Autenticação Adobe IMS e suporte Admin Console para AEM Managed Services

OBSERVAÇÃO

Observe que esse recurso está disponível somente para clientes do Adobe Managed Services.

Introdução

AEM 6.4.3.0 apresenta Admin Console suporte para instâncias AEM e autenticação baseada no Adobe IMS (Identity Management System) para AEM clientes Managed Services.

AEM a integração com o Admin Console permitirá que AEM clientes Managed Services gerenciem todos os usuários do Experience Cloud em um console. Usuários e grupos podem ser atribuídos a perfis de produtos associados a instâncias AEM, permitindo que eles façam logon em uma instância específica.

Destaques principais

  • O suporte à autenticação AEM IMS é somente para autores, administradores ou desenvolvedores do AEM, e não para usuários finais externos de visitantes do site como do site do cliente
  • O Admin Console representará AEM clientes da Managed Services como Organizações IMS e suas Instâncias como Contextos de produtos. Os administradores de sistemas e produtos do cliente poderão gerenciar o acesso às instâncias
  • AEM Managed Services sincronizará as topologias do cliente com o Admin Console. Haverá uma instância AEM Contexto de produto Managed Services por instância no Admin Console.
  • Perfis de produtos em Admin Console determinarão quais instâncias um usuário pode acessar
  • A autenticação federada usando provedores de identidade compatíveis com SAML 2 dos próprios clientes é suportada
  • Somente Enterprise ID ou Federated ID(para logon único do cliente) serão suportadas, não as IDs de Adobe pessoais.
  • User Management (no Adobe Admin Console) continuará a ser propriedade dos administradores do cliente.

Arquitetura

A Autenticação IMS funciona usando o protocolo OAuth entre o AEM e o terminal Adobe IMS. Depois que um usuário é adicionado ao IMS e tem uma Adobe Identity, ele pode fazer logon nas instâncias do AEM Managed Services usando as credenciais do IMS.

O fluxo de logon do usuário é mostrado abaixo, o usuário será redirecionado para o IMS e, opcionalmente, para o IDP do cliente para validação SSO e, em seguida, redirecionado para o AEM.

image2018-9-23_23-55-8

Como configurar

Organizações onboard para Admin Console

O cliente que se conecta a Admin Console é um pré-requisito para usar o Adobe IMS para autenticação AEM.

Como primeira etapa, os clientes devem ter uma Organização provisionada no Adobe IMS. Os clientes Adobe Enterprise são representados como Organizações IMS em Adobe Admin Console.

AEM clientes da Managed Services já devem ter uma organização provisionada e, como parte do provisionamento do IMS, as instâncias do cliente serão disponibilizadas no Admin Console para gerenciar direitos de usuário e acesso.

A mudança para o IMS para autenticação do usuário será um esforço conjunto entre o AMS e os clientes, cada um com suas workflows de conclusão.

Quando um cliente existe como uma Organização IMS e o AMS é feito com o provisionamento do cliente para o IMS, este é o resumo dos workflows de configuração necessários:

image2018-9-23_23-33-25

  1. O Administrador de sistema designado recebe um convite para fazer logon no Admin Console
  2. O administrador do sistema reclama o domínio para confirmar a propriedade do domínio (neste exemplo, acme.com)
  3. O administrador do sistema configura os diretórios do usuário
  4. O administrador do sistema configura o provedor de identidade (IDP) na configuração Admin Console para SSO.
  5. O administrador do AEM gerencia os grupos, permissões e privilégios locais, como de costume. Consulte Sincronização de usuários e grupos
OBSERVAÇÃO

Para obter mais informações sobre o Adobe Identity Management Basics, incluindo a configuração do IDP, consulte o artigo esta página.

Para obter mais informações sobre a Administração corporativa e Admin Console consulte o artigo this page.

Usuários onboard para Admin Console

Existem três maneiras de os usuários integrados dependerem do tamanho do cliente e de suas preferências:

  1. Criar manualmente usuários e grupos em Admin Console
  2. Carregar um arquivo CSV com usuários
  3. Sincronizar usuários e grupos do Ative Diretory corporativo do cliente.

Adição manual por meio da interface Admin Console

Os usuários e grupos podem ser criados manualmente na interface do usuário Admin Console. Esse método pode ser usado se não tiver um grande número de usuários para gerenciar. Por exemplo, um número de usuários com menos de 50 AEM.

Os usuários também podem ser criados manualmente se o cliente já estiver usando esse método para administrar outros produtos do Adobe, como aplicativos do Analytics, do Público alvo ou do Creative Cloud.

image2018-9-23_20-39-9

Upload de arquivo na interface Admin Console

Para facilitar a manipulação da criação do usuário, um arquivo CSV pode ser carregado para adicionar usuários em massa:

image2018-9-23_18-59-57

Ferramenta de sincronização de usuários

A User Sync Tool (UST) permite que os clientes corporativos criem ou gerenciem usuários do Adobe usando o Ative Diretory ou outros serviços de diretório OpenLDAP testados. Os usuários do público alvo são administradores de identidade de TI (Enterprise Diretory e administradores de sistema) que poderão instalar e configurar a ferramenta. A ferramenta de código aberto é personalizável para que os clientes possam ter um desenvolvedor que a modifique de acordo com seus próprios requisitos específicos.

Quando a Sincronização de usuários é executada, ela obtém uma lista de usuários do Ative Diretory da organização (ou de qualquer outra fonte de dados compatível) e a compara com a lista de usuários no Admin Console. Em seguida, ele chama a API Adobe User Management para que Admin Console seja sincronizado com o diretório da organização. O fluxo de mudança é totalmente unidirecional; quaisquer edições feitas em Admin Console não são enviadas para o diretório.

A ferramenta permite que o administrador do sistema mapeie grupos de usuários no diretório do cliente com a configuração do produto e grupos de usuários no Admin Console, a nova versão UST também permite a criação dinâmica de grupos de usuários no Admin Console.

Para configurar a Sincronização de usuários, a organização precisa criar um conjunto de credenciais da mesma forma que usariam a User Management API.

image2018-9-23_13-36-56

A Sincronização do usuário é distribuída pelo repositório do Adobe Github neste local:

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

Observe que uma versão de pré-lançamento 2.4RC1 está disponível com suporte à criação de grupos dinâmicos e pode ser encontrada aqui: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

Os principais recursos desta versão são a capacidade de mapear dinamicamente novos grupos LDAP para associação de usuário no Admin Console, bem como a criação dinâmica de grupos de usuários.

Mais informações sobre os novos recursos do grupo podem ser encontradas aqui:

https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration

OBSERVAÇÃO

Para obter mais informações sobre a Ferramenta de sincronização do usuário, consulte a página de documentação.

A Ferramenta de sincronização de usuário precisa se registrar como um UMAPI cliente Adobe I/O usando o procedimento descrito here.

A Documentação do console do Adobe I/O pode ser encontrada aqui.

A API User Management usada pela Ferramenta de sincronização de usuário é abordada nesta localização.

OBSERVAÇÃO

A configuração AEM IMS será gerenciada pela equipe de Serviços gerenciados da Adobe. No entanto, o administrador do cliente pode modificá-lo de acordo com seus requisitos (por exemplo, Associação de grupo automático ou Mapeamento de grupo). O cliente IMS também será registrado pela sua equipe Managed Services.

Como usar

Gerenciando produtos e acesso do usuário em Admin Console

Quando o Administrador de produto do cliente fizer logon em Admin Console, verá várias instâncias do Contexto de produto da Managed Services AEM, como mostrado abaixo:

screen_shot_2018-09-17at105804pm

Neste exemplo, a organização AEM-MS-Onboard tem 32 instâncias abrangendo topologias e ambientes diferentes como Stage, Prod etc.

screen_shot_2018-09-17at105517pm

Os detalhes da instância podem ser verificados para identificar a instância:

screen_shot_2018-09-17at105601pm

Em cada instância do Contexto do produto, haverá um Perfil do Produto associado. Este perfil de produto é usado para atribuir acesso a usuários e grupos.

image2018-9-18_7-48-50

Todos os usuários e grupos adicionados sob este perfil de produto poderão fazer logon nessa instância, como mostra o exemplo abaixo:

screen_shot_2018-09-17at105623pm

Efetuar login em AEM

Logon de administrador local

AEM pode continuar a suportar logons locais para usuários administradores, já que a tela de logon tem uma opção para fazer logon localmente:

screen_shot_2018-09-18at121056am

Logon baseado no IMS

Para outros usuários, o logon baseado no IMS pode ser usado assim que o IMS for configurado na instância. O usuário primeiro clicará no botão Entrar com Adobe, conforme mostrado abaixo:

image2018-9-18_0-10-32

Eles serão redirecionados para a tela de login do IMS e inserirão suas credenciais:

screen_shot_2018-09-17at115629pm

Se um IDP federado for configurado durante a configuração inicial Admin Console, o usuário será redirecionado para o IDP do cliente para SSO.

O IDP é Okta no exemplo abaixo:

screen_shot_2018-09-17at115734pm

Após a conclusão da autenticação, o usuário será redirecionado de volta para o AEM e conectado:

screen_shot_2018-09-18at120124am

Migração de usuários existentes

Para instâncias AEM existentes que estejam usando outro método de autenticação e que agora estejam sendo migradas para o IMS, é necessário uma etapa de migração.

Os usuários existentes no repositório AEM (originados localmente, via LDAP ou SAML) podem ser migrados para o IMS como o IDP usando o Utilitário de migração do usuário.

Este utilitário será executado pela equipe do AMS como parte do provisionamento de IMS.

Gerenciando permissões e ACLs em AEM

O controle de acesso e as permissões continuarão a ser gerenciados no AEM, isso pode ser feito usando a separação dos Grupos de usuários provenientes do IMS (por exemplo, AEM-GRP-008 no exemplo abaixo) e dos grupos locais onde as permissões e o controle de acesso são definidos. Os grupos de usuários sincronizados do IMS podem ser atribuídos a grupos locais e herdar as permissões.

No exemplo abaixo, adicionamos grupos sincronizados ao grupo local Dam_Users, como exemplo.

Aqui, um usuário também foi atribuído a alguns grupos no Admin Console. (Observe que os usuários e grupos podem ser sincronizados do LDAP usando a ferramenta de sincronização do usuário ou criados localmente, consulte a seção Usuários integrados noAdmin Console acima).

*Observe que grupos de usuários só são sincronizados quando os usuários fazem logon na instância, para clientes que têm um grande número de usuários e grupos, um utilitário de sincronização de grupo pode ser executado pelo AMS para obter previamente grupos para o gerenciamento de controles de acesso e permissões descrito acima.

screen_shot_2018-09-17at94207pm

O usuário faz parte dos seguintes Grupos no IMS:

screen_shot_2018-09-17at94237pm

Quando o usuário faz logon, as Associações de grupo são sincronizadas, como mostrado abaixo:

screen_shot_2018-09-17at94033pm

Em AEM, os grupos de usuários sincronizados do IMS podem ser adicionados como membros a grupos locais existentes, por exemplo, Usuários do DAM.

screen_shot_2018-09-17at95804pm

Como mostrado abaixo, o grupo AEM-GRP_008 herda as Permissões e Privilégios dos Usuários do DAM. Essa é uma maneira eficaz de gerenciar permissões para grupos sincronizados e também é comumente usada em métodos de autenticação baseados em LDAP.

screen_shot_2018-09-17at110505pm

Nesta página

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free