Adobe IMS-autentisering och Admin Console-stöd för AEM Managed Services

OBSERVERA

Observera att den här funktionen endast är tillgänglig för Adobe Managed Services-kunder.

OBSERVERA

AEM stöder för närvarande inte tilldelning av grupper till profiler. Användare bör läggas till individuellt i stället.

Introduktion

I AEM 6.4.3.0 introduceras Admin Console-stöd för AEM och Adobe IMS(Identity Management System)-baserad autentisering för AEM Managed Services-kunder.

AEM till Admin Console gör att AEM Managed Services-kunder kan hantera alla Experience Cloud-användare i en konsol. Användare och grupper kan tilldelas till produktprofiler som är kopplade till AEM instanser, så att de kan logga in på en viss instans.

Viktiga funktioner

  • Stöd för AEM IMS-autentisering gäller endast för AEM-författare, administratörer och utvecklare, inte för externa slutanvändare på kundens webbplats, som webbplatsbesökare
  • Admin Console representerar AEM Managed Services-kunder som IMS-organisationer och deras instanser som produktkontexter. Kundsystem- och produktadministratörer kan hantera åtkomst till instanser
  • AEM Managed Services synkroniserar kundtopologier med Admin Console. Det kommer att finnas en instans AEM Managed Services produktkontext per instans i Admin Console.
  • Produktprofiler i Admin Console avgör vilka instanser en användare kan komma åt
  • Federerad autentisering med kundens egna SAML 2-kompatibla identitetsleverantörer stöds
  • Endast Enterprise ID:n eller Federated ID:n (för kunder med enkel inloggning) stöds, inte Adobe ID:n.
  • User Management (i Adobe Admin Console) kommer även fortsättningsvis att ägas av kundadministratörer.

Arkitektur

IMS-autentisering fungerar med OAuth-protokollet mellan AEM och Adobe IMS-slutpunkten. När en användare som har en Adobe-identitet har lagts till i IMS kan hen logga in på AEM Managed Services-instanser med IMS-inloggningsuppgifter.

Inloggningsflödet för användaren visas nedan. Användaren omdirigeras till IMS och eventuellt till kund-ID för SSO-validering och omdirigeras sedan tillbaka till AEM.

image2018-9-23_23-55-8

Konfigurera

Onboarding-organisationer till Admin Console

Kunden måste registrera sig för Admin Console för att kunna använda Adobe IMS för AEM autentisering.

Som ett första steg bör kunden ha en organisation som är etablerad i Adobe IMS. Adobe Enterprise-kunder representeras som IMS-organisationer i Adobe Admin Console.

AEM Managed Services-kunder bör redan ha en organisation etablerad, och som en del av IMS-etableringen kommer kundinstanserna att vara tillgängliga i Admin Console för hantering av användarberättiganden och åtkomst.

Övergången till IMS för användarautentisering är en gemensam åtgärd mellan AMS och kunder, där vart och ett av dem har sina arbetsflöden att slutföra.

När en kund finns som IMS-organisation och AMS har etablerat kunden för IMS är detta en sammanfattning av de konfigurationsarbetsflöden som krävs:

image2018-9-23_23-33-25

  1. Den utsedda systemadministratören får en inbjudan att logga in på Admin Console
  2. Anspråksdomänen för systemadministratören som bekräftar ägarskapet för domänen (i det här exemplet acme.com)
  3. Systemadministratören ställer in användarkataloger
  4. Systemadministratören konfigurerar identitetsleverantören (IDP) i Admin Console för SSO-installationen.
  5. AEM Admin hanterar de lokala grupperna, behörigheterna och behörigheterna som vanligt. Se Användar- och gruppsynkronisering
OBSERVERA

Mer information om grunderna i Adobe Identity Management, inklusive IDP-konfigurationen, finns i artikeln den här sidan.

Mer information om företagsadministration och Admin Console finns i artikeln den här sidan.

Onboarding-användare till Admin Console

Det finns tre sätt att introducera användare beroende på kundens storlek och deras önskemål:

  1. Skapa användare och grupper manuellt i Admin Console
  2. Överföra en CSV-fil med användare
  3. Synkronisera användare och grupper från kundens Enterprise Active Directory.

Manuell addition via användargränssnittet Admin Console

Användare och grupper kan skapas manuellt i användargränssnittet för Admin Console. Den här metoden kan användas om de inte har ett stort antal användare att hantera. Ett antal färre än 50 AEM användare.

Användare kan också skapas manuellt om kunden redan använder den här metoden för att administrera andra Adobe-produkter som Analytics, Target eller Creative Cloud.

image2018-9-23_20-39-9

Filöverföring i användargränssnittet för Admin Console

En CSV-fil kan laddas upp för att användarna ska kunna lägga till flera användare samtidigt:

image2018-9-23_18-59-57

Verktyg för användarsynkronisering

Med verktyget för användarsynkronisering (UST i korthet) kan företagskunder skapa eller hantera Adobe-användare med hjälp av Active Directory eller andra testade OpenLDAP-katalogtjänster. Målanvändarna är IT-identitetsadministratörer (Enterprise Directory och System Admins) som kan installera och konfigurera verktyget. Verktyget med öppen källkod är anpassbart så att kunderna kan låta en utvecklare ändra det efter sina egna behov.

När användarsynkronisering körs hämtar den en lista över användare från organisationens Active Directory (eller någon annan kompatibel datakälla) och jämför den med listan över användare i Admin Console. Därefter anropas API:t för Adobe User Management så att Admin Console synkroniseras med organisationens katalog. Förändringarna är helt envägs. Ändringar som görs i Admin Console skickas inte ut till katalogen.

Verktyget gör att systemadministratören kan mappa användargrupper i kundens katalog med produktkonfiguration och användargrupper i Admin Console, den nya UST-versionen tillåter även att användargrupper skapas dynamiskt i Admin Console.

För att användarsynkronisering ska kunna konfigureras måste organisationen skapa en uppsättning inloggningsuppgifter på samma sätt som User Management API:t för används.

image2018-9-23_13-36-56

Användarsynkronisering distribueras via Adobe Github-databasen på den här platsen:

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

Observera att en förhandsversion 2.4RC1 finns tillgänglig med stöd för att skapa dynamiska grupper och finns här: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

De viktigaste funktionerna i den här versionen är möjligheten att dynamiskt mappa nya LDAP-grupper för användarmedlemskap i Admin Console samt att skapa dynamiska användargrupper.

Mer information om de nya gruppfunktionerna finns här:

https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration

OBSERVERA

Mer information om verktyget för användarsynkronisering finns på dokumentationssidan.

Verktyget för användarsynkronisering måste registrera som ett UMAPI för en Adobe I/O-klient enligt proceduren som beskrivs här.

Adobe I/O Console Documentation finns här.

API:t User Management som används av verktyget för användarsynkronisering beskrivs på den här platsen.

OBSERVERA

Den AEM IMS-konfigurationen hanteras av Adobe Managed Services-teamet. Kundadministratören kan dock ändra det efter behov (till exempel automatiskt gruppmedlemskap eller gruppmappning). IMS-klienten registreras också av ditt Managed Services-team.

Användning

Hantera produkter och användaråtkomst i Admin Console

När kundens produktadministratör loggar in på Admin Console visas flera instanser av den AEM Managed Services-produktkontexten enligt nedan:

screen_shot_2018-09-17at105804pm

I det här exemplet har organisationen AEM-MS-Onboard 32 instanser som spänner över olika topologier och miljöer som Stage, Prod, osv.

screen_shot_2018-09-17at105517pm

Instansinformationen kan kontrolleras för att identifiera instansen:

screen_shot_2018-09-17at105601pm

Under varje produktkontextinstans kommer det att finnas en associerad produktprofil. Den här produktprofilen används för att tilldela användare och grupper åtkomst.

image2018-9-18_7-48-50

Alla användare och grupper som läggs till under den här produktprofilen kan logga in på den instansen enligt exemplet nedan:

screen_shot_2018-09-17at105623pm

Loggar in AEM

Inloggning för lokal administratör

AEM kan fortfarande ha stöd för lokala inloggningar för administratörsanvändare eftersom inloggningsskärmen har ett alternativ för att logga in lokalt:

screen_shot_2018-09-18at121056am

IMS-baserad inloggning

Andra användare kan använda IMS-baserad inloggning när IMS har konfigurerats för instansen. Användaren klickar först på knappen Logga in med Adobe enligt nedan:

image2018-9-18_0-10-32

De dirigeras sedan till inloggningsskärmen för IMS och anger sina inloggningsuppgifter:

screen_shot_2018-09-17at115629pm

Om en federerad IDP konfigureras under den initiala Admin Console-konfigurationen kommer användaren att omdirigeras till kund-ID:t för enkel inloggning.

IDP är Okta i följande exempel:

screen_shot_2018-09-17at115734pm

När autentiseringen är klar omdirigeras användaren tillbaka till AEM och loggas in:

screen_shot_2018-09-18at120124am

Migrerar befintliga användare

För befintliga AEM som använder en annan autentiseringsmetod och nu migreras till IMS måste det finnas ett migreringssteg.

Befintliga användare i AEM-databasen (som hämtas lokalt via LDAP eller SAML) kan migreras till IMS som IDP med verktyget för användarmigrering.

Detta verktyg kommer att köras av ditt AMS-team som en del av IMS-etableringen.

Hantera behörigheter och åtkomstkontrollistor i AEM

Åtkomstkontroll och behörigheter hanteras även i AEM, vilket kan uppnås genom att användargrupper skiljs från IMS (t.ex. AEM-GRP-008 i exemplet nedan) och lokala grupper där behörigheter och åtkomstkontroll definieras. Användargrupperna som synkroniseras från IMS kan tilldelas lokala grupper och ärva behörigheterna.

I exemplet nedan lägger vi till synkroniserade grupper i den lokala gruppen Dam_Users som exempel.

Här har en användare också tilldelats ett fåtal grupper i Admin Console. (Observera att användare och grupper kan synkroniseras från LDAP med användarsynkroniseringsverktyget eller skapas lokalt, se avsnittet Onboarding Users to theAdmin Console above).

OBSERVERA

Användargrupper synkroniseras bara när användarna loggar in på instansen.

screen_shot_2018-09-17at94207pm

Användaren ingår i följande grupper i IMS:

screen_shot_2018-09-17at94237pm

När användaren loggar in synkroniseras hans/hennes gruppmedlemskap enligt nedan:

screen_shot_2018-09-17at94033pm

I AEM kan användargrupper som synkroniseras från IMS läggas till som medlemmar i befintliga lokala grupper, t.ex. DAM-användare.

screen_shot_2018-09-17at95804pm

Som framgår nedan ärver gruppen AEM-GRP_008 DAM-användares behörigheter. Detta är ett effektivt sätt att hantera behörigheter för synkroniserade grupper och används ofta även i LDAP-baserade autentiseringsmetoder.

screen_shot_2018-09-17at110505pm

På denna sida