- 管理使用指南概觀
- 網站功能
- 運作
- 安全性
- 使用者管理與安全性
- 用戶、組和訪問權限管理
- 安全性檢查清單
- OWASP Top 10
- 在生產就緒模式中執行AEM
- 身分識別管理
- AEM Managed Services的Adobe IMS驗證和管理控制台支援
- 建立已關閉的使用者群組
- 減輕AEM中的序列化問題
- 用戶同步
- 封裝的Token支援
- 單一登入
- 如何在AEM中審核使用者管理作業
- SSL預設值
- SAML 2.0驗證處理常式
- AEM中的已關閉使用者群組
- Granite Operations —— 使用者與群組管理
- 在AEM中啟用CRXDE Lite
- 使用AEM 6設定LDAP
- 在安裝時設定管理員密碼
- AEM中的服務使用者
- 配置屬性的加密支援
- 處理AEM Foundation的GDPR要求
- 權限管理的承擔者視圖
- 內容處置篩選
- AEM 6.5中的自訂使用者群組對應
- 個性化
- 電子商務
- 整合
- 與第三方服務整合
- 與Salesforce整合
- 整合 Adobe Target
- 整合 Adobe Analytics
- 連線至Adobe Analytics和建立架構
- 設定Adobe Analytics的連結追蹤
- 使用Adobe Analytics屬性對應元件資料
- 設定Adobe Analytics的視訊追蹤
- HTTP2 傳送內容常見問答集
- 疑難排解您的Adobe Campaign整合
- SharePoint Connector授權、著作權聲明及免責聲明
- SharePoint Connector
- DHTML 檢視器生命週期結束常見問答集
- 與Adobe Campaign Classic整合
- 相關社群文章
- 與Adobe Campaign Standard整合
- Flash 檢視器生命週期結束注意事項
- 產品摘要
- 與Adobe動態標籤管理整合
- 選擇使用Adobe Analytics和Adobe Target
- AEM入口網站和Portlet
- 與Dynamic Media Classic整合(Scene7)
- AEM Livefyre Recipes
- 疑難排解整合問題
- 與BrightEdge Content Optimizer整合
- Catalog Producer
- 設定與Experience Cloud和Creative Cloud的AEM資產整合
- 與Silverpop Engage整合
- 與Adobe Campaign整合
- 與ExactTarget整合
- Analytics與外部提供者
- 與Adobe Marketing Cloud整合
- 手動設定與Adobe Target的整合
- 與Adobe Target整合的先決條件
- 使用Adobe I/O與Adobe Target整合
- Adobe分類
- 與Adobe Search&Promote整合
- 解決方案整合
- 將體驗片段匯出至Adobe Target
- 電子郵件範本的最佳做法
- 與Livefyre整合
- 最佳作法
- 內容管理
Adobe IMS驗證與Admin Console支援AEM Managed Services
請注意,此功能僅適用於Adobe Managed Services客戶。
簡介
AEM 6.4.3.0針對AEM Managed Services客戶推出Admin Console支援AEM例項和Adobe IMS(Identity Management System)驗證。
AEM登入Admin Console可讓AEM Managed Services客戶在單一主控台中管理所有Experience Cloud使用者。 「使用者」和「群組」可指派給與AEM例項關聯的產品設定檔,允許他們登入特定例項。
重要焦點
- AEM IMS驗證支援僅適用於AEM作者、管理員或開發人員,不適用於客戶網站(如網站訪客)的外部使用者
- Admin Console會將AEM Managed Services客戶代表為IMS組織,其例項則代表為產品內容。 客戶系統和產品管理員將能夠管理例項的存取權
- AEM Managed Services將客戶拓撲與Admin Console同步。 在Admin Console中,每個例項會有一個AEM Managed Services Product Context例項。
- Admin Console中的產品設定檔將決定使用者可存取的例項
- 支援使用客戶自己的SAML 2相容身分提供者的同盟驗證
- 僅支援Enterprise ID或Federated ID(針對客戶單一登入),不支援個人Adobe ID。
- User Management (在Adobe Admin Console中)將繼續歸客戶管理員所有。
架構
IMS驗證可在AEM和Adobe IMS端點之間使用OAuth通訊協定運作。 當使用者新增至IMS並擁有Adobe Identity後,他們就可以使用IMS憑證登入AEM Managed Services例項。
使用者登入流程如下所示,使用者將被重新導向至IMS,或選擇性地重新導向至客戶IDP進行SSO驗證,然後重新導向回AEM。
如何設定
將組織上線至Admin Console
客戶上線至Admin Console是使用Adobe IMS進行AEM驗證的先決條件。
首先,客戶應在Adobe IMS中布建組織。 Adobe企業客戶在Adobe Admin Console中以IMS組織的形式呈現。
AEM Managed Services客戶應已布建組織,而作為IMS布建的一部分,Admin Console中將提供客戶例項,以管理使用者權益和存取權。
AMS和客戶將攜手合作,將使用者驗證移轉至IMS,讓每個客戶都能完成工作流程。
一旦客戶以IMS組織形式存在,而AMS完成為IMS布建客戶時,此為所需組態工作流程的摘要:
- 指定的系統管理員會收到登入Admin Console的邀請
- 系統管理員聲明網域,以確認網域的所有權(在此範例中為acme.com)
- 系統管理員設定用戶目錄
- 系統管理員在Admin Console中設定身分提供者(IDP)以進行SSO設定。
- AEM管理員會照常管理本機群組、權限和權限。 請參閱使用者和群組同步
將用戶引導到Admin Console
根據客戶的規模及其偏好設定,有三種方式可讓使用者上線:
- 在Admin Console中手動建立用戶和組
- 為使用者上傳CSV檔案
- 從客戶的企業Active Directory同步用戶和組。
通過Admin Console UI手動添加
您可以在Admin Console UI中手動建立使用者和群組。 如果沒有大量使用者可管理,則可使用此方法。 例如,少於50位AEM使用者。
如果客戶已使用此方法管理其他Adobe產品,例如Analytics、Target或Creative Cloud應用程式,也可以手動建立使用者。
Admin Console UI中的檔案上傳
為方便使用者建立,可上傳CSV檔案以大量新增使用者:
使用者同步工具
使用者同步工具(簡稱UST)可讓企業客戶使用Active Directory或其他經測試的OpenLDAP目錄服務來建立或管理Adobe使用者。 目標用戶是IT Identity Administrators(Enterprise Directory和系統管理員),他們將能夠安裝和配置此工具。 開放原始碼工具可自訂,讓客戶可讓開發人員修改它以符合其特定需求。
當使用者同步執行時,會從組織的Active Directory(或任何其他相容的資料來源)擷取使用者清單,並與Admin Console中的使用者清單進行比較。 接著會呼叫Adobe User Management API,讓Admin Console與組織的目錄同步。 改變流程完全是單向的;在Admin Console中所做的任何編輯都不會推送至目錄。
此工具可讓系統管理員將客戶目錄中的使用者群組與Admin Console中的產品設定和使用者群組對應,而新的UST版本也允許在Admin Console中動態建立使用者群組。
若要設定「使用者同步」,組織需先透過與 User Management API 相同的使用方式,建立一組憑證。
使用者同步是透過Adobe Github存放庫在以下位置散發:
https://github.com/adobe-apiplatform/user-sync.py/releases/latest
請注意,2.4RC1搶鮮版已提供動態群組建立支援,您可在以下網址找到:https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
此版本的主要功能是動態映射Admin Console中使用者成員資格的新LDAP群組,以及建立動態使用者群組。
有關新群組功能的詳細資訊,請參閱:
https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration
AEM IMS設定將由Adobe Managed Services團隊處理。 但是,客戶管理員可依其需求(例如「自動群組成員資格」或「群組對應」)來修改它。 IMS用戶端也將由您的受管理服務團隊註冊。
使用方式
在Admin Console中管理產品和用戶訪問
當客戶產品管理員登入Admin Console時,他們會看到AEM Managed Services產品內容的多個例項,如下所示:
在此示例中,組織AEM-MS-Onboard具有32個實例,這些實例跨越不同的拓撲和環境,如Stage、Prod等。
可以檢查實例詳細資訊以標識實例:
在每個「產品內容」例項下,都會有相關聯的產品設定檔。 此產品設定檔用於指派使用者和群組的存取權。
在此產品設定檔下新增的任何使用者和群組都可以登入該例項,如下列範例所示:
登入AEM
本地管理員登錄
AEM可繼續支援管理員使用者的本機登入,因為登入畫面有選項可在本機登入:
IMS 登入
若是其他使用者,在例項上設定 IMS 後,即可使用 IMS 登入。使用者會先按一下「使用Adobe 登入」按鈕,如下所示:
然後,會將其重新導向至IMS登入畫面,並輸入其認證:
如果在初始Admin Console設定期間設定了同盟IDP,則會將使用者重新導向至客戶IDP以進行SSO。
IDP為Okta,在以下範例中:
驗證完成後,系統會將使用者重新導向回 AEM 並登入:
遷移現有用戶
對於使用其他驗證方法且目前正在移轉至IMS的現有AEM例項,需要移轉步驟。
AEM儲存庫中的現有使用者(透過LDAP或SAML來源於本機)可以移轉至IMS,做為使用者移轉公用程式的IDP。
此公用程式將由您的AMS團隊執行,作為IMS布建的一部分。
管理AEM中的權限和ACL
AEM將繼續管理存取控制和權限,這可透過將來自IMS的使用者群組(例如,下例中的AEM-GRP-008)與定義權限和存取控制的本機群組分開來達成。 與IMS同步的使用者群組可指派給本機群組並繼承權限。
以下範例中,我們會示範將同步的群組新增至本機 Dam_Users 群組。
在此,Admin Console中也將用戶分配給了幾個組。 (請注意,使用使用者同步工具或在本機建立使用者和群組可從LDAP同步,請參閱上述的「上線使用者」一節)。Admin Console
*請注意,用戶只有在登錄到實例時,用戶組才會同步,對於擁有大量用戶和組的客戶,AMS可以運行組同步實用程式來預取組,以進行上述訪問控制和權限管理。
使用者屬於 IMS 中的下列群組:
使用者登入後,系統會同步其群組成員資格,如下所示:
在AEM中,從IMS同步的使用者群組可以新增為現有本機群組的成員,例如DAM使用者。
如下所示,群組AEM-GRP_008繼承DAM使用者的權限和權限。 這是管理同步群組權限的有效方式,也常用於LDAP驗證方法。
