autenticazione IMS Adobe e Admin Console supporto per AEM Managed Services

NOTA

Questa funzione è disponibile solo per i clienti di Adobe Managed Services.

Introduzione

AEM 6.4.3.0 introduce il supporto Admin Console per le istanze AEM e l'autenticazione basata Adobe IMS( Identity Management System) per i clienti AEM Managed Services.

AEM l'accesso a Admin Console consentirà AEM clienti Managed Services di gestire tutti gli utenti Experience Cloud in un'unica console. Gli utenti e i gruppi possono essere assegnati ai profili di prodotto associati alle istanze AEM, consentendo loro di accedere a un'istanza specifica.

Elementi di rilievo

  • AEM supporto dell'autenticazione IMS è solo per autori, amministratori o sviluppatori AEM, non per utenti finali esterni di siti cliente come i visitatori del sito
  • Admin Console rappresenterà AEM clienti Managed Services come organizzazioni IMS e le loro istanze come contesti di prodotto. Gli amministratori di prodotto e di sistema dei clienti potranno gestire l'accesso alle istanze
  • AEM Managed Services sincronizzerà le topologie dei clienti con Admin Console. Nella Admin Console sarà presente un'istanza AEM contesto prodotto Managed Services per istanza.
  • Profili di prodotto in Admin Console determinerà le istanze a cui l'utente può accedere
  • È supportata l'autenticazione federativa tramite provider di identità conformi SAML 2
  • Saranno supportati solo Enterprise ID o Federated ID (per il cliente Single Sign-On), non ID Adobe personali.
  • User Management (nel Adobe Admin Console) continueranno a essere di proprietà degli amministratori cliente.

Architettura

L'autenticazione IMS funziona utilizzando il protocollo OAuth tra AEM e l'endpoint IMS del Adobe . Dopo l’aggiunta a IMS, un utente con identità Adobe può accedere ad AEM Managed Services utilizzando le credenziali IMS.

Il flusso di accesso dell'utente è riportato di seguito, l'utente verrà reindirizzato a IMS e, facoltativamente, all'IDP del cliente per la convalida SSO e quindi reindirizzato nuovamente a AEM.

image2018-9-23_23-55-8

Come impostare

Organizzazione onboarding in Admin Console

L'onboarding del cliente su Admin Console è un prerequisito per utilizzare Adobe IMS per l'autenticazione AEM.

Come primo passo, i clienti devono avere un'organizzazione predisposta in Adobe IMS. clienti Enterprise Adobe sono rappresentati come organizzazioni IMS nel Adobe Admin Console.

AEM clienti Managed Services devono già disporre di un'organizzazione predisposta e, come parte del provisioning IMS, le istanze cliente saranno rese disponibili in Admin Console per la gestione delle adesioni e dell'accesso degli utenti.

Il passaggio a IMS per l'autenticazione degli utenti sarà uno sforzo congiunto tra AMS e i clienti, con ciascuno dei quali i flussi di lavoro saranno completati.

Una volta che un cliente esiste come organizzazione IMS e AMS ha effettuato il provisioning del cliente per IMS, questo è il riepilogo dei flussi di lavoro di configurazione richiesti:

image2018-9-23_23-33-25

  1. L'amministratore di sistema designato riceve un invito ad accedere a Admin Console
  2. L'amministratore di sistema richiede il dominio per confermare la proprietà del dominio (in questo esempio acme.com)
  3. L'amministratore di sistema imposta le directory utente
  4. L'amministratore di sistema configura il provider di identità (IDP) in Admin Console per l'impostazione SSO.
  5. L'amministratore AEM gestisce i gruppi locali, le autorizzazioni e i privilegi come al solito. Consultate Sincronizzazione di utenti e gruppi
NOTA

Per ulteriori informazioni sul Adobe Identity Management Basics, inclusa la configurazione IDP, vedere l'articolo questa pagina.

Per ulteriori informazioni sull'amministrazione Enterprise e Admin Console vedere l'articolo questa pagina.

Onboarding Users to Admin Console

Esistono tre modi per integrare gli utenti a seconda delle dimensioni del cliente e delle loro preferenze:

  1. Creare manualmente utenti e gruppi in Admin Console
  2. Caricare un file CSV con gli utenti
  3. Sincronizzare utenti e gruppi dall'Active Directory aziendale del cliente.

Aggiunta manuale tramite l'interfaccia Admin Console

Utenti e gruppi possono essere creati manualmente nell'interfaccia Admin Console. Questo metodo può essere utilizzato se non dispone di un numero elevato di utenti da gestire. Ad esempio, un numero inferiore a 50 utenti AEM.

Gli utenti possono anche essere creati manualmente se il cliente utilizza già questo metodo per amministrare altri prodotti Adobe come Analytics, Target o applicazioni di Creative Cloud.

image2018-9-23_20-39-9

Caricamento file nell'interfaccia Admin Console

Per semplificare la gestione della creazione di utenti, potete caricare un file CSV per aggiungere utenti in massa:

image2018-9-23_18-59-57

Strumento User Sync

Lo strumento di sincronizzazione utenti (UST in breve) consente ai clienti aziendali di creare o gestire utenti di Adobi che utilizzano Active Directory o altri servizi di directory OpenLDAP testati. Gli utenti di destinazione sono amministratori di identità IT (Enterprise Directory e System Admins) che saranno in grado di installare e configurare lo strumento. Lo strumento open source è personalizzabile in modo che i clienti possano modificarlo in base alle proprie esigenze specifiche.

Durante l'esecuzione della sincronizzazione utenti, recupera un elenco di utenti da Active Directory dell'organizzazione (o da qualsiasi altra origine dati compatibile) e lo confronta con l'elenco di utenti all'interno della Admin Console. Quindi chiama l'API del Adobe User Management in modo che la Admin Console sia sincronizzata con la directory dell'organizzazione. Il flusso di variazione è interamente unidirezionale; eventuali modifiche apportate in Admin Console non vengono inviate alla directory.

Lo strumento consente all'amministratore di sistema di mappare gruppi di utenti nella directory del cliente con configurazione di prodotto e gruppi di utenti in Admin Console, la nuova versione UST consente anche la creazione dinamica di gruppi di utenti in Admin Console.

Per configurare User Sync, l’organizzazione deve creare un set di credenziali in modo analogo a come userebbe l’User Management API .

image2018-9-23_13-36-56

La sincronizzazione degli utenti è distribuita tramite l'archivio di Github Adobe, nel seguente percorso:

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

Una versione precedente alla release 2.4RC1 è disponibile con il supporto per la creazione di gruppi dinamici ed è disponibile qui: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

Le funzioni principali di questa versione sono la possibilità di mappare dinamicamente i nuovi gruppi LDAP per l'iscrizione degli utenti in Admin Console, nonché la creazione di gruppi di utenti dinamici.

Ulteriori informazioni sulle nuove funzioni del gruppo sono disponibili qui:

https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration

NOTA

Per ulteriori informazioni sullo strumento di sincronizzazione degli utenti, consultare la pagina della documentazione.

Lo strumento di sincronizzazione utenti deve registrarsi come client Adobe I/O UMAPI utilizzando la procedura descritta qui.

La documentazione relativa console Adobe I/O è disponibile qui.

L'API User Management utilizzata dallo strumento di sincronizzazione degli utenti è coperta in questa posizione.

NOTA

La configurazione IMS AEM sarà gestita dal team Adobe Managed Services. Tuttavia, l'amministratore del cliente può modificarlo in base alle proprie esigenze (ad esempio, Appartenenza automatica al gruppo o Mappatura del gruppo). Il client IMS verrà registrato anche dal team Managed Services.

Guida all’uso

Gestione di prodotti e accesso utente in Admin Console

Quando l'amministratore del prodotto cliente accede a Admin Console, visualizzeranno più istanze del contesto AEM prodotto Managed Services come illustrato di seguito:

screen_shot_2018-09-17at105804pm

In questo esempio, l'organizzazione AEM-MS-Onboard ha 32 istanze che si estendono su topologie e ambienti diversi come Stage, Prod, ecc.

screen_shot_2018-09-17at105517pm

I dettagli dell’istanza possono essere verificati per identificare l’istanza:

screen_shot_2018-09-17at105601pm

In ogni istanza Contesto prodotto, sarà associato un profilo di prodotto. Questo profilo di prodotto viene utilizzato per assegnare l'accesso a utenti e gruppi.

image2018-9-18_7-48-50

Tutti gli utenti e i gruppi aggiunti sotto questo profilo di prodotto potranno accedere a tale istanza come mostrato nell'esempio seguente:

screen_shot_2018-09-17at105623pm

Accesso a AEM

Login amministratore locale

AEM continuare a supportare gli accessi locali per gli utenti Admin, poiché la schermata di accesso dispone di un'opzione per accedere localmente:

screen_shot_2018-09-18at121056am

Accesso basato su IMS

Per altri utenti, è possibile utilizzare l’accesso basato su IMS dopo che IMS è stato configurato per l’istanza. L'utente farà clic sul pulsante Accedi con Adobe come mostrato di seguito:

image2018-9-18_0-10-32

Vengono quindi reindirizzati alla schermata di accesso IMS e immettono le proprie credenziali:

screen_shot_2018-09-17at115629pm

Se durante la configurazione iniziale di Admin Console è configurato un IDP federato, l'utente verrà reindirizzato all'IDP del cliente per SSO.

L'IDP è Okta nell'esempio seguente:

screen_shot_2018-09-17at15734pm

Una volta completata l’autenticazione, l’utente verrà reindirizzato ad AEM per eseguire l’accesso:

screen_shot_2018-09-18at120124am

Migrazione degli utenti esistenti

Per le istanze di AEM esistenti che utilizzano un altro metodo di autenticazione e che ora vengono trasferite a IMS, è necessario effettuare una migrazione.

Gli utenti esistenti nell'archivio AEM (originati localmente, tramite LDAP o SAML) possono essere migrati a IMS come IDP utilizzando l'Utilità di migrazione degli utenti.

Questa utility verrà eseguita dal team AMS come parte del provisioning IMS.

Gestione delle autorizzazioni e degli ACL in AEM

Il controllo degli accessi e le autorizzazioni continueranno a essere gestiti in AEM, ciò può essere ottenuto separando i gruppi di utenti provenienti da IMS (ad es. AEM-GRP-008 nell'esempio seguente) e i gruppi locali in cui sono definite le autorizzazioni e il controllo degli accessi. I gruppi di utenti sincronizzati da IMS possono essere assegnati a gruppi locali e ereditare le autorizzazioni.

Nell’esempio seguente, ad esempio, i gruppi sincronizzati vengono aggiunti al gruppo Dam_Users locale.

In questo caso, un utente è stato anche assegnato ad alcuni gruppi nella cartella Admin Console. ( Gli utenti e i gruppi possono essere sincronizzati da LDAP utilizzando lo strumento di sincronizzazione degli utenti o creati localmente. Consultate la sezione Utenti onboarding sulAdmin Console precedente).

*Si noti che i gruppi di utenti vengono sincronizzati solo quando gli utenti accedono all'istanza, per i clienti che hanno un numero elevato di utenti e gruppi, AMS può eseguire un'utility di sincronizzazione di gruppo per preacquisire i gruppi per il controllo degli accessi e la gestione delle autorizzazioni descritte in precedenza.

screen_shot_2018-09-17at94207pm

L’utente fa parte dei seguenti gruppi in IMS:

screen_shot_2018-09-17at94237pm

Quando l’utente esegue l’accesso, le iscrizioni ai gruppi vengono sincronizzate, come illustrato di seguito:

screen_shot_2018-09-17at94033pm

In AEM, i gruppi di utenti sincronizzati da IMS possono essere aggiunti come membri a gruppi locali esistenti, ad esempio Utenti DAM.

screen_shot_2018-09-17at95804pm

Come mostrato di seguito, il gruppo AEM-GRP_008 eredita le autorizzazioni e i privilegi degli utenti DAM. Questo è un modo efficace per gestire le autorizzazioni per i gruppi sincronizzati ed è comunemente utilizzato anche nei metodi di autenticazione basati su LDAP.

screen_shot_2018-09-17at110505pm

In questa pagina