Adobe IMS身份验证和 Admin Console 支持AEM Managed Services

注意

请注意,此功能仅适用于Adobe Managed Services客户。

注意

AEM 当前不支持将组分配给配置文件。应改为单独添加用户。

简介

AEM 6.4.3.0引入 Admin Console 支持AEM实例和基于Adobe IMS(Identity Management系统)的身份验证,以便 AEM Managed Services 客户。

AEM入门 Admin Console 将允许AEM Managed Services客户在一个控制台中管理所有Experience Cloud用户。 可以将用户和组分配到与AEM实例关联的产品配置文件,从而允许他们登录到特定实例。

主要亮点

  • AEM IMS身份验证支持仅适用于AEM作者、管理员或开发人员,而不适用于客户站点的外部最终用户(如站点访客)
  • 的 Admin Console 将AEM Managed Services客户表示为IMS组织,其实例表示为产品上下文。 客户系统和产品管理员将能够管理对实例的访问
  • AEM Managed Services将将客户拓扑与 Admin Console. 在 Admin Console.
  • 中的产品配置文件 Admin Console 将确定用户可以访问哪些实例
  • 支持使用客户自己符合SAML 2规范的身份提供程序的联合身份验证
  • 仅支持Enterprise ID或Federated ID(用于客户单点登录),而不支持个人AdobeID。
  • User Management (在Adobe Admin Console)将继续由客户管理员拥有。

架构

IMS身份验证通过在AEM和Adobe IMS端点之间使用OAuth协议来工作。 将用户添加到 IMS 并拥有 Adobe 身份后,他们便可以使用 IMS 凭证登录到 AEM Managed Services 实例。

下面显示了用户登录流程,用户将被重定向到IMS,并(可选)重定向到客户IDP以进行SSO验证,然后重定向回AEM。

image2018-9-23_23-55-8

如何设置

将组织载入到 Admin Console

客户入门 Admin Console 是使用Adobe IMS进行AEM身份验证的先决条件。

第一步,客户应在Adobe IMS中设置组织。 Adobe企业客户在 Adobe Admin Console.

AEM Managed Services客户应已设置组织,作为IMS设置的一部分,客户实例将在 Admin Console 用于管理用户权限和访问权限。

迁移到IMS以进行用户身份验证是AMS与客户共同努力的结果,每个客户都需要完成其工作流。

客户作为IMS组织存在,并且AMS完成了为IMS配置客户的过程后,以下是所需配置工作流的摘要:

image2018-9-23_23-33-25

  1. 指定的系统管理员将收到登录到 Admin Console
  2. 系统管理员声明域以确认域的所有权(在此示例中为acme.com)
  3. 系统管理员设置用户目录
  4. 系统管理员在 Admin Console ,用于SSO设置。
  5. AEM管理员可照常管理本地组、权限。 请参阅用户和组同步
注意

有关AdobeIdentity Management基础知识(包括IDP配置)的更多信息,请参阅文章 此页面。

有关企业管理和 Admin Console 请参阅文章 本页.

将用户载入到 Admin Console

根据客户的规模和偏好,可通过三种方式载入用户:

  1. 在中手动创建用户和组 Admin Console
  2. 上传包含用户的CSV文件
  3. 从客户的企业Active Directory同步用户和组。

手动添加至 Admin Console UI

可以在 Admin Console UI。 如果要管理的用户数量不多,则可以使用此方法。 例如,少于50个AEM用户。

如果客户已使用此方法管理其他Adobe产品(如Analytics、Target或Creative Cloud应用程序),则也可以手动创建用户。

image2018-9-23_20-39-9

文件上传 Admin Console UI

为便于创建用户,可以上传CSV文件以批量添加用户:

image2018-9-23_18-59-57

用户同步工具

用户同步工具(简称UST)使企业客户能够利用Active Directory或其他经测试的OpenLDAP目录服务创建或管理Adobe用户。 目标用户是IT身份管理员(企业目录和系统管理员),他们将能够安装和配置该工具。 开源工具是可自定义的,以便客户可以让开发人员对其进行修改以符合他们自己的特定要求。

当用户同步运行时,它会从组织的Active Directory(或任何其他兼容的数据源)中获取用户列表,并将其与 Admin Console. 然后调用Adobe User Management API,以便 Admin Console 与组织的目录同步。 变更流程完全是单向的;对 Admin Console 请勿被推送到目录。

该工具允许系统管理员将客户目录中的用户组与 Admin Console,则新版UST还允许在 Admin Console.

要设置用户同步,组织需要创建一组凭据,其方式与使用 User Management API.

image2018-9-23_13-36-56

用户同步通过位于以下位置的AdobeGithub存储库分发:

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

请注意,支持创建动态组的预发行版本2.4RC1可用,该版本可在此处找到: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

此版本的主要功能是能够动态映射新的LDAP组,以在 Admin Console,以及动态用户组创建。

有关新组功能的更多信息,请参阅此处:

https://adobe-apiplatform.github.io/user-sync.py/en/user-manual/advanced_configuration.html#additional-group-options

注意

有关用户同步工具的详细信息,请参阅 文档页面.

用户同步工具需要使用描述的过程注册为Adobe I/O客户端UMAPI 此处.

可以找到Adobe I/O控制台文档 此处.

的 User Management 此处介绍了用户同步工具使用的API 位置.

注意

AEM IMS配置将由Adobe托管服务团队处理。 但是,客户管理员可以根据其要求(例如,自动组成员资格或组映射)对其进行修改。 IMS客户端也将由您的Managed Services团队进行注册。

使用方法

在中管理产品和用户访问权限 Admin Console

客户产品管理员登录到 Admin Console,则他们将看到AEM Managed Services产品上下文的多个实例,如下所示:

screen_shot_2018-09-17at105804pm

在此示例中,组织 AEM-MS-Onboard 具有32个实例,这些实例跨不同的拓扑和环境,如暂存、生产等。

screen_shot_2018-09-17at105517pm

可以检查实例详细信息以标识实例:

screen_shot_2018-09-17at105601pm

在每个产品上下文实例下,将有一个关联的产品配置文件。 此产品配置文件用于为用户和组分配访问权限。

image2018-9-18_7-48-50

在此产品配置文件下添加的任何用户和组都将能够登录到该实例,如以下示例所示:

screen_shot_2018-09-17at105623pm

登录AEM

本地管理员登录

AEM可以继续支持管理员用户的本地登录,因为登录屏幕具有本地登录选项:

screen_shot_2018-09-18at121056am

基于 IMS 的登录

对于其他用户,只需在实例上配置 IMS 即可使用基于 IMS 的登录。用户将首先单击 使用Adobe登录 按钮,如下所示:

image2018-9-18_0-10-32

随后,他们将被重定向到IMS登录屏幕并输入其凭据:

screen_shot_2018-09-17at115629pm

如果在初始期间配置了联合IDP Admin Console 设置后,用户将被重定向到用于SSO的客户IDP。

以下示例中的IDP为Okta:

screen_shot_2018-09-17at115734pm

身份验证完成后,用户将被重定向回 AEM 并登录:

screen_shot_2018-09-18at120124am

迁移现有用户

对于使用其他身份验证方法且当前正在迁移到IMS的现有AEM实例,需要执行迁移步骤。

可以使用用户迁移实用程序迁移AEM存储库(通过本地、LDAP或SAML)中的现有用户,以指向IMS作为IDP。

此实用程序将由您的AMS团队作为IMS配置的一部分运行。

在AEM中管理权限和ACL

访问控制和权限将继续在AEM中进行管理,这可以通过将来自IMS的用户组(例如以下示例中的AEM-GRP-008)与定义权限和访问控制的本地组分离来实现。 可以将从IMS同步的用户组分配给本地组并继承权限。

在以下示例中,我们将同步的组作为示例添加到本地 Dam_Users 组。

在此,还将用户分配到 Admin Console. (请注意,用户和组可以使用用户同步工具从LDAP同步,也可以在本地创建,请参阅部分 将用户载入到Admin Console )。

注意

只有当用户登录到实例时,才会同步用户组。

screen_shot_2018-09-17at94207pm

用户是 IMS 中以下组的一部分:

screen_shot_2018-09-17at94237pm

用户登录时,会同步其组成员资格,如下所示:

screen_shot_2018-09-17at94033pm

在AEM中,可以将从IMS同步的用户组作为成员添加到现有的本地组,如DAM用户。

screen_shot_2018-09-17at95804pm

如下所示,组 AEM-GRP_008 会继承DAM用户的权限。 这是管理已同步组权限的有效方法,也常用于基于LDAP的身份验证方法。

screen_shot_2018-09-17at110505pm

在此页面上