- 管理ユーザガイドの概要
- Sites の機能
- 運用
- ダッシュボード
- 操作ダッシュボード
- バックアップと復元
- データストアのガベージコレクション
- JMX コンソールを使用したサーバーリソースの監視
- ログの使用
- AEM 6 での監査ログのメンテナンス
- リッチテキストエディターの設定
- アクセス可能なサイトを生成するための RTE の設定
- ページ編集のための取り消しの設定
- リッチテキストエディタープラグインの設定
- ビデオコンポーネントの設定
- Bulk Editor
- 電子メール通知の設定
- リンクチェッカー
- AEM のトラブルシューティング
- ワークフローへのアクセスの管理
- ワークフローの開始
- ワークフローの管理
- ワークフローインスタンスの管理
- AEM での cURL の使用
- プロキシサーバーツール(proxy.jar)
- AEM アプリケーション用の設定
- 検索フォームの設定
- ツールコンソール
- レポート
- レイアウトコンテナおよびレイアウトモードの設定
- 編集者
- クラシック UI へのアクセスの有効化
- 管理コンソール
- セキュリティ
- ユーザー管理とセキュリティ
- ユーザー、グループおよびアクセス権限の管理
- セキュリティチェックリスト
- OWASP Top 10
- 実稼動準備モードでの AEM の実行
- ID 管理
- AEM Managed Services に対する Adobe IMS 認証およびアドミンコンソールのサポート
- 閉じられたユーザーグループの作成
- AEM でのシリアル化の問題の軽減
- ユーザーの同期
- カプセル化されたトークンのサポート
- シングルサインオン
- AEM でのユーザー管理操作を監査する方法
- デフォルトの SSL
- SAML 2.0 認証ハンドラー
- AEM の閉じられたユーザーグループ
- Granite の操作 - ユーザー管理とグループ管理
- AEM での CRXDE Lite の有効化
- AEM 6 での LDAP の設定
- インストール時の admin パスワードの設定
- AEM のサービスユーザー
- 設定プロパティの暗号化サポート
- AEM の基盤での GDPR 要求の処理
- 権限管理のプリンシパルビュー
- Content Disposition フィルター
- AEM 6.5 のカスタムユーザグループマッピング
- パーソナライゼーション
- e コマース
- 統合
- サードパーティのサービスとの統合
- Salesforce との統合
- Adobe Target との統合
- Adobe Analytics との統合
- Adobe Analytics への接続とフレームワークの作成
- Adobe Analytics のリンクトラッキングの設定
- コンポーネントデータと Adobe Analytics プロパティとのマッピング
- Adobe Analytics のビデオトラッキングの設定
- コンテンツの HTTP/2 配信の FAQ
- Adobe Campaign 統合に関するトラブルシューティング
- SharePoint Connector のライセンス、著作権情報および免責事項
- SharePoint コネクター
- DHTML ビューアのサポート終了に関する FAQ
- Adobe Campaign Classic との統合
- 関連するコミュニティ記事
- Adobe Campaign Standard との統合
- Flash ビューアのサポート終了に関する通知
- 製品フィード
- Adobe Dynamic Tag Management との統合
- Adobe Analytics および Adobe Target との統合のオプトイン
- AEM ポータルとポートレット
- Dynamic Media Classic(Scene7)との統合
- AEM Livefyre のレシピ
- 統合に関する問題のトラブルシューティング
- BrightEdge Content Optimizer との結合
- カタログ作成
- Experience Cloud および Creative Cloud との AEM Assets 統合の設定
- Silverpop Engage との統合
- Adobe Campaign との統合
- ExactTarget との統合
- Analytics と外部プロバイダー
- Adobe Marketing Cloud との統合
- 手動での Adobe Target との統合の設定
- Adobe Target との統合の前提条件
- Adobe I/O を使用した Adobe Target との統合
- Adobe 分類
- Adobe Search&Promote との統合
- ソリューション統合
- エクスペリエンスフラグメントのAdobe Targetへの書き出し
- 電子メールテンプレートのベストプラクティス
- Livefyre との統合
- ベストプラクティス
- コンテンツ管理
AdobeIMS認証とAdmin Console AEMManaged Servicesのサポート
この機能は、Adobe Managed Services のお客様にのみご利用いただけます。
概要
AEM 6.4.3.0では、AEMインスタンスとAdobeIMS(Identity Managementシステム)ベースの認証をAEMManaged Servicesのお客様に対してAdmin Consoleサポートします。
AEM onboarding to Admin Consoleを使用すると、AEMManaged Servicesのお客様は1つのコンソールですべてのExperience Cloudユーザーを管理できます。 ユーザーとグループをAEMインスタンスに関連付けられた製品プロファイルに割り当て、特定のインスタンスにログインできます。
主なハイライト
- AEM の IMS 認証サポートは、AEM 作成者、管理者、または開発者のみを対象としており、サイト訪問者のような顧客サイトの外部エンドユーザーを対象としていません。
- Admin Consoleは、AEMManaged Servicesのお客様をIMS組織として、そのインスタンスを製品コンテキストとして表します。 顧客システムおよび製品管理者は、インスタンスへのアクセスを管理できるようになります。
- AEMManaged Servicesは顧客トポロジをAdmin Consoleと同期します。 Admin Consoleには、インスタンスごとにAEMManaged Services製品コンテキストのインスタンスが1つあります。
- Admin Console内の製品プロファイルは、ユーザーがアクセスできるインスタンスを決定します
- お客様独自の SAML 2 準拠の ID プロバイダーを使用したフェデレーテッド認証がサポートされています。
- 個人用の Adobe ID ではなく、エンタープライズ ID またはフェデレーデッド ID(お客様のシングルサインオン用)のみがサポートされます。
- User Management (Adobe内 Admin Console)は、引き続き顧客の管理者が所有します。
アーキテクチャ
IMS 認証は、AEM と Adobe IMS エンドポイントの間で OAuth プロトコルを使用して機能します。ユーザーが IMS に追加され、Adobe Identity を持つようになると、IMS 資格情報を使用して AEM Managed Services インスタンスにログインできます。
ユーザーログインフローを以下に示します。ユーザーは IMS にリダイレクトされ、オプションで SSO 検証のためにカスタマー IDP にリダイレクトされてから、AEM にリダイレクトされます。
設定方法
組織をAdmin Consoleにオンボーディング
お客様がAdmin Consoleにオンボーディングするのは、AEM認証にAdobeIMSを使用する前提条件です。
最初のステップとして、Adobe IMS に組織をプロビジョニングする必要があります。Adobe Admin Consoleでは、Adobe企業のお客様はIMS組織として表されます。
AEMManaged Servicesのお客様は、既に組織をプロビジョニングしておく必要があります。また、IMSプロビジョニングの一環として、お客様のインスタンスをAdmin Consoleで利用して、ユーザーの権利付与とアクセスを管理できます。
ユーザー認証のための IMS への移行は、AMS とお客様の共同作業となり、それぞれがワークフローを完了させます。
顧客が IMS 組織として存在し、AMS が顧客の IMS へのプロビジョニングを完了したら、次のような設定ワークフローを実行する必要があります。
- 指定されたシステム管理者がAdmin Consoleにログインするための招待を受け取る
- システム管理者は、ドメインの所有権を確認するためにドメインを要求する(この例では acme.com)
- システム管理者はユーザーディレクトリを設定する
- システム管理者は、SSO設定用にAdmin ConsoleにIDプロバイダー(IDP)を設定します。
- AEM 管理者は、通常どおりローカルグループ、権限、および特権を管理する。「ユーザーとグループの同期」を参照してください。
ユーザーをAdmin Consoleにオンボーディング
お客様の規模と好みに応じて、ユーザーをオンボードする方法は 3 つあります。
- Admin Console内にユーザーとグループを手動で作成
- ユーザーと一緒に CSV ファイルをアップロードする
- お客様のエンタープライズ Active Directory からユーザーとグループを同期する
Admin Console UIを介した手動の追加
ユーザーとグループは、Admin Console UIで手動で作成できます。 この方法は、管理するユーザー数が多くない場合に使用できます。(例:AEM ユーザーが 50 人未満の場合)
Analytics、Target、Creative Cloud などの他の Adobe 製品を管理するためにすでにこの方法を使用している場合は、ユーザーを手動で作成することもできます。
Admin Console UIでのファイルのアップロード
ユーザー作成を簡単に処理するには、CSV ファイルをアップロードしてまとめて追加します。
ユーザー同期ツール
ユーザー同期ツール(UST)は、Active Directory または他のテスト済み OpenLDAP ディレクトリサービスを利用して、Adobe ユーザーを作成または管理することができます。対象ユーザーは、このツールをインストールおよび設定できる IT ID 管理者(エンタープライズディレクトリとシステムの管理者)です。オープンソースツールはカスタマイズ可能であるため、顧客は特定の要件に合うように開発者に修正させることができます。
ユーザー同期を実行すると、組織のActive Directory(または他の互換性のあるデータソース)からユーザーのリストが取得され、Admin Console内のユーザーのリストと比較されます。 次に、AdobeUser Management APIを呼び出して、Admin Consoleが組織のディレクトリと同期されるようにします。 変化の流れは完全に一方向です。Admin Consoleで行った編集は、ディレクトリにプッシュされません。
このツールを使用すると、システム管理者は顧客のディレクトリ内のユーザーグループを製品構成とAdmin Console内のユーザーグループにマッピングできます。新しいUSTバージョンでは、Admin Console内にユーザーグループを動的に作成することもできます。
ユーザー同期を設定するには、User Management API を使用する場合と同様に、組織が一連の資格情報を作成する必要があります。
ユーザー同期は、次の場所にある Adobe Github リポジトリを介して配布されます。
https://github.com/adobe-apiplatform/user-sync.py/releases/latest
プレリリース版のバージョン2.4RC1は、動的グループ作成のサポートで利用でき、次の場所にあります。https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
このリリースの主な機能は、Admin Consoleのユーザーメンバーシップに対して新しいLDAPグループを動的にマッピングする機能と、動的なユーザーグループの作成です。
新しいグループ機能の詳細については、次を参照してください。
https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration
AEM IMS の設定は、Adobe Managed Services チームによって処理されます。ただし、お客様の管理者は必要に応じて変更することができます(例えば、自動グループメンバーシップやグループマッピングなど)。IMS クライアントは、ご自身の Managed Services チームによっても登録されます。
使用方法
Admin Consoleでの製品とユーザーアクセスの管理
お客様の製品管理者がAdmin Consoleにログインすると、AEMManaged Services製品コンテキストの複数のインスタンスが次のように表示されます。
この例では、AEM-MS-Onboard 組織は、Stage、Prod など、さまざまなトポロジと環境にまたがる 32 のインスタンスがあります。
詳細を確認してインスタンスを識別できます。
各製品コンテキストインスタンスの下に、関連付けられた製品プロファイルがあります。この製品プロファイルは、ユーザーおよびグループにアクセス権を割り当てるために使用されます。
この製品プロファイルの下に追加されたすべてのユーザーおよびグループは、以下の例に示すように、そのインスタンスにログインできます。
AEM へのログイン
ローカル管理者ログイン
AEM では引き続き、管理ユーザーのローカルログインをサポートし、ログイン画面にはローカルでログインするオプションがあります。
IMS ベースのログイン
他のユーザーの場合は、IMS がインスタンスに設定された後に、IMS ベースのログインを使用できます。ユーザーはまず、下に示すように、「Sign in with Adobe」ボタンをクリックします。
その後、ユーザーは IMS ログイン画面にリダイレクトされ、資格情報を入力します。
Admin Consoleの初回セットアップ中にFederated IDPが設定された場合、ユーザーはSSO用のお客様のIDPにリダイレクトされます。
以下の例では、IDP は Okta です。
認証が完了すると、ユーザーは AEM にリダイレクトされてログインします。
既存ユーザーの移行
別の認証方式を使用していて、現在 IMS に移行されている既存の AEM インスタンスの場合、移行手順が必要です。
AEMリポジトリ内の既存のユーザー(ローカルソース、LDAPまたはSAML)は、User Migration Utilityを使用して、IDPとしてIMSに移行できます。
このユーティリティは、IMS プロビジョニングの一部として AMS チームによって実行されます。
AEM での権限と ACL の管理
アクセス制御と権限は、AEMで引き続き管理されます。これは、IMSからのユーザーグループ(下の例ではAEM-GRP-008)と、権限とアクセス制御が定義されたローカルグループを分離することで実現できます。 IMS から同期されたユーザーグループは、ローカルグループに割り当てられ、権限を継承することができます。
以下の例では、同期グループをローカル Dam_Users グループに追加しています。
ここでは、Admin Console内のいくつかのグループにも1人のユーザーが割り当てられています。 (ユーザーとグループは、ユーザー同期ツールを使用してLDAPから同期できるか、ローカルに作成できます。上記のOnboarding Users to theAdmin Consoleを参照してください)。
*ユーザーグループは、ユーザーがインスタンスにログインした場合にのみ同期されます。大量のユーザーとグループを持つお客様の場合は、グループ同期ユーティリティをAMSで実行して、上述のアクセス制御および権限管理用のグループを事前取得できます。
ユーザーは、IMS の以下のグループの一部です。
ユーザーがログインすると、以下に示すように、グループメンバーシップが同期されます。
AEM では、IMS から同期されたユーザーグループを既存のローカルグループ(DAM ユーザーなど)にメンバーとして追加できます。
以下に示すように、グループ AEM-GRP_008 は DAM ユーザーの権限と特権を継承します。これは同期されたグループに対する権限を管理する効果的な方法であり、LDAP ベースの認証方法でも一般的に使用されています。
