Consulte nuestro curso de Experience League Configuración del acceso a AEM para administradores para obtener una introducción de cómo se autentican los usuarios con Adobe IMS en AEM as a Cloud Service y cómo se utilizan los usuarios de IMS de Adobe, los grupos de usuarios y los perfiles de producto para controlar el acceso a AEM y sus funciones y funcionalidades. Se requiere Adobe ID.
AEM no admite la asignación de grupos a perfiles. Los usuarios deben añadirse individualmente en su lugar.
AEM as a Cloud Service ofrece compatibilidad con la autenticación IMS solo para usuarios creadores, administradores y desarrolladores. No ofrece soporte para usuarios finales externos de sitios de clientes como visitantes del sitio.
La autenticación IMS funciona mediante el protocolo OAuth entre AEM y el extremo IMS de Adobe. Una vez que se añade un usuario a IMS y tiene una identidad de Adobe, puede iniciar sesión en el servicio de creación de AEM con las credenciales de IMS.
El flujo de inicio de sesión del usuario se muestra a continuación; se redirige al usuario a IMS y, opcionalmente, al IDP de cliente para SSO y, a continuación, a AEM.
La incorporación del cliente a Adobe Admin Console es un requisito previo para utilizar Adobe IMS para la autenticación de AEM.
Como primer paso, los clientes deben disponer de una organización en Adobe IMS. Los clientes de Adobe Enterprise están representados como organizaciones de IMS en Adobe Admin Console. Es el portal que utilizan los clientes de Adobe para administrar las asignaciones de productos para sus usuarios y grupos.
Los clientes de AEM ya deben disponer de una organización incluida y, como parte del aprovisionamiento de IMS, las instancias de cliente están disponibles en Admin Console para administrar los derechos de usuario y el acceso.
Una vez que un cliente existe como una organización de IMS, debe configurar su sistema como se resume a continuación:
Puede informarse sobre los conceptos básicos de Adobe Identity Management, incluida la configuración de IDP, aquí.
Puede informarse sobre el uso de Enterprise Administration y Admin Console aquí.
Existen tres formas de integrar a los usuarios en función del tamaño del cliente y de sus preferencias: crear usuarios manualmente en Admin Console, cargar un archivo .csv o sincronizar usuarios desde el Active Directory del cliente.
Adición manual a través de la interfaz de usuario de Admin Console
Los usuarios y grupos se pueden crear manualmente en la interfaz de usuario de Admin Console. Este método se puede utilizar si no hay un gran número de usuarios que administrar. Por ejemplo, menos de 50 usuarios de AEM o si ya está utilizando este método para administrar otros productos de Adobe como Analytics, Target o aplicaciones de Creative Cloud.
Carga de archivos en la interfaz de usuario de Admin Console
Para facilitar la gestión de la creación de usuarios, se puede cargar un archivo .csv
para agregar usuarios de forma masiva.
Herramienta de sincronización de usuarios
La herramienta de sincronización de usuarios (o UST abreviada) permite a los clientes de la empresa crear y administrar usuarios de Adobe mediante Active Directory. Esto también funciona para otros servicios de directorio OpenLDAP probados. Los usuarios de destino son administradores de identidad de TI (Enterprise Directory o administradores del sistema) que pueden instalar y configurar la herramienta. La herramienta de código abierto es personalizable para que los clientes la modifiquen y se adapten a sus propios requisitos particulares.
Cuando se ejecuta la sincronización de usuarios, se obtiene una lista de usuarios de Active Directory de la organización y se compara con la lista de usuarios de Admin Console. A continuación, llama a la API de administración de usuarios de Adobe para sincronizar Admin Console con el directorio de la organización. El flujo de cambios es totalmente unidireccional. Las ediciones realizadas en Admin Console no se insertan en el directorio.
La herramienta permite al administrador del sistema asignar grupos de usuarios en el directorio del cliente con la configuración del producto y los grupos de usuarios en Admin Console.
Para configurar la sincronización de usuarios, la organización debe crear un conjunto de credenciales de la misma manera que usaría la API de administración de usuarios.
La herramienta de sincronización de usuarios se distribuye a través del repositorio de Adobe Github en esta ubicación.
La versión de evaluación 2.4RC1 está disponible con compatibilidad para la creación de grupos dinámicos y se puede encontrar aquí.
Las principales características de esta versión son la capacidad de asignar dinámicamente nuevos grupos LDAP para la pertenencia de usuarios a Admin Console, así como la creación dinámica de grupos de usuarios.
Puede encontrar más información sobre las nuevas funciones de grupo en esta ubicación.
Documentación de sincronización de usuarios
Consulte la documentación de la UST para obtener más detalles.
La herramienta de sincronización de usuarios debe registrarse como cliente de Adobe I/O UMAPI mediante el procedimiento especificado aquí.
La documentación de la consola de Adobe I/O se puede encontrar aquí.
La API de administración de usuarios que utiliza la herramienta de sincronización de usuarios se explica aquí.
La configuración de AEM IMS requerida se configura automáticamente cuando se ofrezcan los entornos y las instancias de AEM. Sin embargo, el administrador puede modificarla según sus necesidades utilizando el método descrito aquí.
La configuración de AEM IMS requerida se configura automáticamente cuando se ofrezcan los entornos y las instancias de AEM. Los administradores de clientes pueden modificar parte de la configuración según sea preciso.
El método general consiste en configurar Adobe IMS como proveedor de OAuth. El controlador de sincronización predeterminado Apache Jackrabbit Oak puede modificarse como para la sincronización LDAP.
A continuación, se muestran las configuraciones de OSGI clave que deben modificarse para cambiar propiedades como Pertenencia automática del usuario o Asignaciones de grupos.
Cuando el administrador de productos inicia sesión en Admin Console, puede ver varias instancias del contexto de producto de AEM as a Cloud Service, como se muestra a continuación. Por ejemplo, seleccione cualquiera de los productos de la página Información general:
Verá una lista de instancias existentes:
En cada instancia de contexto de producto, habrá algunas que abarquen los servicios de creación o publicación en los entornos Producción, Ensayo o Desarrollo. Cada instancia se asocia a los perfiles de producto o a las funciones de Cloud Manager. Estos perfiles de producto se utilizan para asignar acceso a usuarios y grupos con los privilegios requeridos.
El AEM Administradores de_xxx AEM se utilizará para otorgar privilegios de administrador en la instancia de administración asociada mientras que la variable AEM Usuarios_xxx Este perfil se utiliza para añadir usuarios habituales.
Los usuarios y grupos agregados bajo este perfil de producto pueden iniciar sesión en esa instancia en particular, como se muestra en el ejemplo siguiente:
El AEM Administradores de el nombre del perfil del producto no debe cambiarse. Cambiar el nombre del AEM Administradores de el perfil de producto eliminará los derechos de administrador de todos los usuarios asignados a dicho perfil.
Inicio de sesión de administrador local
AEM puede seguir admitiendo inicios de sesión locales para usuarios que sean administradores. La pantalla de inicio de sesión tiene una opción para iniciar sesión de manera local:
Inicio de sesión basado en IMS
Para otros usuarios, el inicio de sesión basado en IMS se puede utilizar una vez que IMS esté configurado en la instancia. El usuario primero debe hacer clic en el botón Iniciar sesión con Adobe, como se muestra a continuación:
Cualquier usuario creado en IMS puede crearse con un Adobe ID o un Federated ID. Si un usuario está configurado con un Federated ID, se autentica con el proveedor de identidad de su compañía para iniciar sesión.
Luego se les redirige a la pantalla de inicio de sesión de IMS y deberán introducir sus credenciales:
Si se configura un IDP federado durante la configuración inicial de Admin Console, se redirige al usuario al IDP del cliente para SSO:
Una vez finalizada la autenticación, se redirige al usuario a AEM para iniciar sesión:
Las ACL y los permisos se siguen administrando en AEM. Los grupos de usuarios sincronizados desde IMS se pueden asignar a grupos locales donde se definen las ACL y los privilegios.
En el ejemplo siguiente, se añaden grupos sincronizados al grupo local Dam_Users como ejemplo.
El usuario forma parte de los siguientes grupos en IMS:
Cuando el usuario inicia sesión, se sincronizan las suscripciones al grupo, como se muestra a continuación:
En AEM, los grupos de usuarios sincronizados con IMS se pueden agregar como miembros a grupos locales existentes, como los usuarios de DAM.
Como se muestra a continuación, el grupo AEM-GRP_008 hereda los permisos y privilegios de los usuarios de DAM, lo que supone una forma eficaz de administrar los permisos para los grupos sincronizados y se utiliza comúnmente también en el método de autenticación basado en LDAP.
Para poder acceder a los entornos de Cloud Manager o AEM as a Cloud Service, debe estar asignado a Perfiles del producto Cloud Manager.
Consulte Definiciones de funciones para obtener más información sobre las funciones de los usuarios que rigen la disponibilidad de funciones específicas en Cloud Manager.
Cloud Manager tiene funciones preconfiguradas con los permisos adecuados. Para obtener más información sobre cada una de las funciones con permisos específicos, tareas preconfiguradas o permisos asociados a cada función, consulte Permisos basados en roles.
Pasos para Añadir un usuario
Añada un usuario a un perfil particular desde una pantalla de usuario existente o desde una pantalla de usuario nueva.
También puede agregar un usuario desde la pantalla Información general, como se muestra en la figura siguiente.
Puede asignar más de un perfil a un usuario, como se muestra en la figura siguiente.
Una vez agregado al perfil correspondiente, debe poder acceder a los inquilinos respectivos en Cloud Manager a través de Adobe Experience Cloud usando la esquina superior derecha de la interfaz de usuario.
Se deben completar los pasos mencionados en la sección anterior antes de que se le conceda acceso a una instancia en AEM as a Cloud Service.
Para tener acceso a una instancia de AEM dentro de la Admin Console, debe ver el Programa de Cloud Manager y los entornos dentro del programa en la lista del producto en la Admin Console.
Por ejemplo, en la captura de pantalla a continuación, verá dos entornos disponibles, a saber, dev author y un publish.
Para obtener acceso a las instancias de AEM, el usuario deberá agregarse a un grupo del producto de Cloud Service correspondiente.
Cada instancia de autor tendrá un Perfil de administradores de AEM y usuarios de AEM, y cada instancia de publicación tendrá un Perfil de usuarios de AEM. Puede agregar otros perfiles según sea necesario.
Para obtener acceso a nivel de administrador a la instancia de AEM, añada el usuario al Perfil de administradores de AEM para ese producto en particular.