- 管理使用指南概觀
- 網站功能
- 運作
- 安全性
- 使用者管理與安全性
- 用戶、組和訪問權限管理
- 安全性檢查清單
- OWASP Top 10
- 在生產就緒模式中執行AEM
- 身分識別管理
- AEM Managed Services的Adobe IMS驗證和管理控制台支援
- 建立已關閉的使用者群組
- 減輕AEM中的序列化問題
- 用戶同步
- 封裝的Token支援
- 單一登入
- 如何在AEM中審核使用者管理作業
- SSL預設值
- SAML 2.0驗證處理常式
- AEM中的已關閉使用者群組
- Granite Operations —— 使用者與群組管理
- 在AEM中啟用CRXDE Lite
- 使用AEM 6設定LDAP
- 在安裝時設定管理員密碼
- AEM中的服務使用者
- 配置屬性的加密支援
- 處理AEM Foundation的GDPR要求
- 權限管理的承擔者視圖
- 內容處置篩選
- AEM 6.5中的自訂使用者群組對應
- 個性化
- 電子商務
- Integration
- 與第三方服務整合
- 與Salesforce整合
- 整合 Adobe Target
- 整合 Adobe Analytics
- 連線至Adobe Analytics和建立架構
- 設定Adobe Analytics的連結追蹤
- 使用Adobe Analytics屬性對應元件資料
- 設定Adobe Analytics的視訊追蹤
- HTTP2 傳送內容常見問答集
- 疑難排解您的Adobe Campaign整合
- SharePoint Connector授權、著作權聲明及免責聲明
- SharePoint Connector
- DHTML 檢視器生命週期結束常見問答集
- 與Adobe Campaign Classic整合
- 相關社群文章
- 與Adobe Campaign Standard整合
- Flash 檢視器生命週期結束注意事項
- 產品摘要
- 與Adobe動態標籤管理整合
- 選擇使用Adobe Analytics和Adobe Target
- AEM入口網站和Portlet
- 與Dynamic Media Classic整合(Scene7)
- AEM Livefyre Recipes
- 疑難排解整合問題
- 與BrightEdge Content Optimizer整合
- Catalog Producer
- 設定與Experience Cloud和Creative Cloud的AEM資產整合
- 與Silverpop Engage整合
- 與Adobe Campaign整合
- 與ExactTarget整合
- Analytics與外部提供者
- 與Adobe Marketing Cloud整合
- 手動設定與Adobe Target的整合
- 與Adobe Target整合的先決條件
- 使用Adobe I/O與Adobe Target整合
- Adobe分類
- 與Adobe Search&Promote整合
- 解決方案整合
- 將體驗片段匯出至Adobe Target
- 電子郵件範本的最佳做法
- 與Livefyre整合
- 最佳作法
- 內容管理
Adobe IMS驗證與支 Admin Console 援AEM Managed Services
請注意,此功能僅適用於Adobe Managed Services客戶。
簡介
AEM 6.4.3.0針對 Admin Console AEM Managed Services客戶推出AEM例項和Adobe IMS(Identity Management System)型驗證 的支援 。
AEM登入可讓AEM Managed Services客 Admin Console 戶在單一主控台中管理所有Experience Cloud使用者。 「使用者」和「群組」可指派給與AEM例項關聯的產品設定檔,允許他們登入特定例項。
重要焦點
- AEM IMS驗證支援僅適用於AEM作者、管理員或開發人員,不適用於客戶網站(如網站訪客)的外部使用者
- 這些 Admin Console 軟體會將AEM Managed Services客戶代表為IMS組織,其例項則代表為產品內容。 客戶系統和產品管理員將能夠管理例項的存取權
- AEM Managed Services將同步客戶拓撲與 Admin Console。 在中,每個例項會有一個AEM Managed Services產品內容例項 Admin Console。
- Product Profiles in Admin Console will determine which instances a user can access
- 支援使用客戶自己的SAML 2相容身分提供者的同盟驗證
- 僅支援Enterprise ID或Federated ID(針對客戶單一登入),不支援個人Adobe ID。
- User Management (在Adobe Admin Console中)將繼續歸客戶管理員所有。
架構
IMS驗證可在AEM和Adobe IMS端點之間使用OAuth通訊協定運作。 當使用者新增至IMS並擁有Adobe Identity後,他們就可以使用IMS憑證登入AEM Managed Services例項。
使用者登入流程如下所示,使用者將被重新導向至IMS,或選擇性地重新導向至客戶IDP進行SSO驗證,然後重新導向回AEM。
How To Set Up
Onboarding Organizations to Admin Console
The customer onboarding to Admin Console is a pre-requisite to using Adobe IMS for AEM authentication.
首先,客戶應在Adobe IMS中布建組織。 Adobe企業客戶在 Adobe中以IMS組織的形式呈現 Admin Console。
AEM Managed Services customers should already have an organization provisioned, and as part of the IMS provisioning, the customer instances will be made available in the Admin Console for managing user entitlements and access.
AMS和客戶將攜手合作,將使用者驗證移轉至IMS,讓每個客戶都能完成工作流程。
一旦客戶以IMS組織形式存在,而AMS完成為IMS布建客戶時,此為所需組態工作流程的摘要:
- The designated System Admin receives an invite to log in to the Admin Console
- 系統管理員聲明網域,以確認網域的所有權(在此範例中為acme.com)
- 系統管理員設定用戶目錄
- 系統管理員在SSO設定中設定身分提供者(IDP)。 Admin Console
- AEM管理員會照常管理本機群組、權限和權限。 請參閱使用者和群組同步
上線使用者至 Admin Console
根據客戶的規模及其偏好設定,有三種方式可讓使用者上線:
- 在 Admin Console
- 為使用者上傳CSV檔案
- 從客戶的企業Active Directory同步用戶和組。
Manual Addition through Admin Console UI
Users and Groups can be manually created in the Admin Console UI. 如果沒有大量使用者可管理,則可使用此方法。 例如,少於50位AEM使用者。
如果客戶已使用此方法管理其他Adobe產品,例如Analytics、Target或Creative Cloud應用程式,也可以手動建立使用者。
UI中的檔案上 Admin Console 傳
為方便使用者建立,可上傳CSV檔案以大量新增使用者:
使用者同步工具
使用者同步工具(簡稱UST)可讓企業客戶使用Active Directory或其他經測試的OpenLDAP目錄服務來建立或管理Adobe使用者。 目標用戶是IT Identity Administrators(Enterprise Directory和系統管理員),他們將能夠安裝和配置此工具。 開放原始碼工具可自訂,讓客戶可讓開發人員修改它以符合其特定需求。
When User Sync runs, it fetches a list of users from the organization’s Active Directory (or any other compatible data source) and compares it with the list of users within the Admin Console. It then calls the Adobe User Management API so that the Admin Console is synchronized with the organization’s directory. 改變流程完全是單向的;在中所做的任何 Admin Console 編輯都不會推送至目錄。
此工具可讓系統管理員將客戶目錄中的使用者群組與產品設定以及新的 Admin ConsoleUST版本中的使用者群組對應,也允許在中動態建立使用者群組 Admin Console。
若要設定「使用者同步」,組織需先透過與 User Management API 相同的使用方式,建立一組憑證。
使用者同步是透過Adobe Github存放庫在以下位置散發:
https://github.com/adobe-apiplatform/user-sync.py/releases/latest
請注意,2.4RC1搶鮮版已提供動態群組建立支援,您可在以下網址找到: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
The major features for this release are the ability to dynamically map new LDAP groups for user membership in the Admin Console, as well as dynamic user group creation.
有關新群組功能的詳細資訊,請參閱:
https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration
AEM IMS設定將由Adobe Managed Services團隊處理。 但是,客戶管理員可依其需求(例如「自動群組成員資格」或「群組對應」)來修改它。 IMS用戶端也將由您的受管理服務團隊註冊。
使用方式
Managing Products and User Access in Admin Console
When the customer Product Administrator logs in to Admin Console, they will see multiple instances of the AEM Managed Services Product Context as shown below:
In this example, the org AEM-MS-Onboard has 32 instances spanning different topologies and environments like Stage, Prod, etc.
可以檢查實例詳細資訊以標識實例:
在每個「產品內容」例項下,都會有相關聯的產品設定檔。 此產品設定檔用於指派使用者和群組的存取權。
在此產品設定檔下新增的任何使用者和群組都可以登入該例項,如下列範例所示:
登入AEM
本機管理員登入
AEM可繼續支援管理員使用者的本機登入,因為登入畫面有選項可在本機登入:
IMS 登入
若是其他使用者,在例項上設定 IMS 後,即可使用 IMS 登入。The user will first click on the Sign in with Adobe button as shown below:
然後,會將其重新導向至IMS登入畫面,並輸入其認證:
If a federated IDP is configured during initial Admin Console setup, then the user will be redirected to the customer IDP for SSO.
IDP為Okta,在以下範例中:
驗證完成後,系統會將使用者重新導向回 AEM 並登入:
移轉現有使用者
對於使用其他驗證方法且目前正在移轉至IMS的現有AEM例項,需要移轉步驟。
AEM儲存庫中的現有使用者(透過LDAP或SAML來源於本機)可以移轉至IMS,做為使用者移轉公用程式的IDP。
此公用程式將由您的AMS團隊執行,作為IMS布建的一部分。
管理AEM中的權限和ACL
AEM將繼續管理存取控制和權限,這可透過將來自IMS的使用者群組(例如,下例中的AEM-GRP-008)與定義權限和存取控制的本機群組分開來達成。 與IMS同步的使用者群組可指派給本機群組並繼承權限。
以下範例中,我們會示範將同步的群組新增至本機 Dam_Users 群組。
在這裡,用戶也被指派給中的幾個組 Admin Console。 (請注意,使用使用者同步工具或在本機建立使用者和群組可從LDAP同步,請參閱上述的「 入門使用者Admin Console 」一節)。
*請注意,用戶只有在登錄到實例時,用戶組才會同步,對於擁有大量用戶和組的客戶,AMS可以運行組同步實用程式來預取組,以進行上述訪問控制和權限管理。
使用者屬於 IMS 中的下列群組:
使用者登入後,系統會同步其群組成員資格,如下所示:
在AEM中,從IMS同步的使用者群組可以新增為現有本機群組的成員,例如DAM使用者。
如下所示,群組 AEM-GRP_008 會繼承DAM使用者的權限和權限。 這是管理同步群組權限的有效方式,也常用於LDAP驗證方法。
