請注意,此功能僅適用於Adobe Managed Services客戶。
AEM 6.4.3.0針對AEM Managed Services客戶推出Admin Console支援AEM例項和Adobe IMS(Identity Management System)驗證。
AEM登入Admin Console可讓AEM Managed Services客戶在單一主控台中管理所有Experience Cloud使用者。 「使用者」和「群組」可指派給與AEM例項關聯的產品設定檔,允許他們登入特定例項。
IMS驗證可在AEM和Adobe IMS端點之間使用OAuth通訊協定運作。 當使用者新增至IMS並擁有Adobe Identity後,他們就可以使用IMS憑證登入AEM Managed Services例項。
使用者登入流程如下所示,使用者將被重新導向至IMS,或選擇性地重新導向至客戶IDP進行SSO驗證,然後重新導向回AEM。
客戶上線至Admin Console是使用Adobe IMS進行AEM驗證的先決條件。
首先,客戶應在Adobe IMS中布建組織。 Adobe企業客戶在Adobe Admin Console中以IMS組織的形式呈現。
AEM Managed Services客戶應已布建組織,而作為IMS布建的一部分,Admin Console中將提供客戶例項,以管理使用者權益和存取權。
AMS和客戶將攜手合作,將使用者驗證移轉至IMS,讓每個客戶都能完成工作流程。
一旦客戶以IMS組織形式存在,而AMS完成為IMS布建客戶時,此為所需組態工作流程的摘要:
根據客戶的規模及其偏好設定,有三種方式可讓使用者上線:
您可以在Admin Console UI中手動建立使用者和群組。 如果沒有大量使用者可管理,則可使用此方法。 例如,少於50位AEM使用者。
如果客戶已使用此方法管理其他Adobe產品,例如Analytics、Target或Creative Cloud應用程式,也可以手動建立使用者。
為方便使用者建立,可上傳CSV檔案以大量新增使用者:
使用者同步工具(簡稱UST)可讓企業客戶使用Active Directory或其他經測試的OpenLDAP目錄服務來建立或管理Adobe使用者。 目標用戶是IT Identity Administrators(Enterprise Directory和系統管理員),他們將能夠安裝和配置此工具。 開放原始碼工具可自訂,讓客戶可讓開發人員修改它以符合其特定需求。
當使用者同步執行時,會從組織的Active Directory(或任何其他相容的資料來源)擷取使用者清單,並與Admin Console中的使用者清單進行比較。 接著會呼叫Adobe User Management API,讓Admin Console與組織的目錄同步。 改變流程完全是單向的;在Admin Console中所做的任何編輯都不會推送至目錄。
此工具可讓系統管理員將客戶目錄中的使用者群組與Admin Console中的產品設定和使用者群組對應,而新的UST版本也允許在Admin Console中動態建立使用者群組。
若要設定「使用者同步」,組織需先透過與 User Management API 相同的使用方式,建立一組憑證。
使用者同步是透過Adobe Github存放庫在以下位置散發:
https://github.com/adobe-apiplatform/user-sync.py/releases/latest
請注意,2.4RC1搶鮮版已提供動態群組建立支援,您可在以下網址找到:https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
此版本的主要功能是動態映射Admin Console中使用者成員資格的新LDAP群組,以及建立動態使用者群組。
有關新群組功能的詳細資訊,請參閱:
https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration
AEM IMS設定將由Adobe Managed Services團隊處理。 但是,客戶管理員可依其需求(例如「自動群組成員資格」或「群組對應」)來修改它。 IMS用戶端也將由您的受管理服務團隊註冊。
當客戶產品管理員登入Admin Console時,他們會看到AEM Managed Services產品內容的多個例項,如下所示:
在此示例中,組織AEM-MS-Onboard具有32個實例,這些實例跨越不同的拓撲和環境,如Stage、Prod等。
可以檢查實例詳細資訊以標識實例:
在每個「產品內容」例項下,都會有相關聯的產品設定檔。 此產品設定檔用於指派使用者和群組的存取權。
在此產品設定檔下新增的任何使用者和群組都可以登入該例項,如下列範例所示:
AEM可繼續支援管理員使用者的本機登入,因為登入畫面有選項可在本機登入:
若是其他使用者,在例項上設定 IMS 後,即可使用 IMS 登入。使用者會先按一下「使用Adobe 登入」按鈕,如下所示:
然後,會將其重新導向至IMS登入畫面,並輸入其認證:
如果在初始Admin Console設定期間設定了同盟IDP,則會將使用者重新導向至客戶IDP以進行SSO。
IDP為Okta,在以下範例中:
驗證完成後,系統會將使用者重新導向回 AEM 並登入:
對於使用其他驗證方法且目前正在移轉至IMS的現有AEM例項,需要移轉步驟。
AEM儲存庫中的現有使用者(透過LDAP或SAML來源於本機)可以移轉至IMS,做為使用者移轉公用程式的IDP。
此公用程式將由您的AMS團隊執行,作為IMS布建的一部分。
AEM將繼續管理存取控制和權限,這可透過將來自IMS的使用者群組(例如,下例中的AEM-GRP-008)與定義權限和存取控制的本機群組分開來達成。 與IMS同步的使用者群組可指派給本機群組並繼承權限。
以下範例中,我們會示範將同步的群組新增至本機 Dam_Users 群組。
在此,Admin Console中也將用戶分配給了幾個組。 (請注意,使用使用者同步工具或在本機建立使用者和群組可從LDAP同步,請參閱上述的「上線使用者」一節)。Admin Console
*請注意,用戶只有在登錄到實例時,用戶組才會同步,對於擁有大量用戶和組的客戶,AMS可以運行組同步實用程式來預取組,以進行上述訪問控制和權限管理。
使用者屬於 IMS 中的下列群組:
使用者登入後,系統會同步其群組成員資格,如下所示:
在AEM中,從IMS同步的使用者群組可以新增為現有本機群組的成員,例如DAM使用者。
如下所示,群組AEM-GRP_008繼承DAM使用者的權限和權限。 這是管理同步群組權限的有效方式,也常用於LDAP驗證方法。