Alcune architetture si basano sull'effettuare chiamate all'AEM as a Cloud Service da un'applicazione ospitata su un server al di fuori dell'infrastruttura AEM. Ad esempio, un’app mobile che chiama un server e che quindi rende as a Cloud Service le richieste API all’AEM.
Il flusso server-to-server è descritto di seguito, insieme a un flusso semplificato per lo sviluppo. L'AEM as a Cloud Service Console per sviluppatori viene utilizzato per generare i token necessari per il processo di autenticazione.
Gli utenti con ruolo di amministratore dell’organizzazione IMS e che sono membri del profilo di prodotto Utenti AEM o Amministratori AEM nell’istanza Autore AEM possono generare un set di credenziali dall’AEM as a Cloud Service. Ogni credenziale è un payload JSON che include un certificato (la chiave pubblica), una chiave privata e un account tecnico costituito da una clientId
e clientSecret
. Tali credenziali possono essere recuperate in seguito da un utente con il ruolo di amministratore dell’ambiente as a Cloud Service dell’AEM e devono essere installate su un server non AEM e trattate con attenzione come chiave segreta. Questo file in formato JSON contiene tutti i dati necessari per l’integrazione con un’API as a Cloud Service per AEM. I dati vengono utilizzati per creare un token JWT firmato, che viene scambiato con l’Adobe Identity Management Services (IMS) per un token di accesso IMS. Questo token di accesso può quindi essere utilizzato come token di autenticazione Bearer per rendere as a Cloud Service le richieste all’AEM. Per impostazione predefinita, il certificato nelle credenziali scade dopo un anno, ma può essere aggiornato quando necessario, come descritto qui.
Il flusso server-to-server prevede i seguenti passaggi:
Gli utenti con accesso alla Console per sviluppatori as a Cloud Service all’AEM possono visualizzare la scheda integrazioni nella Console per sviluppatori per un determinato ambiente. L’utente con il ruolo di amministratore dell’ambiente as a Cloud Service dall’AEM può creare, visualizzare o gestire le credenziali.
Clic Crea nuovo account tecnico, viene creato un set di credenziali che include id client, segreto client, chiave privata, certificato e configurazione per i livelli di authoring e pubblicazione dell’ambiente, indipendentemente dalla selezione del pod.
Viene visualizzata una nuova scheda del browser con le credenziali. È possibile utilizzare questa visualizzazione per scaricare le credenziali premendo l'icona di download accanto al titolo dello stato:
Dopo la creazione, le credenziali verranno visualizzate nella sezione Account tecnici scheda in Integrazioni sezione:
Gli utenti possono visualizzare le credenziali in un secondo momento utilizzando l’azione Visualizza. Inoltre, come descritto più avanti nell’articolo, gli utenti possono modificare le credenziali per lo stesso account tecnico. Questa operazione viene eseguita creando una chiave privata o un certificato, nei casi in cui il certificato debba essere rinnovato o revocato.
Gli utenti con il ruolo Amministratore dell’ambiente as a Cloud Service dall’AEM possono in seguito creare credenziali per account tecnici aggiuntivi. Questa funzionalità è utile quando diverse API hanno requisiti di accesso diversi. Ad esempio, lettura e scrittura.
I clienti possono creare fino a dieci account tecnici, inclusi quelli già eliminati.
Un amministratore dell’organizzazione IMS (in genere lo stesso utente che ha eseguito il provisioning dell’ambiente tramite Cloud Manager), che è anche membro del profilo di prodotto Utenti AEM o Amministratori AEM su AEM Author, deve prima accedere a Console sviluppatori. Quindi, fai clic su Crea nuovo account tecnico le credenziali che devono essere generate e successivamente recuperate da un utente con autorizzazioni di amministratore per l’ambiente AEM as a Cloud Service. Se l’amministratore dell’organizzazione IMS non ha ancora creato l’account tecnico, viene visualizzato un messaggio per informare che è necessario il ruolo di amministratore dell’organizzazione IMS.
L’applicazione che effettua chiamate all’AEM dovrebbe poter accedere alle credenziali per l’AEM as a Cloud Service, trattandolo come un segreto.
Utilizza le credenziali per creare un token JWT in una chiamata al servizio IMS di Adobe per recuperare un token di accesso, valido per 24 ore.
Le credenziali del servizio CS AEM possono essere scambiate con un token di accesso utilizzando le librerie client progettate a questo scopo. Le librerie client sono disponibili da Archivio GitHub pubblico di Adobe, che contiene orientamenti più dettagliati e informazioni aggiornate.
/*jshint node:true */
"use strict";
const fs = require('fs');
const exchange = require("@adobe/aemcs-api-client-lib");
const jsonfile = "aemcs-service-credentials.json";
var config = JSON.parse(fs.readFileSync(jsonfile, 'utf8'));
exchange(config).then(accessToken => {
// output the access token in json form including when it will expire.
console.log(JSON.stringify(accessToken,null,2));
}).catch(e => {
console.log("Failed to exchange for access token ",e);
});
Lo stesso scambio può essere eseguito in qualsiasi lingua in grado di generare un token JWT firmato con il formato corretto e di chiamare le API di scambio di token IMS.
Il token di accesso definisce quando scade, in genere 24 ore. Nell’archivio Git è presente un codice di esempio per gestire un token di accesso e aggiornarlo prima della scadenza.
Se sono presenti più credenziali, assicurati di fare riferimento al file json appropriato per la chiamata API all’AEM che viene successivamente richiamata.
Effettua le chiamate API server-to-server appropriate a un ambiente as a Cloud Service AEM, incluso il token di accesso nell’intestazione. Quindi, per l’intestazione “Authorization”, utilizza il valore "Bearer <access_token>"
. Ad esempio, utilizzando curl
:
curl -H "Authorization: Bearer <your_ims_access_token>" https://author-p123123-e23423423.adobeaemcloud.com/content/dam.json
Innanzitutto, è necessario creare un nuovo profilo di prodotto in Adobe Admin Console.
Vai a Adobe Admin Console all’indirizzo https://adminconsole.adobe.com/.
Premere il tasto Gestisci collegamento sotto Prodotti e servizi a sinistra.
Seleziona AEM as a Cloud Service.
Premere il tasto Nuovo profilo pulsante.
Denomina il profilo e premi Salva.
Selezionare il profilo creato dall'elenco dei profili.
Seleziona Aggiungi utente.
Aggiungi l’account tecnico creato (in questo caso 84b2c3a2-d60a-40dc-84cb-e16b786c1673@techacct.adobe.com
) e fai clic su Salva.
Attendi 10 minuti per rendere effettive le modifiche ed effettua una chiamata API all’AEM con un token di accesso generato dalle nuove credenziali. Come comando cURL, verrebbe rappresentato in modo simile a questo esempio:
curl -H "Authorization: Bearer <access_token>" https://author-pXXXXX-eXXXXX.adobeaemcloud.net/content/dam.json
Dopo aver effettuato la chiamata API, il profilo di prodotto viene visualizzato come gruppo di utenti nell’istanza di authoring as a Cloud Service dell’AEM, con l’account tecnico appropriato come membro di tale gruppo.
Per verificare queste informazioni, eseguire le operazioni seguenti:
Accedi all’istanza di authoring.
Vai a Strumenti > Sicurezza, quindi fare clic su Gruppi Card.
Individua il nome del profilo creato nell’elenco dei gruppi e fai clic su di esso:
Nella finestra seguente, passa a Membri e verificare se l’account tecnico è elencato correttamente:
In alternativa, puoi anche verificare che l’account tecnico sia presente nell’elenco dell’utente eseguendo i passaggi seguenti sull’istanza di authoring:
Vai a Strumenti > Sicurezza > Utenti.
Controlla che l’account tecnico sia l’elenco degli utenti e selezionalo.
Fai clic su Gruppi in modo da poter verificare che l’utente faccia parte del gruppo che corrisponde al tuo profilo di prodotto. Questo utente è anche membro di una manciata di altri gruppi, inclusi i collaboratori:
Prima della metà del 2023, prima che fosse possibile creare più credenziali, i clienti non venivano guidati a creare un profilo di prodotto in Adobe Admin Console. Di conseguenza, il conto tecnico non è stato associato ad un gruppo diverso dai "contributori" nell’istanza as a Cloud Service dell’AEM. Per motivi di coerenza, è consigliabile creare un profilo di prodotto in Adobe Admin Console come descritto in precedenza per questo account tecnico e aggiungere l’account tecnico esistente a tale gruppo.
Impostare le autorizzazioni di gruppo appropriate
Infine, configura il gruppo con le autorizzazioni appropriate necessarie in modo da poter richiamare o bloccare le API in modo appropriato.
Accedi all’istanza di authoring appropriata e passa a Impostazioni > Sicurezza > Autorizzazioni
Cerca il nome del gruppo corrispondente al profilo di prodotto nel riquadro a sinistra (in questo caso, API di sola lettura) e selezionalo:
Fare clic sul pulsante Modifica nella finestra seguente:
Modifica le autorizzazioni in modo appropriato e fai clic su Salva
Scopri di più su Identity Management System (IMS) di Adobe e sugli utenti e i gruppi AEM. Consulta la documentazione.
Gli sviluppatori probabilmente desiderano testare utilizzando un’istanza di sviluppo della loro applicazione non AEM (in esecuzione sul loro laptop o ospitata) che effettua richieste a un ambiente di sviluppo as a Cloud Service AEM di sviluppo. Tuttavia, poiché gli sviluppatori non dispongono necessariamente delle autorizzazioni per il ruolo di amministratore IMS, Adobe non può presumere che possano generare il Bearer JWT descritto nel normale flusso server-to-server. Pertanto, Adobe fornisce a uno sviluppatore un meccanismo che consente di generare direttamente un token di accesso che può essere utilizzato nelle richieste agli ambienti su AEM as a Cloud Service a cui ha accesso.
Consulta la Documentazione sulle linee guida per sviluppatori per informazioni sulle autorizzazioni necessarie per utilizzare la console per sviluppatori AEM as a Cloud Service.
Il token di accesso per lo sviluppo locale è valido per un massimo di 24 ore, al termine delle quali deve essere rigenerato con lo stesso metodo.
Gli sviluppatori possono utilizzare questo token per effettuare chiamate dall’applicazione di test non AEM a un ambiente as a Cloud Service AEM. In genere, lo sviluppatore utilizza questo token con l’applicazione non AEM sul proprio laptop. Inoltre, AEM as a Cloud è in genere un ambiente non di produzione.
Il flusso per sviluppatori prevede i seguenti passaggi:
Gli sviluppatori possono anche effettuare chiamate API a un progetto AEM in esecuzione sul proprio computer locale, nel qual caso non è necessario un token di accesso.
Effettuare le chiamate API server-to-server appropriate dall’applicazione non AEM a un ambiente as a Cloud Service AEM, incluso il token di accesso nell’intestazione. Quindi, per l’intestazione “Authorization”, utilizza il valore "Bearer <access_token>"
.
Per impostazione predefinita, le credenziali sull’as a Cloud Service AEM scadono dopo un anno. Per garantire la continuità del servizio, gli sviluppatori possono aggiornare le credenziali ed estenderne la disponibilità per un altro anno.
Per ottenere questa estensione di aggiornamento, effettua le seguenti operazioni:
Utilizza il Aggiungi certificato pulsante sotto Integrazioni - Account tecnici nella Console per sviluppatori, come illustrato di seguito
Dopo aver premuto il pulsante, viene generato un set di credenziali che include un nuovo certificato. Installa le nuove credenziali sul server off-AEM e assicurati che la connettività sia come previsto, senza rimuovere le vecchie credenziali.
Assicurati che vengano utilizzate le nuove credenziali invece di quelle precedenti durante la generazione del token di accesso.
Facoltativamente, revocare (e quindi eliminare) il certificato precedente in modo che non possa più essere utilizzato per l’autenticazione con AEM as a Cloud Service.
Se la chiave privata è compromessa, è necessario creare le credenziali con un nuovo certificato e una nuova chiave privata. Dopo che l'applicazione utilizza le nuove credenziali per generare i token di accesso, è possibile revocare ed eliminare i vecchi certificati eseguendo le operazioni seguenti:
Aggiungi innanzitutto la nuova chiave. Questa chiave genera le credenziali con una nuova chiave privata e un nuovo certificato. La nuova chiave privata è contrassegnata nell’interfaccia utente come corrente e viene, quindi, utilizzato per tutte le nuove credenziali di questo account tecnico in futuro. Le credenziali associate alle chiavi private precedenti sono ancora valide fino alla revoca. Per ottenere questa revoca, selezionare i tre punti (…) nell'account tecnico corrente, quindi seleziona Aggiungi nuova chiave privata:
Seleziona Aggiungi al prompt seguente:
Viene visualizzata una nuova scheda Sfoglia con le nuove credenziali e l’interfaccia utente viene aggiornata per mostrare entrambe le chiavi private con la nuova contrassegnata come corrente:
Installa le nuove credenziali sul server non AEM e assicurati che la connettività funzioni come previsto. Consulta Sezione Flusso da server a server per i dettagli.
Revoca il certificato precedente selezionando i tre punti (…) a destra del certificato e selezionando Revoca:
Quindi, confermare la revoca nel seguente prompt premendo il tasto Revoca pulsante:
Infine, elimina il certificato compromesso.