- 管理使用手冊概述
- 站點功能
- 運作
- 安全性
- 用戶管理和安全
- 用戶、組和訪問權限管理
- 安全核對表
- OWASP前10
- 在生AEM產就緒模式下運行
- Identity Management
- Adobe IMS身份驗證和Admin Console支援AEMManaged Services
- 建立關閉的用戶組
- 緩解中的序列化問AEM題
- 用戶同步
- 封裝的令牌支援
- 單一登錄
- 如何審核用戶管理操AEM作
- 預設情況下SSL
- SAML 2.0 驗證處理常式
- 中的已關閉用戶AEM組
- 花崗岩操作 — 用戶和組管理
- 啟用CRXDE LiteAEM
- 配置LDAPAEM 6
- 在安裝時配置管理員密碼
- 服務用AEM戶
- 配置屬性的加密支援
- 處理Foundation的GDPR請AEM求
- 權限管理的主體視圖
- 內容處置篩選器
- 6.5中的自定義AEM用戶組映射
- 同一站點Cookie支援
- 個性化
- 整合
- 與第三方服務整合
- 與Salesforce整合
- 整合 Adobe Target
- 整合 Adobe Analytics
- 連接到Adobe Analytics並建立框架
- 為Adobe Analytics配置鏈路跟蹤
- 使用Adobe Analytics屬性映射元件資料
- 為Adobe Analytics配置視頻跟蹤
- 使用IMS與Adobe Analytics整合
- HTTP2 傳送內容常見問答集
- 排除您的Adobe Campaign整合故障
- SharePoint連接器許可證、版權聲明和免責聲明
- SharePoint連接器
- DHTML 檢視器生命週期結束常見問答集
- 與Adobe Campaign Classic整合
- 相關社群文章
- 與Adobe Campaign Standard整合
- Flash 檢視器生命週期結束注意事項
- 產品源
- 與Adobe動態Tag Management整合
- 跳進Adobe Analytics和Adobe Target
- 門AEM戶和Portlet
- 與Dynamic Media Classic(Scene7)一體
- AEM Livefyre 指導方針
- 疑難排解整合問題
- 與BrightEdge Content Optimizer整合
- 目錄製作者
- 與Silverpop Engage整合
- 與Adobe Campaign整合
- 與ExactTarget整合
- 使用外部提供程式進行分析
- 與Adobe Marketing Cloud
- 手動配置與Adobe Target的整合
- 與Adobe Target整合的先決條件
- 使用IMS與Adobe Target整合
- Adobe分類
- 與AdobeSearch&Promote整合
- 解決方案整合
- 將體驗片段導出到Adobe Target
- 電子郵件模板的最佳做法
- 與 Livefyre 整合
- 最佳作法
- 內容管理
AEM Managed Services的Adobe IMS驗證和Admin Console支援
請注意,此功能僅供Adobe Managed Services客戶使用。
AEM目前不支援將群組指派給設定檔。 使用者應改為個別新增。
簡介
AEM 6.4.3.0推出Admin Console支援AEM例項和Adobe IMS(Identity Management系統)驗證,供AEM Managed Services客戶使用。
AEM上線至Admin Console可讓AEM Managed Services客戶在一個主控台中管理所有Experience Cloud使用者。 可將使用者和群組指派給與AEM例項相關聯的產品設定檔,讓他們登入特定例項。
重要焦點
- AEM IMS驗證支援僅適用於AEM作者、管理員或開發人員,不適用於客戶網站的外部使用者,例如網站訪客
- Admin Console會將AEM Managed Services客戶表示為IMS組織,並將其例項表示為產品內容。 客戶系統和產品管理員將能管理例項的存取權
- AEM Managed Services會使用Admin Console同步客戶拓撲。 在Admin Console中,每個例項都有一個AEM Managed Services產品內容例項。
- Admin Console中的產品設定檔將決定使用者可以存取的例項
- 支援使用客戶自己符合SAML 2的身分提供者進行同盟驗證
- 僅支援Enterprise ID或Federated ID(適用於客戶單一登入),不支援個人AdobeID。
- User Management (在Adobe Admin Console中)將繼續由客戶管理員擁有。
架構
IMS驗證的運作方式是在AEM和Adobe IMS端點之間使用OAuth通訊協定。 使用者新增至IMS且擁有Adobe身分識別後,就可以使用IMS憑證登入AEM Managed Services執行個體。
使用者登入流程如下所示,系統會將使用者重新導向至IMS,並選擇性地導向至客戶IDP以進行SSO驗證,然後重新導向回AEM。
如何設定
在Admin Console中布建組織
客戶必須上線至Admin Console才能使用Adobe IMS進行AEM驗證。
第一步,客戶應該有已布建於Adobe IMS中的組織。 Adobe企業客戶在Adobe Admin Console中會顯示為IMS組織。
AEM Managed Services客戶應已布建組織,而在IMS布建過程中,將可在Admin Console中使用客戶例項,以管理使用者權益和存取權。
移至IMS進行使用者驗證是AMS與客戶之間的共同努力,每個客戶都有自己的工作流程要完成。
客戶成為IMS組織且AMS完成為IMS布建客戶後,以下為所需設定工作流程的摘要:
- 指定的系統管理員會收到登入Admin Console的邀請
- 系統管理員聲明網域以確認網域的所有權(在此範例中為acme.com)
- 系統管理員設定使用者目錄
- 系統管理員會針對SSO設定,在Admin Console中設定身分提供者(IDP)。
- AEM管理員可照常管理本機群組、權限。 請參閱使用者和群組同步
在Admin Console中引導用戶
根據客戶的規模和偏好設定,建立使用者的方式有三種:
- 在Admin Console中手動建立用戶和組
- 上傳含有使用者的CSV檔案
- 從客戶的企業Active Directory同步用戶和組。
通過Admin Console UI手動添加
可在Admin Console UI中手動建立使用者和群組。 如果沒有大量使用者可管理,則可使用此方法。 例如,少於50個AEM使用者。
如果客戶已使用此方法管理其他Adobe產品(例如Analytics、Target或Creative Cloud應用程式),也可以手動建立使用者。
Admin Console UI中的檔案上傳
為方便建立使用者,可上傳CSV檔案以大量新增使用者:
使用者同步工具
用戶同步工具(簡稱UST)使企業客戶能夠利用Active Directory或其他經測試的OpenLDAP目錄服務建立或管理Adobe用戶。 目標使用者是IT身分管理員(企業目錄和系統管理員),他們將能夠安裝和配置此工具。 可自訂開放原始碼工具,讓客戶可讓開發人員修改它,以符合自己的特定需求。
當「用戶同步」運行時,它會從組織的Active Directory(或任何其他相容的資料源)中提取用戶清單,並與Admin Console內的用戶清單進行比較。 然後,它會呼叫AdobeUser Management API,以便將Admin Console與組織的目錄同步。 變更流程完全是單向的;在Admin Console中所做的任何編輯都不會推送至目錄。
此工具允許系統管理員將客戶目錄中的使用者群組與Admin Console中的產品設定和使用者群組對應,而新的UST版本也允許在Admin Console中動態建立使用者群組。
若要設定「使用者同步」,組織需先透過與 User Management API 相同的使用方式,建立一組憑證。
使用者同步是透過AdobeGithub存放庫分送,位置如下:
https://github.com/adobe-apiplatform/user-sync.py/releases/latest
請注意,搶鮮版2.4RC1提供建立動態群組的支援,可在此處找到:https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
此版本的主要功能是能夠動態映射Admin Console中用戶成員資格的新LDAP組,以及建立動態用戶組。
如需新群組功能的詳細資訊,請參閱:
https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration
AEM IMS設定將由Adobe Managed Services團隊處理。 但是,客戶管理員可根據其需求(例如「自動群組成員資格」或「群組對應」)對其進行修改。 您的Managed Services團隊也會註冊IMS用戶端。
使用方式
在Admin Console中管理產品和用戶訪問
當客戶產品管理員登入Admin Console時,他們會看到AEM Managed Services產品內容的多個例項,如下所示:
在此範例中,組織AEM-MS-Onboard有32個執行個體,橫跨不同的拓撲和環境,例如Stage、Prod等。
您可以檢查執行個體詳細資訊,以識別執行個體:
在每個「產品內容」例項下,都會有相關聯的「產品設定檔」。 此產品設定檔用於指派存取權給使用者和群組。
在此產品設定檔中新增的任何使用者和群組都可以登入該執行個體,如下列範例所示:
登入AEM
本機管理員登入
AEM可繼續支援管理員使用者的本機登入,因為登入畫面可以選取本機登入:
IMS 登入
若是其他使用者,在例項上設定 IMS 後,即可使用 IMS 登入。使用者會先按一下使用Adobe登入按鈕,如下所示:
接著,系統會將使用者重新導向至IMS登入畫面,並輸入其認證:
如果在初始Admin Console設定期間設定了同盟IDP,系統會將使用者重新導向至客戶IDP,以執行SSO。
以下範例中為Okta:
驗證完成後,系統會將使用者重新導向回 AEM 並登入:
移轉現有使用者
若現有AEM例項使用其他驗證方法,且現在正移轉至IMS,則需要進行移轉步驟。
AEM存放庫中的現有使用者(來源為本機、透過LDAP或SAML)可移轉至使用者移轉公用程式,將IMS視為IDP。
此公用程式將由您的AMS團隊執行,作為IMS布建的一部分。
在AEM中管理權限和ACL
AEM將繼續管理存取控制和權限,這可透過分離來自IMS的使用者群組(例如下列範例中的AEM-GRP-008)和定義權限和存取控制的本機群組來達成。 可將從IMS同步的使用者群組指派給本機群組,並繼承權限。
以下範例中,我們會示範將同步的群組新增至本機 Dam_Users 群組。
在此,Admin Console中也將用戶分配給了幾個組。 (請注意,可使用使用者同步工具從LDAP同步使用者和群組,或在本機建立,請參閱上述將使用者引導至Admin Console一節)。
使用者登入執行個體時,才會同步使用者群組。
使用者屬於 IMS 中的下列群組:
使用者登入後,系統會同步其群組成員資格,如下所示:
在AEM中,從IMS同步的使用者群組可以新增為現有本機群組(例如DAM使用者)的成員。
如下所示,群組AEM-GRP_008繼承DAM使用者的權限。 這是管理同步群組權限的有效方式,也常用於LDAP型驗證方法。
