con ciascuno dei quali i flussi di lavoro saranno completati.
Una volta che un cliente esiste come organizzazione IMS e AMS ha effettuato il provisioning del cliente per IMS, questo è il riepilogo dei flussi di lavoro di configurazione richiesti:
Per ulteriori informazioni sul Adobe Identity Management Basics, inclusa la configurazione IDP, vedere l'articolo questa pagina.
Per ulteriori informazioni sull'amministrazione Enterprise e Admin Console vedere l'articolo questa pagina.
Esistono tre modi per integrare gli utenti a seconda delle dimensioni del cliente e delle loro preferenze:
Utenti e gruppi possono essere creati manualmente nell'interfaccia Admin Console. Questo metodo può essere utilizzato se non dispone di un numero elevato di utenti da gestire. Ad esempio, un numero inferiore a 50 utenti AEM.
Gli utenti possono anche essere creati manualmente se il cliente utilizza già questo metodo per amministrare altri prodotti Adobe come Analytics, Target o applicazioni di Creative Cloud.
Per semplificare la gestione della creazione di utenti, potete caricare un file CSV per aggiungere utenti in massa:
Lo strumento di sincronizzazione utenti (UST in breve) consente ai clienti aziendali di creare o gestire utenti di Adobi che utilizzano Active Directory o altri servizi di directory OpenLDAP testati. Gli utenti di destinazione sono amministratori di identità IT (Enterprise Directory e System Admins) che saranno in grado di installare e configurare lo strumento. Lo strumento open source è personalizzabile in modo che i clienti possano modificarlo in base alle proprie esigenze specifiche.
Durante l'esecuzione della sincronizzazione utenti, recupera un elenco di utenti da Active Directory dell'organizzazione (o da qualsiasi altra origine dati compatibile) e lo confronta con l'elenco di utenti all'interno della Admin Console. Quindi chiama l'API del Adobe User Management in modo che la Admin Console sia sincronizzata con la directory dell'organizzazione. Il flusso di variazione è interamente unidirezionale; eventuali modifiche apportate in Admin Console non vengono inviate alla directory.
Lo strumento consente all'amministratore di sistema di mappare gruppi di utenti nella directory del cliente con configurazione di prodotto e gruppi di utenti in Admin Console, la nuova versione UST consente anche la creazione dinamica di gruppi di utenti in Admin Console.
Per configurare User Sync, l’organizzazione deve creare un set di credenziali in modo analogo a come userebbe l’User Management API .
La sincronizzazione degli utenti è distribuita tramite l'archivio di Github Adobe, nel seguente percorso:
https://github.com/adobe-apiplatform/user-sync.py/releases/latest
Una versione precedente alla release 2.4RC1 è disponibile con il supporto per la creazione di gruppi dinamici ed è disponibile qui: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
Le funzioni principali di questa versione sono la possibilità di mappare dinamicamente i nuovi gruppi LDAP per l'iscrizione degli utenti in Admin Console, nonché la creazione di gruppi di utenti dinamici.
Ulteriori informazioni sulle nuove funzioni del gruppo sono disponibili qui:
https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration
Per ulteriori informazioni sullo strumento di sincronizzazione degli utenti, consultare la pagina della documentazione.
Lo strumento di sincronizzazione utenti deve registrarsi come client Adobe I/O UMAPI utilizzando la procedura descritta qui.
La documentazione relativa console Adobe I/O è disponibile qui.
L'API User Management utilizzata dallo strumento di sincronizzazione degli utenti è coperta in questa posizione.
La configurazione IMS AEM sarà gestita dal team Adobe Managed Services. Tuttavia, l'amministratore del cliente può modificarlo in base alle proprie esigenze (ad esempio, Appartenenza automatica al gruppo o Mappatura del gruppo). Il client IMS verrà registrato anche dal team Managed Services.
Quando l'amministratore del prodotto cliente accede a Admin Console, visualizzeranno più istanze del contesto AEM prodotto Managed Services come illustrato di seguito:
In questo esempio, l'organizzazione AEM-MS-Onboard ha 32 istanze che si estendono su topologie e ambienti diversi come Stage, Prod, ecc.
I dettagli dell’istanza possono essere verificati per identificare l’istanza:
In ogni istanza Contesto prodotto, sarà associato un profilo di prodotto. Questo profilo di prodotto viene utilizzato per assegnare l'accesso a utenti e gruppi.
Tutti gli utenti e i gruppi aggiunti sotto questo profilo di prodotto potranno accedere a tale istanza come mostrato nell'esempio seguente:
AEM continuare a supportare gli accessi locali per gli utenti Admin, poiché la schermata di accesso dispone di un'opzione per accedere localmente:
Per altri utenti, è possibile utilizzare l’accesso basato su IMS dopo che IMS è stato configurato per l’istanza. L'utente farà clic sul pulsante Accedi con Adobe come mostrato di seguito:
Vengono quindi reindirizzati alla schermata di accesso IMS e immettono le proprie credenziali:
Se durante la configurazione iniziale di Admin Console è configurato un IDP federato, l'utente verrà reindirizzato all'IDP del cliente per SSO.
L'IDP è Okta nell'esempio seguente:
Una volta completata l’autenticazione, l’utente verrà reindirizzato ad AEM per eseguire l’accesso:
Per le istanze di AEM esistenti che utilizzano un altro metodo di autenticazione e che ora vengono trasferite a IMS, è necessario effettuare una migrazione.
Gli utenti esistenti nell'archivio AEM (originati localmente, tramite LDAP o SAML) possono essere migrati a IMS come IDP utilizzando l'Utilità di migrazione degli utenti.
Questa utility verrà eseguita dal team AMS come parte del provisioning IMS.
Il controllo degli accessi e le autorizzazioni continueranno a essere gestiti in AEM, ciò può essere ottenuto separando i gruppi di utenti provenienti da IMS (ad es. AEM-GRP-008 nell'esempio seguente) e i gruppi locali in cui sono definite le autorizzazioni e il controllo degli accessi. I gruppi di utenti sincronizzati da IMS possono essere assegnati a gruppi locali e ereditare le autorizzazioni.
Nell’esempio seguente, ad esempio, i gruppi sincronizzati vengono aggiunti al gruppo Dam_Users locale.
In questo caso, un utente è stato anche assegnato ad alcuni gruppi nella cartella Admin Console. ( Gli utenti e i gruppi possono essere sincronizzati da LDAP utilizzando lo strumento di sincronizzazione degli utenti o creati localmente. Consultate la sezione Utenti onboarding sulAdmin Console precedente).
*Si noti che i gruppi di utenti vengono sincronizzati solo quando gli utenti accedono all'istanza, per i clienti che hanno un numero elevato di utenti e gruppi, AMS può eseguire un'utility di sincronizzazione di gruppo per preacquisire i gruppi per il controllo degli accessi e la gestione delle autorizzazioni descritte in precedenza.
L’utente fa parte dei seguenti gruppi in IMS:
Quando l’utente esegue l’accesso, le iscrizioni ai gruppi vengono sincronizzate, come illustrato di seguito:
In AEM, i gruppi di utenti sincronizzati da IMS possono essere aggiunti come membri a gruppi locali esistenti, ad esempio Utenti DAM.
Come mostrato di seguito, il gruppo AEM-GRP_008 eredita le autorizzazioni e i privilegi degli utenti DAM. Questo è un modo efficace per gestire le autorizzazioni per i gruppi sincronizzati ed è comunemente utilizzato anche nei metodi di autenticazione basati su LDAP.