Adobe IMS認証と Admin Console AEM Managed Servicesのサポート

メモ

この機能は、Adobe Managed Services のお客様にのみご利用いただけます。

メモ

AEMは、現在、プロファイルへのグループの割り当てをサポートしていません。 代わりに、ユーザーは個別に追加する必要があります。

はじめに

AEM 6.4.3.0 では、AEMインスタンスとAdobe IMS(Identity Managementシステム ) ベースの認証を Admin Console サポートし、AEM Managed Services のお客様に対して提供しています。

AEMが Admin Console にオンボーディングすると、AEM Managed Servicesのお客様は、すべてのExperience Cloudユーザーを 1 つのコンソールで管理できます。 ユーザーとグループをAEMインスタンスに関連付けられた製品プロファイルに割り当てて、特定のインスタンスにログインできます。

主なハイライト

  • AEM の IMS 認証サポートは、AEM 作成者、管理者、または開発者のみを対象としており、サイト訪問者のような顧客サイトの外部エンドユーザーを対象としていません。
  • Admin Console は、AEM Managed Servicesのお客様を IMS 組織として表し、インスタンスを製品コンテキストとして表します。 顧客システムおよび製品管理者は、インスタンスへのアクセスを管理できるようになります。
  • AEM Managed Servicesは顧客トポロジを Admin Console と同期します。 Admin Console には、インスタンスごとにAEM Managed Services製品コンテキストのインスタンスが 1 つ存在します。
  • Admin Console の製品プロファイルは、ユーザーがアクセスできるインスタンスを決定します
  • お客様独自の SAML 2 準拠の ID プロバイダーを使用したフェデレーテッド認証がサポートされています。
  • 個人用の Adobe ID ではなく、エンタープライズ ID またはフェデレーデッド ID(お客様のシングルサインオン用)のみがサポートされます。
  • User Management (Adobe Admin Console内 ) は、引き続き顧客管理者が所有します。

アーキテクチャ

IMS 認証は、AEM と Adobe IMS エンドポイントの間で OAuth プロトコルを使用して機能します。ユーザーが IMS に追加され、Adobe Identity を持つようになると、IMS 資格情報を使用して AEM Managed Services インスタンスにログインできます。

ユーザーログインフローを以下に示します。ユーザーは IMS にリダイレクトされ、オプションで SSO 検証のためにカスタマー IDP にリダイレクトされてから、AEM にリダイレクトされます。

image2018-9-23_23-55-8

設定方法

組織の Admin Console へのオンボーディング

お客様が Admin Console にオンボーディングすることは、AEM認証にAdobe IMSを使用するための前提条件です。

最初のステップとして、Adobe IMS に組織をプロビジョニングする必要があります。Adobeの企業のお客様は、Adobe Admin Console では IMS 組織として表されます。

AEM Managed Servicesのお客様は、既に組織がプロビジョニングされている必要があり、IMS プロビジョニングの一環として、顧客インスタンスを Admin Console で使用して、ユーザーの使用権限とアクセスを管理できます。

ユーザー認証のための IMS への移行は、AMS とお客様の共同作業となり、それぞれがワークフローを完了させます。

顧客が IMS 組織として存在し、AMS が顧客の IMS へのプロビジョニングを完了したら、次のような設定ワークフローを実行する必要があります。

image2018-9-23_23-33-25

  1. 指定されたシステム管理者が、Admin Console にログインするための招待を受け取ります
  2. システム管理者は、ドメインの所有権を確認するためにドメインを要求する(この例では acme.com)
  3. システム管理者はユーザーディレクトリを設定する
  4. システム管理者は、SSO 設定用に Admin Console で ID プロバイダー (IDP) を設定します。
  5. AEM 管理者は、通常どおりローカルグループ、権限、および特権を管理する。ユーザーとグループの同期を参照してください。
メモ

IDP 設定を含む Adobe Identity Management Basics の詳細については、このページの記事を参照してください。

Enterprise Administration と Admin Console の詳細については、 このページ を参照してください。

Admin Console へのユーザーのオンボーディング

お客様の規模と好みに応じて、ユーザーをオンボードする方法は 3 つあります。

  1. Admin Console でユーザーとグループを手動で作成する
  2. ユーザーと一緒に CSV ファイルをアップロードする
  3. お客様のエンタープライズ Active Directory からユーザーとグループを同期する

Admin Console UI による手動追加

ユーザーとグループは、Admin Console UI で手動で作成できます。 この方法は、管理するユーザー数が多くない場合に使用できます。(例:AEM ユーザーが 50 人未満の場合)

Analytics、Target、Creative Cloud などの他の Adobe 製品を管理するためにすでにこの方法を使用している場合は、ユーザーを手動で作成することもできます。

image2018-9-23_20-39-9

Admin Console UI でのファイルアップロード

ユーザー作成を簡単に処理するには、CSV ファイルをアップロードしてまとめて追加します。

image2018-9-23_18-59-57

ユーザー同期ツール

ユーザー同期ツール(UST)は、Active Directory または他のテスト済み OpenLDAP ディレクトリサービスを利用して、Adobe ユーザーを作成または管理することができます。対象ユーザーは、このツールをインストールおよび設定できる IT ID 管理者(エンタープライズディレクトリとシステムの管理者)です。オープンソースツールはカスタマイズ可能であるため、顧客は特定の要件に合うように開発者に修正させることができます。

ユーザー同期を実行すると、組織の Active Directory(または互換性のあるその他のデータソース)からユーザーのリストを取得し、Admin Console 内のユーザーのリストと比較します。 次に、AdobeUser Management API を呼び出して、Admin Console を組織のディレクトリと同期します。 変更フローは完全に一方向です。Admin Console で行われた編集は、ディレクトリにプッシュされません。

このツールを使用すると、システム管理者は顧客のディレクトリ内のユーザーグループを Admin Console 内の製品設定とユーザーグループにマッピングできます。新しい UST バージョンでは、 Admin Console 内にユーザーグループを動的に作成することもできます。

ユーザー同期を設定するには、User Management API を使用する場合と同様に、組織が一連の資格情報を作成する必要があります。

image2018-9-23_13-36-56

ユーザー同期は、次の場所にある Adobe Github リポジトリを介して配布されます。

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

プレリリースバージョンの 2.4RC1 は、動的グループ作成のサポートで利用でき、次の場所にあります。https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

このリリースの主な機能は、Admin Console のユーザーメンバーシップに合わせて新しい LDAP グループを動的にマッピングする機能と、動的なユーザーグループの作成です。

新しいグループ機能の詳細については、次を参照してください。

https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration

メモ

ユーザー同期ツールの詳細については、ドキュメントページを参照してください。

ユーザー同期ツールは、ここに説明されている手順を使用して、Adobe I/O クライアント UMAPI として登録する必要があります。

Adobe I/O コンソールのドキュメントはここを参照してください。

ユーザー同期ツールで使用される User Management API については、この 場所 を参照してください。

メモ

AEM IMS の設定は、Adobe Managed Services チームによって処理されます。ただし、お客様の管理者は必要に応じて変更することができます(例えば、自動グループメンバーシップやグループマッピングなど)。IMS クライアントは、ご自身の Managed Services チームによっても登録されます。

使用方法

Admin Console での製品とユーザーアクセスの管理

お客様の製品管理者が Admin Console にログインすると、次に示すように、AEM Managed Services製品コンテキストの複数のインスタンスが表示されます。

screen_shot_2018-09-17at105804pm

この例では、AEM-MS-Onboard 組織は、Stage、Prod など、さまざまなトポロジと環境にまたがる 32 のインスタンスがあります。

screen_shot_2018-09-17at105517pm

詳細を確認してインスタンスを識別できます。

screen_shot_2018-09-17at105601pm

各製品コンテキストインスタンスの下に、関連付けられた製品プロファイルがあります。この製品プロファイルは、ユーザーおよびグループにアクセス権を割り当てるために使用されます。

image2018-9-18_7-48-50

この製品プロファイルの下に追加されたすべてのユーザーおよびグループは、以下の例に示すように、そのインスタンスにログインできます。

screen_shot_2018-09-17at105623pm

AEM へのログイン

ローカル管理者ログイン

AEM では引き続き、管理ユーザーのローカルログインをサポートし、ログイン画面にはローカルでログインするオプションがあります。

screen_shot_2018-09-18at121056am

IMS ベースのログイン

他のユーザーの場合は、IMS がインスタンスに設定された後に、IMS ベースのログインを使用できます。ユーザーはまず、下に示すように、「Sign in with Adobe」ボタンをクリックします。

image2018-9-18_0-10-32

その後、ユーザーは IMS ログイン画面にリダイレクトされ、資格情報を入力します。

screen_shot_2018-09-17at115629pm

初回の Admin Console 設定時にフェデレーテッド IDP が設定されると、SSO 用のお客様の IDP にリダイレクトされます。

以下の例では、IDP は Okta です。

screen_shot_2018-09-17at115734pm

認証が完了すると、ユーザーは AEM にリダイレクトされてログインします。

screen_shot_2018-09-18at120124am

既存ユーザーの移行

別の認証方式を使用していて、現在 IMS に移行されている既存の AEM インスタンスの場合、移行手順が必要です。

AEMリポジトリ内の既存のユーザー(LDAP または SAML 経由でローカルに作成)は、ユーザー移行ユーティリティを使用して、IDP として IMS を指すように移行できます。

このユーティリティは、IMS プロビジョニングの一部として AMS チームによって実行されます。

AEM での権限と ACL の管理

アクセス制御と権限は、引き続きAEMで管理されます。これをおこなうには、IMS から取得したユーザーグループ ( 以下の例ではAEM-GRP-008) と、権限とアクセス制御が定義されたローカルグループを分離します。 IMS から同期されたユーザーグループは、ローカルグループに割り当てられ、権限を継承することができます。

以下の例では、同期グループをローカル Dam_Users グループに追加しています。

ここでは、ユーザーは Admin Console 内のいくつかのグループに割り当てられています。 (ユーザーとグループは、ユーザー同期ツールを使用して LDAP から同期することも、ローカルで作成することもできます。前述の Admin Console へのユーザーのオンボーディングの節を参照してください)。

メモ

ユーザーグループは、ユーザーがインスタンスにログインした場合にのみ同期されます。

screen_shot_2018-09-17at94207pm

ユーザーは、IMS の以下のグループの一部です。

screen_shot_2018-09-17at94237pm

ユーザーがログインすると、以下に示すように、グループメンバーシップが同期されます。

screen_shot_2018-09-17at94033pm

AEM では、IMS から同期されたユーザーグループを既存のローカルグループ(DAM ユーザーなど)にメンバーとして追加できます。

screen_shot_2018-09-17at95804pm

以下に示すように、グループ AEM-GRP_008 は DAM ユーザーの権限と特権を継承します。これは同期されたグループに対する権限を管理する効果的な方法であり、LDAP ベースの認証方法でも一般的に使用されています。

screen_shot_2018-09-17at110505pm

このページ