- Administering使用手冊概覽
- Sites功能
- 運作
- 安全性
- 使用者管理與安全性
- 使用者、群組和存取許可權管理
- 安全性檢查清單
- OWASP前10名
- 以生產就緒模式執行AEM
- Identity Management
- AEM Managed Services的Adobe IMS驗證和Admin Console支援
- 建立已關閉的使用者群組
- 緩解AEM中的序列化問題
- 使用者同步
- 封裝權杖支援
- 單一登入
- 如何在AEM中稽核使用者管理作業
- SSL預設值
- SAML 2.0 驗證處理常式
- AEM中的封閉式使用者群組
- Granite作業 — 使用者和群組管理
- 在AEM中啟用CRXDE Lite
- 使用AEM 6設定LDAP
- 在安裝時設定管理員密碼
- AEM中的服務使用者
- 設定屬性的加密支援
- 處理AEM Foundation的GDPR請求
- 許可權管理的主體檢視
- 內容處置篩選
- AEM 6.5中的自訂使用者群組對應
- 相同網站Cookie支援
- 個人化
- 整合
- 與協力廠商服務整合
- 與Salesforce整合
- 整合 Adobe Target
- 與 Adobe Learning Manager 整合
- 整合 Adobe Analytics
- 連線到Adobe Analytics和建立框架
- 設定Adobe Analytics的連結追蹤
- 將元件資料與Adobe Analytics屬性對應
- 設定Adobe Analytics的視訊追蹤
- 使用IMS與Adobe Analytics整合
- HTTP2 傳送內容常見問答集
- 疑難排解Adobe Campaign整合
- SharePoint Connector授權、版權注意事項和免責宣告
- SharePoint聯結器
- DHTML 檢視器生命週期結束常見問答集
- 與Adobe Campaign Classic整合
- 相關社群文章
- 與Adobe Campaign Standard整合
- Flash 檢視器生命週期結束注意事項
- 與Adobe Dynamic Tag Management整合
- 選擇使用Adobe Analytics和Adobe Target
- AEM入口網站和Portlet
- 與Dynamic Media Classic (Scene7)整合
- AEM Livefyre 指導方針
- 疑難排解整合問題
- 與BrightEdge Content Optimizer整合
- 目錄製作者
- 與Silverpop Engage整合
- 與 Adobe Campaign 整合
- 與ExactTarget整合
- Analytics與外部提供者
- 與Adobe Marketing Cloud整合
- 手動設定與Adobe Target的整合
- 與Adobe Target整合的必要條件
- 使用IMS與Adobe Target整合
- Adobe分類
- 解決方案整合
- 將體驗片段匯出到 Adobe Target
- 電子郵件範本的最佳實務
- 與 Livefyre 整合
- 最佳作法
- 內容管理
Adobe IMS驗證和 Admin Console 支援AEM Managed Services
請注意,此功能僅適用於Adobe Managed Services客戶。
AEM 目前不支援指派群組到設定檔。應單獨新增使用者。
簡介
AEM 6.4.3.0引入 Admin Console 支援AEM執行個體和Adobe IMS (Identity Management System)驗證 AEM Managed Services 客戶。
AEM入門 Admin Console 可讓AEM Managed Services客戶在單一主控台中管理所有Experience Cloud使用者。 您可以將使用者指派給與AEM執行個體相關聯的產品設定檔,好讓他們登入特定執行個體。
重要焦點
- AEM IMS驗證支援僅適用於AEM作者、管理員或開發人員,不適用於客戶網站的外部一般使用者,例如網站訪客
- 此 Admin Console 會將AEM Managed Services客戶表示為IMS組織,將其執行個體表示為產品內容。 客戶系統和產品管理員將能管理執行個體的存取權
- AEM Managed Services會將客戶拓撲與 Admin Console. 中每個執行個體會有一個AEM Managed Services產品內容執行個體 Admin Console.
- 中的產品設定檔 Admin Console 將決定使用者可存取的執行個體
- 支援使用客戶自己的SAML 2相容身分提供者進行同盟驗證
- 僅支援Enterprise ID或Federated ID (適用於客戶單一登入),不支援個人AdobeID。
- User Management (Adobe中) Admin Console)將繼續由客戶管理員擁有。
架構
IMS驗證是透過在AEM和Adobe IMS端點之間使用OAuth通訊協定來運作。 使用者新增至IMS並擁有Adobe身分後,就能使用IMS憑證登入AEM Managed Services執行個體。
使用者登入流程如下所示,系統會將使用者重新導向至IMS,並可選擇重新導向至客戶IDP進行SSO驗證,然後重新導向回AEM。
如何設定
將組織上線至 Admin Console
客戶入門至 Admin Console 是使用Adobe IMS進行AEM驗證的先決條件。
首先,客戶應在Adobe IMS中布建組織。 Adobe企業客戶在中表示為IMS組織 Adobe Admin Console.
AEM Managed Services客戶應先布建組織,而在IMS布建過程中,客戶例項將可在 Admin Console 用於管理使用者權益和存取權。
移至IMS進行使用者驗證將由AMS和客戶共同負責,每位客戶都有各自的工作流程要完成。
當客戶作為IMS組織存在且AMS完成布建客戶的IMS後,以下是所需的設定工作流程的摘要:
- 指定的系統管理員會收到登入 Admin Console
- 系統管理員宣告網域,以確認網域的所有權(在此範例中為acme.com)
- 系統管理員設定使用者目錄
- 系統管理員會於以下位置設定身分提供者(IDP): Admin Console 用於SSO設定。
- AEM管理員會照常管理本機群組、許可權和許可權。 請參閱使用者和群組同步
將使用者上線至 Admin Console
根據客戶的規模及偏好設定,有三種方式可吸引使用者:
- 在中手動建立使用者和群組 Admin Console
- 與使用者一起上傳CSV檔案
- 從客戶的企業Active Directory同步使用者和群組。
手動新增,透過 Admin Console UI
使用者與群組可在以下位置手動建立: Admin Console UI。 如果可供管理的使用者不多,則可使用此方法。 例如,少於50名AEM使用者的數目。
如果客戶已使用此方法來管理其他Adobe產品(例如Analytics、Target或Creative Cloud應用程式),也可以手動建立使用者。
檔案上傳位置 Admin Console UI
為方便建立使用者,可上傳CSV檔案以大量新增使用者:
使用者同步工具
使用者同步工具(簡稱UST)可讓企業客戶利用Active Directory或其他經過測試的OpenLDAP目錄服務,建立或管理Adobe使用者。 目標使用者是IT身分管理員(企業目錄與系統管理員),他們能夠安裝及設定此工具。 開放原始碼工具可自訂,因此客戶可讓開發人員修改該工具,以符合其自身的特定需求。
當執行「使用者同步」時,它會從組織的Active Directory (或任何其他相容的資料來源)擷取使用者清單,並與 Admin Console. 然後它會呼叫Adobe User Management API讓您 Admin Console 與組織的目錄同步。 變更流程完全是單向的;任何在 Admin Console 不要推送至目錄。
此工具可讓系統管理員將客戶目錄中的使用者群組,與中的產品設定和使用者群組對應。 Admin Console,新的UST版本也允許在中動態建立使用者群組 Admin Console.
若要設定「使用者同步」,組織需先透過與 User Management API 相同的使用方式,建立一組憑證。
使用者同步會透過AdobeGithub存放庫分散於以下位置:
https://github.com/adobe-apiplatform/user-sync.py/releases/latest
請注意,搶鮮版2.4RC1提供建立動態群組的支援,可從此處找到: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
此版本的主要功能是,能夠動態對應新的LDAP群組,以取得使用者在 Admin Console以及動態使用者群組建立。
有關新群組功能的詳細資訊,請參閱此處:
AEM IMS設定將由Adobe Managed Services團隊處理。 但是,客戶管理員可以根據他們的需求(例如,自動群組成員資格或群組對應)來修改它。 您的Managed Services團隊也將註冊IMS使用者端。
使用方式
在中管理產品和使用者存取權 Admin Console
當客戶產品管理員登入 Admin Console,他們會看到AEM Managed Services產品內容的多個例項,如下所示:
在此範例中,組織 AEM-MS-Onboard 有32個執行個體,橫跨不同的拓撲和環境,例如Stage、Prod等。
可以檢查執行個體詳細資訊以識別執行個體:
在每個「產品內容」例項下,都會有一個相關聯的產品設定檔。 此產品設定檔用於指派存取許可權給使用者。
在此產品設定檔中新增的任何使用者都可以登入該執行個體,如以下範例所示:
登入AEM
本機管理員登入
AEM可繼續支援管理員使用者的本機登入,因為登入畫面有可本機登入的選項:
IMS 登入
若是其他使用者,在執行個體上設定 IMS 後,即可使用 IMS 登入。使用者將先按一下 使用Adobe登入 按鈕,如下所示:
接著,系統會將使用者重新導向至IMS登入畫面,並輸入其認證:
如果在初始期間設定了同盟IDP Admin Console 之後,系統會將使用者重新導向至客戶IDP以進行SSO。
在以下範例中,IDP為Okta:
驗證完成後,系統會將使用者重新導向回 AEM 並登入:
移轉現有使用者
對於使用其他驗證方法且現在正移轉至IMS的現有AEM執行個體,需要移轉步驟。
AEM存放庫中的現有使用者(來源為本機,透過LDAP或SAML)可以使用使用者移轉公用程式以指向IMS作為IDP。
此公用程式將由您的AMS團隊在IMS布建過程中執行。
在AEM中管理許可權和ACL
存取控制和許可權將繼續在AEM中管理,這可以透過將來自IMS的使用者群組(例如,以下範例中的AEM-GRP-008)與定義許可權和存取控制的本機群組分離來達成。 可將從IMS同步的使用者群組指派給本機群組,並繼承許可權。
以下範例中,我們會示範將同步的群組新增至本機 Dam_Users 群組。
在此,使用者也被指派到中的一些群組 Admin Console. (請注意,使用使用者同步工具可從LDAP同步使用者與群組,或在本機建立,請參閱區段 將使用者上線至Admin Console (以上)。
只有當使用者登入執行個體時,使用者群組才會同步。
使用者屬於 IMS 中的下列群組:
使用者登入後,系統會同步其群組成員資格,如下所示:
在AEM中,與IMS同步的使用者群組可以成員身分新增至現有的本機群組,例如DAM使用者。
如下所示,該群組 AEM-GRP_008 繼承DAM使用者的許可權和特權。 這是管理已同步群組許可權的有效方式,也常用於LDAP驗證方法。
