- 管理ユーザーガイドの概要
- Sites の機能
- 運用
- ダッシュボード
- 操作ダッシュボード
- バックアップと復元
- データストアのガベージコレクション
- JMX コンソールを使用したサーバーリソースの監視
- ログの使用
- AEM 6 での監査ログのメンテナンス
- リッチテキストエディターの設定
- アクセス可能なサイトを生成するための RTE の設定
- ページ編集のための取り消しの設定
- リッチテキストエディタープラグインの設定
- ビデオコンポーネントの設定
- Bulk Editor
- 電子メール通知の設定
- リンクチェック
- AEM のトラブルシューティング
- ワークフローへのアクセスの管理
- ワークフローの開始
- ワークフローの管理
- ワークフローインスタンスの管理
- AEM での cURL の使用
- プロキシサーバーツール(proxy.jar)
- AEM アプリケーション用の設定
- 検索フォームの設定
- ツールコンソール
- レポート
- レイアウトコンテナおよびレイアウトモードの設定
- 編集者
- クラシック UI へのアクセスの有効化
- 管理コンソール
- セキュリティ
- ユーザー管理とセキュリティ
- ユーザー、グループおよびアクセス権限の管理
- セキュリティチェックリスト
- OWASP Top 10
- 実稼動準備モードでの AEM の実行
- ID 管理
- AEM Managed Services に対する Adobe IMS 認証およびアドミンコンソールのサポート
- 閉じられたユーザーグループの作成
- AEM でのシリアル化の問題の軽減
- ユーザー同期
- カプセル化されたトークンのサポート
- シングルサインオン
- AEM でのユーザー管理操作を監査する方法
- デフォルトの SSL
- SAML 2.0 認証ハンドラー
- AEM の閉じられたユーザーグループ
- Granite の操作 - ユーザー管理とグループ管理
- AEM での CRXDE Lite の有効化
- AEM 6 での LDAP の設定
- インストール時の admin パスワードの設定
- AEM のサービスユーザー
- 設定プロパティの暗号化サポート
- AEM の基盤での GDPR 要求の処理
- 権限管理のプリンシパルビュー
- Content Disposition フィルター
- AEM 6.5 のカスタムユーザグループマッピング
- 同じサイトのcookieのサポート
- パーソナライズ機能
- 統合
- サードパーティのサービスとの統合
- Salesforce との統合
- Adobe Target との統合
- Adobe Analytics との統合
- Adobe Analytics への接続とフレームワークの作成
- Adobe Analytics のリンクトラッキングの設定
- コンポーネントデータと Adobe Analytics プロパティとのマッピング
- Adobe Analytics のビデオトラッキングの設定
- コンテンツの HTTP/2 配信の FAQ
- Adobe Campaign 統合に関するトラブルシューティング
- SharePoint Connector のライセンス、著作権情報および免責事項
- SharePoint コネクター
- DHTML ビューアのサポート終了に関する FAQ
- Adobe Campaign Classic との統合
- 関連するコミュニティ記事
- Adobe Campaign Standard との統合
- Flash ビューアのサポート終了に関する通知
- 製品フィード
- Adobe Dynamic Tag Management との統合
- Adobe Analytics および Adobe Target との統合のオプトイン
- AEM ポータルとポートレット
- Dynamic Media Classic(Scene7)との統合
- AEM Livefyre のレシピ
- 統合に関する問題のトラブルシューティング
- BrightEdge Content Optimizer との結合
- カタログ作成機能
- Silverpop Engage との統合
- Adobe Campaign との統合
- ExactTarget との統合
- Analytics と外部プロバイダー
- Adobe Marketing Cloud との統合
- 手動での Adobe Target との統合の設定
- Adobe Target との統合の前提条件
- Adobe I/O を使用した Adobe Target との統合
- Adobe Classifications
- Adobe Search&Promote との統合
- ソリューション統合
- エクスペリエンスフラグメントのAdobe Targetへの書き出し
- 電子メールテンプレートのベストプラクティス
- Livefyre との統合
- ベストプラクティス
- コンテンツ管理
AdobeIMS認証およびAEM Managed ServicesのAdmin Consoleサポート
この機能は、Adobe Managed Services のお客様にのみご利用いただけます。
はじめに
AEM 6.4.3.0では、AEMインスタンスとAdobeIMS(Identity Managementシステム)ベースの認証に対するAdmin Consoleのサポートが、AEM Managed Servicesのお客様に導入されました。
AEMがAdmin Consoleにオンボーディングすると、AEM Managed Servicesのお客様は、すべてのExperience Cloudユーザーを1つのコンソールで管理できます。 ユーザーとグループは、AEMインスタンスに関連付けられた製品プロファイルに割り当てることができ、特定のインスタンスにログインできます。
主なハイライト
- AEM の IMS 認証サポートは、AEM 作成者、管理者、または開発者のみを対象としており、サイト訪問者のような顧客サイトの外部エンドユーザーを対象としていません。
- Admin Consoleは、AEM Managed Servicesのお客様をIMS組織として表し、インスタンスを製品コンテキストとして表します。 顧客システムおよび製品管理者は、インスタンスへのアクセスを管理できるようになります。
- AEM Managed Servicesは、顧客トポロジをAdmin Consoleと同期します。 Admin Consoleには、インスタンスごとにAEM Managed Services製品コンテキストのインスタンスが1つあります。
- Admin Consoleの製品プロファイルは、ユーザーがアクセスできるインスタンスを決定します
- お客様独自の SAML 2 準拠の ID プロバイダーを使用したフェデレーテッド認証がサポートされています。
- 個人用の Adobe ID ではなく、エンタープライズ ID またはフェデレーデッド ID(お客様のシングルサインオン用)のみがサポートされます。
- User Management (Adobe Admin Console内)は、引き続き顧客管理者が所有します。
アーキテクチャ
IMS 認証は、AEM と Adobe IMS エンドポイントの間で OAuth プロトコルを使用して機能します。ユーザーが IMS に追加され、Adobe Identity を持つようになると、IMS 資格情報を使用して AEM Managed Services インスタンスにログインできます。
ユーザーログインフローを以下に示します。ユーザーは IMS にリダイレクトされ、オプションで SSO 検証のためにカスタマー IDP にリダイレクトされてから、AEM にリダイレクトされます。
設定方法
Admin Consoleへの組織のオンボーディング
お客様がAdmin Consoleにオンボーディングすることは、AEM認証にAdobeIMSを使用するための前提条件です。
最初のステップとして、Adobe IMS に組織をプロビジョニングする必要があります。Adobeのエンタープライズのお客様は、Adobe Admin ConsoleではIMS組織として表されます。
AEM Managed Servicesのお客様は、既に組織をプロビジョニングしておく必要があります。また、IMSプロビジョニングの一環として、顧客インスタンスをAdmin Consoleで使用して、ユーザーの使用権限とアクセスを管理できます。
ユーザー認証のための IMS への移行は、AMS とお客様の共同作業となり、それぞれがワークフローを完了させます。
顧客が IMS 組織として存在し、AMS が顧客の IMS へのプロビジョニングを完了したら、次のような設定ワークフローを実行する必要があります。
- 指定されたシステム管理者が、Admin Consoleへのログインの招待を受け取ります
- システム管理者は、ドメインの所有権を確認するためにドメインを要求する(この例では acme.com)
- システム管理者はユーザーディレクトリを設定する
- システム管理者は、SSO設定用にAdmin ConsoleでIDプロバイダー(IDP)を設定します。
- AEM 管理者は、通常どおりローカルグループ、権限、および特権を管理する。ユーザーとグループの同期を参照してください。
Admin Consoleへのユーザーのオンボーディング
お客様の規模と好みに応じて、ユーザーをオンボードする方法は 3 つあります。
- Admin Consoleにユーザーとグループを手動で作成する
- ユーザーと一緒に CSV ファイルをアップロードする
- お客様のエンタープライズ Active Directory からユーザーとグループを同期する
Admin Console UIによる手動追加
ユーザーとグループは、Admin Console UIで手動で作成できます。 この方法は、管理するユーザー数が多くない場合に使用できます。(例:AEM ユーザーが 50 人未満の場合)
Analytics、Target、Creative Cloud などの他の Adobe 製品を管理するためにすでにこの方法を使用している場合は、ユーザーを手動で作成することもできます。
Admin Console UIでのファイルのアップロード
ユーザー作成を簡単に処理するには、CSV ファイルをアップロードしてまとめて追加します。
ユーザー同期ツール
ユーザー同期ツール(UST)は、Active Directory または他のテスト済み OpenLDAP ディレクトリサービスを利用して、Adobe ユーザーを作成または管理することができます。対象ユーザーは、このツールをインストールおよび設定できる IT ID 管理者(エンタープライズディレクトリとシステムの管理者)です。オープンソースツールはカスタマイズ可能であるため、顧客は特定の要件に合うように開発者に修正させることができます。
ユーザー同期を実行すると、組織のActive Directory(または互換性のあるその他のデータソース)からユーザーのリストを取得し、Admin Console内のユーザーのリストと比較します。 次に、AdobeUser Management APIを呼び出して、Admin Consoleを組織のディレクトリと同期させます。 変更フローは完全に一方向です。Admin Consoleで行われた編集は、ディレクトリにプッシュされません。
このツールを使用すると、システム管理者は顧客のディレクトリ内のユーザーグループを製品設定とAdmin Console内のユーザーグループにマッピングできます。新しいUSTバージョンでは、Admin Console内にユーザーグループを動的に作成することもできます。
ユーザー同期を設定するには、User Management API を使用する場合と同様に、組織が一連の資格情報を作成する必要があります。
ユーザー同期は、次の場所にある Adobe Github リポジトリを介して配布されます。
https://github.com/adobe-apiplatform/user-sync.py/releases/latest
プレリリースバージョンの2.4RC1は、動的グループ作成のサポートで利用でき、次の場所にあります。https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
このリリースの主な機能は、Admin Consoleのユーザーメンバーシップに合わせて新しいLDAPグループを動的にマッピングする機能と、動的なユーザーグループ作成です。
新しいグループ機能の詳細については、次を参照してください。
https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration
AEM IMS の設定は、Adobe Managed Services チームによって処理されます。ただし、お客様の管理者は必要に応じて変更することができます(例えば、自動グループメンバーシップやグループマッピングなど)。IMS クライアントは、ご自身の Managed Services チームによっても登録されます。
使用方法
Admin Consoleでの製品とユーザーアクセスの管理
お客様の製品管理者がAdmin Consoleにログインすると、次に示すように、AEM Managed Services製品コンテキストの複数のインスタンスが表示されます。
この例では、AEM-MS-Onboard 組織は、Stage、Prod など、さまざまなトポロジと環境にまたがる 32 のインスタンスがあります。
詳細を確認してインスタンスを識別できます。
各製品コンテキストインスタンスの下に、関連付けられた製品プロファイルがあります。この製品プロファイルは、ユーザーおよびグループにアクセス権を割り当てるために使用されます。
この製品プロファイルの下に追加されたすべてのユーザーおよびグループは、以下の例に示すように、そのインスタンスにログインできます。
AEM へのログイン
ローカル管理者ログイン
AEM では引き続き、管理ユーザーのローカルログインをサポートし、ログイン画面にはローカルでログインするオプションがあります。
IMS ベースのログイン
他のユーザーの場合は、IMS がインスタンスに設定された後に、IMS ベースのログインを使用できます。ユーザーはまず、下に示すように、「Sign in with Adobe」ボタンをクリックします。
その後、ユーザーは IMS ログイン画面にリダイレクトされ、資格情報を入力します。
Admin Consoleの初期設定中にフェデレーテッドIDPが設定されると、SSO用の顧客IDPにリダイレクトされます。
以下の例では、IDP は Okta です。
認証が完了すると、ユーザーは AEM にリダイレクトされてログインします。
既存ユーザーの移行
別の認証方式を使用していて、現在 IMS に移行されている既存の AEM インスタンスの場合、移行手順が必要です。
AEMリポジトリ内の既存のユーザー(ローカルソース、LDAPまたはSAMLを使用)は、User Migration Utilityを使用して、IDPとしてIMSを指すように移行できます。
このユーティリティは、IMS プロビジョニングの一部として AMS チームによって実行されます。
AEM での権限と ACL の管理
アクセス制御と権限は、引き続きAEMで管理されます。これをおこなうには、IMSからのユーザーグループ(以下の例ではAEM-GRP-008)と、権限とアクセス制御が定義されているローカルグループを分離します。 IMS から同期されたユーザーグループは、ローカルグループに割り当てられ、権限を継承することができます。
以下の例では、同期グループをローカル Dam_Users グループに追加しています。
ここでは、ユーザーもAdmin Console内のいくつかのグループに割り当てられています。 (ユーザーとグループは、ユーザー同期ツールを使用してLDAPから同期することも、ローカルで作成することもできます。前述のAdmin Consoleへのユーザーのオンボーディングの節を参照してください)。
ユーザーグループは、ユーザーがインスタンスにログインした場合にのみ同期されます。
ユーザーは、IMS の以下のグループの一部です。
ユーザーがログインすると、以下に示すように、グループメンバーシップが同期されます。
AEM では、IMS から同期されたユーザーグループを既存のローカルグループ(DAM ユーザーなど)にメンバーとして追加できます。
以下に示すように、グループ AEM-GRP_008 は DAM ユーザーの権限と特権を継承します。これは同期されたグループに対する権限を管理する効果的な方法であり、LDAP ベースの認証方法でも一般的に使用されています。
アドビアカウント
