- 管理用户指南概述
- Sites功能
- 操作
- 安全性
- 用户管理和安全性
- 用户、组和访问权限管理
- 安全核对清单
- OWASP前10名
- 在生产就绪模式下运行AEM
- Identity Management
- 适用于AEM Managed Services的Adobe IMS身份验证和Admin Console支持
- 创建已关闭的用户组
- 缓解AEM中的序列化问题
- 用户同步
- 封装令牌支持
- 单点登录
- 如何在AEM中审核用户管理操作
- 默认SSL
- SAML 2.0 身份验证处理程序
- AEM中的封闭用户组
- Granite操作 — 用户和组管理
- 在AEM中启用CRXDE Lite
- 使用AEM 6配置LDAP
- 安装时配置管理员密码
- AEM中的服务用户
- 对配置属性的加密支持
- 处理AEM Foundation的GDPR请求
- 权限管理的主体视图
- 内容处置过滤器
- AEM 6.5中的自定义用户组映射
- 相同站点Cookie支持
- 个性化
- 集成
- 与第三方服务集成
- 与Salesforce集成
- 与 Adobe Target 集成
- 与 Adobe Learning Manager 集成
- 与 Adobe Analytics 集成
- 连接到Adobe Analytics并创建框架
- 为 Adobe Analytics 配置链接跟踪
- 建立组件数据与 Adobe Analytics 属性的映射
- 为 Adobe Analytics 配置视频跟踪
- 使用IMS与Adobe Analytics集成
- HTTP2 内容投放常见问题解答
- Adobe Campaign集成故障诊断
- SharePoint Connector许可证、版权声明和免责声明
- SharePoint连接器
- DHTML 查看器生命周期结束常见问题解答
- 与 Adobe Campaign Classic 集成
- 相关社区文章
- 与Adobe Campaign Standard集成
- Flash 查看器生命周期终止通知
- 与AdobeDynamic Tag Management集成
- 选择使用Adobe Analytics和Adobe Target
- AEM Portals和Portlet
- 与Dynamic Media Classic (Scene7)集成
- AEM Livefyre 指南
- 集成问题疑难解答
- 与BrightEdge Content Optimizer集成
- 目录生成器
- 与Silverpop Engage集成
- 与 Adobe Campaign 集成
- 与ExactTarget集成
- Analytics与外部提供程序
- 与Adobe Marketing Cloud集成
- 手动配置与Adobe Target集成
- 与Adobe Target集成的先决条件
- 使用IMS与Adobe Target集成
- Adobe 分类
- 解决方案集成
- 将体验片段导出到 Adobe Target
- 电子邮件模板的最佳实践
- 与 Livefyre 集成
- 最佳实践
- 内容管理
Adobe IMS身份验证和 Admin Console 支持AEM Managed Services
此功能仅适用于Adobe Managed Services客户。
Adobe Experience Manager (AEM)当前不支持将组分配给配置文件。 应改为单独添加用户。
简介
AEM 6.4.3.0引入 Admin Console 支持AEM实例和基于Adobe IMS(Identity Management System)的身份验证 AEM Managed Services 客户。
AEM入门 Admin Console 将允许AEM Managed Services客户在一个控制台中管理所有Experience Cloud用户。 可以将用户分配到与AEM实例关联的产品配置文件,以便他们登录到特定实例。
主要亮点
- AEM IMS身份验证支持仅适用于AEM作者、管理员或开发人员,不适用于客户站点的外部最终用户,如站点访客
- 此 Admin Console 会将AEM Managed Services客户表示为IMS组织,将其实例表示为产品上下文。 客户系统和产品管理员将能够管理对实例的访问
- AEM Managed Services会将客户拓扑与 Admin Console. 中的每个实例将有一个AEM Managed Services产品上下文实例 Admin Console.
- 中的产品配置文件 Admin Console 将确定用户可以访问的实例
- 支持使用客户自己的符合SAML 2的标识提供程序的联合身份验证
- 仅支持Enterprise ID或Federated ID(适用于客户的单点登录),不支持个人AdobeID。
- User Management (Adobe中) Admin Console)将继续由客户管理员拥有。
架构
IMS身份验证通过在AEM和Adobe IMS端点之间使用OAuth协议来工作。 将用户添加到 IMS 并拥有 Adobe 身份后,他们便可以使用 IMS 凭证登录到 AEM Managed Services 实例。
用户登录流程如下所示,用户将被重定向到IMS,并可以选择性地重定向到客户IDP进行SSO验证,然后重定向回AEM。
如何设置
将组织载入 Admin Console
客户入门培训 Admin Console 是使用Adobe IMS进行AEM身份验证的先决条件。
作为第一步,客户应在Adobe IMS中设置组织。 Adobe企业客户在中表示为IMS组织 Adobe Admin Console.
AEM Managed Services客户应已配置组织,作为IMS配置的一部分,客户实例将以下列内容提供: Admin Console 用于管理用户权限和访问权限。
迁移到IMS进行用户身份验证是AMS和客户共同努力的结果,每个客户都有自己的工作流程要完成。
一旦客户作为IMS组织存在,并且AMS完成为客户配置IMS后,以下是所需的配置工作流的摘要:
- 指定的系统管理员会收到登录到 Admin Console
- 系统管理员声明域,用于确认域的所有权(在此示例中为acme.com)
- 系统管理员设置用户目录
- 系统管理员在配置身份提供程序(IDP) Admin Console 用于SSO设置。
- AEM管理员可以像往常一样管理本地组、权限和特权。 请参阅用户和组同步
将用户载入 Admin Console
根据客户的规模和偏好,可通过三种方式载入用户:
- 在中手动创建用户和组 Admin Console
- 上传包含用户的CSV文件
- 从客户的企业Active Directory同步用户和组。
手动添加至 Admin Console UI
可以在中手动创建用户和组 Admin Console UI。 如果可供管理的用户不多,则可以使用此方法。 例如,少于50个AEM用户。
如果客户已在使用此方法管理其他Adobe产品(如Adobe Analytics、Adobe Target或Adobe Creative Cloud应用程序),也可以手动创建用户。
文件上传位置 Admin Console UI
为便于创建用户,可以上传CSV文件以批量添加用户:
用户同步工具
用户同步工具(简称UST)使企业客户能够创建或管理使用Active Directory或其他经过测试的OpenLDAP目录服务的Adobe用户。 目标用户是IT身份管理员(企业目录和系统管理员),他们将能够安装和配置该工具。 开源工具是可自定义的,因此客户可以要求开发人员对其进行修改,以满足他们自己的特定要求。
当用户同步运行时,它会从组织的Active Directory(或任何其他兼容的数据源)中获取用户列表,并将其与 Admin Console. 然后调用Adobe User Management API以便 Admin Console 与组织的目录同步。 更改流程完全是单向的;任何在 Admin Console 不要被推送到目录。
该工具允许系统管理员将客户目录中的用户组与中的产品配置和用户组进行映射 Admin Console,新的UST版本还允许在中动态创建用户组 Admin Console.
要设置用户同步,组织需要创建一组凭据,其方式与使用 User Management API.
User Sync通过AdobeGithub存储库分发到以下位置:
https://github.com/adobe-apiplatform/user-sync.py/releases/latest
请注意,支持创建动态组的预发行版2.4RC1可供使用,该版本可以在此处找到: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
此版本的主要功能是,能够动态映射新的LDAP组以获得中的用户成员资格。 Admin Console以及动态用户组创建。
有关新组功能的更多信息,请参阅此处:
AEM IMS配置将由Adobe Managed Services团队处理。 但是,客户管理员可以根据他们的要求(例如,自动组成员资格或组映射)对其进行修改。 您的Managed Services团队也将注册IMS客户端。
使用方法
在中管理产品和用户访问权限 Admin Console
当客户产品管理员登录到 Admin Console,他们将看到AEM Managed Services产品上下文的多个实例,如下所示:
在此示例中,组织 AEM-MS-Onboard 具有32个实例,这些实例跨不同的拓扑和环境,如暂存、生产等。
可以检查实例详细信息以标识实例:
在每个“产品上下文”实例下,都有一个关联的产品配置文件。 此产品配置文件用于为用户分配访问权限。
在此产品配置文件下添加的任何用户都将能够登录到该实例,如以下示例所示:
登录AEM
本地管理员登录
AEM可以继续支持管理员用户本地登录,因为登录屏幕具有本地登录选项:
基于 IMS 的登录
对于其他用户,只需在实例上配置 IMS 即可使用基于 IMS 的登录。用户第一次单击 使用Adobe登录 如下所示:
然后,他们将被重定向到IMS登录屏幕并输入其凭据:
如果在初始期间配置了联合IDP Admin Console 然后,用户将被重定向到用于SSO的客户IDP。
在以下示例中,IDP是Okta:
身份验证完成后,用户将被重定向回 AEM 并登录:
迁移现有用户
对于使用其他身份验证方法并且现在正迁移到IMS的现有AEM实例,需要执行迁移步骤。
AEM存储库中的现有用户(通过LDAP或SAML本地获取)可以使用用户迁移实用程序作为IDP迁移到指向IMS。
此实用程序将作为IMS配置的一部分由您的AMS团队运行。
在AEM中管理权限和ACL
将继续在AEM中管理访问控制和权限,这可以通过将来自IMS的用户组(例如,以下示例中的AEM-GRP-008)与定义了权限和访问控制的本地组分离来实现。 可以将从IMS同步的用户组分配给本地组并继承权限。
在以下示例中,我们将同步的组作为示例添加到本地 Dam_Users 组。
在本例中,用户还被分配到了 Admin Console. (可以使用用户同步工具从LDAP同步用户和组,也可以在本地创建。 参见 将用户载入Admin Console (更早)。
用户组仅在用户登录实例时同步。
用户是 IMS 中以下组的一部分:
用户登录时,会同步其组成员资格,如下所示:
在AEM中,可以将从IMS同步的用户组作为成员添加到现有的本地组,例如DAM用户。
如下所示,该组 AEM-GRP_008 继承DAM用户的权限和特权。 这是管理已同步组权限的有效方式,也常用于基于LDAP的身份验证方法。
