服務憑據
與AEMas a Cloud Service的整合必須能夠安全地驗證AEM。 AEM Developer Console授與服務憑證的存取權,這些憑證可協助外部應用程式、系統和服務以程式設計方式與AEM製作或透過HTTP發佈服務互動。
服務憑據可能顯示類似 本機開發存取權杖 但在幾個關鍵方面卻有所不同:
- 服務憑據為 not 存取權杖,而非用來 取得 存取權杖。
- 服務憑證會更為永久(每365天過期),除非撤銷,否則不會變更,而本機開發存取權杖會每天過期。
- AEMas a Cloud Service環境的服務憑證對應至單一AEM技術帳戶使用者,而本機開發存取權杖會驗證為產生存取權杖的AEM使用者。
- AEMas a Cloud Service環境有一個服務憑證,會對應至一個技術帳戶AEM使用者。 服務憑證無法用來驗證不同技術帳戶AEM使用者的相同AEMas a Cloud Service環境。
服務憑證及其產生的存取權杖,以及本機開發存取權杖,都應保持為機密,因為這三個權杖皆可用來存取其各自的AEMas a Cloud Service環境
生成服務憑據
服務憑證產生分為兩個步驟:
- Adobe IMS組織管理員的一次性服務憑證初始化
- 下載及使用服務憑證JSON
服務憑據初始化
與本機開發存取權杖不同,服務憑證需要 一次性初始化 由您的Adobe組織IMS管理員下載。
這是每個AEMas a Cloud Service環境的一次性初始化
- 請確定您登入的方式為:
- 您的Adobe IMS組織管理員
- 會員 Cloud Manager — 開發人員 IMS產品設定檔
- 會員 AEM使用者 或 AEM管理員 IMS產品設定檔位於 AEM作者
- 登入 AdobeCloud Manager
- 開啟包含AEMas a Cloud Service環境的程式,以整合以
- 點選 環境 部分,然後選擇 開發人員控制台
- 點選 整合 標籤
- 點選 獲取服務憑據 按鈕
- 服務憑證會初始化,並顯示為JSON
初始化AEM作為Cloud Service環境的服務憑證後,您Adobe IMS組織中的其他AEM開發人員可以下載。
下載服務憑據
下載服務憑據的步驟與初始化步驟相同。 如果尚未進行初始化,則點選 獲取服務憑據 按鈕。
- 請確定您是以下列方式登入:
- 會員 Cloud Manager — 開發人員 IMS產品設定檔(可授予AEM Developer Console的存取權)
- 沙箱AEMas a Cloud Service環境不需要 Cloud Manager — 開發人員 會籍
- 會員 AEM使用者 或 AEM管理員 IMS產品設定檔位於 AEM作者
- 會員 Cloud Manager — 開發人員 IMS產品設定檔(可授予AEM Developer Console的存取權)
- 登入 AdobeCloud Manager
- 開啟包含AEMas a Cloud Service環境的程式以與
- 點選 環境 部分,然後選擇 開發人員控制台
- 點選 整合 標籤
- 點選 獲取服務憑據 按鈕
- 點選左上角的下載按鈕,下載包含「服務憑證」值的JSON檔案,並將檔案儲存至安全位置。
- 如果服務憑證遭到破壞,請立即聯絡Adobe支援,要求撤銷這些憑證
安裝服務憑據
服務憑證提供產生JWT所需的詳細資訊,JWT會交換以取得存取權杖,以便透過AEMas a Cloud Service驗證。 服務憑證必須儲存在安全位置,外部應用程式、系統或服務可使用它來存取AEM。 每個客戶管理服務憑證的方式和位置都是唯一的。
為了簡單起見,本教學課程會透過命令列傳遞中的服務憑證,但請與IT安全團隊合作,了解如何根據貴組織的安全性准則儲存和存取這些憑證。
- 複製 已下載服務憑證JSON 檔案名為
service_token.json在項目根目錄中- 但請記住,絕不要向Git提交任何憑證!
使用服務憑據
服務憑證(完整格式的JSON物件)與JWT或存取權杖不同。 系統會改用服務憑證(包含私密金鑰)來產生JWT,並與Adobe IMS API交換以取得存取權杖。
- 從AEM Developer Console下載服務憑證至安全位置
- 外部應用程式需要以程式設計方式與AEMas a Cloud Service環境互動
- 外部應用程式從安全位置讀取服務憑據
- 外部應用程式使用服務憑證中的資訊來建構JWT代號
- JWT代號會傳送至Adobe IMS以交換存取代號
- Adobe IMS傳回存取Token,可用來存取AEMas a Cloud Service
- 存取權杖可以要求過期。 最好將存取權杖的生命週期縮短,並視需要重新整理。
- 外部應用程式會對AEM發出HTTP要求,並將存取權杖新增為HTTP要求的授權標題中的承載權杖
- AEMas a Cloud Service會接收HTTP要求、驗證要求,並執行HTTP要求所要求的工作,並將HTTP回應傳回外部應用程式
外部應用程式的更新
若要使用服務憑證存取AEMas a Cloud Service,外部應用程式必須以3種方式更新:
- 閱讀服務憑據
- 為了簡單起見,我們會從下載的JSON檔案中閱讀這些檔案,但在實際使用案例中,服務憑證必須依照貴組織的安全性准則安全地儲存
- 從服務憑證產生JWT
- 將JWT交換為存取權杖
- 存取服務憑證時,我們的外部應用程式會在存取AEMas a Cloud Service時使用此存取權杖,而非本機開發存取權杖
在本教學課程中,Adobe @adobe/jwt-auth npm模組用於兩者,(1)從服務憑證產生JWT,以及(2)以單一函式呼叫將其交換為存取權杖。 如果您的應用程式不是以JavaScript為基礎,請檢閱 其他語言的范常式式碼 以了解如何從服務憑證建立JWT,並與Adobe IMS交換以取得存取權杖。
閱讀服務憑據
檢閱 getCommandLineParams() 並查看,我們可以使用本機開發存取權杖JSON中用來讀取的相同程式碼,在服務憑證JSON檔案中讀取。
function getCommandLineParams() {
...
// Read in the credentials from the provided JSON file
// Since both the Local Development Access Token and Service Credentials files are JSON, this same approach can be re-used
if (parameters.file) {
parameters.developerConsoleCredentials = JSON.parse(fs.readFileSync(parameters.file));
}
...
return parameters;
}
建立JWT並交換存取權杖
讀取服務憑證後,系統會使用這些憑證產生JWT,然後與Adobe IMS API交換以取得存取權杖,接著再用來存取AEMas a Cloud Service。
此範例應用程式以Node.js為基礎,因此最好使用 @adobe/jwt-auth npm模組,以方便(1)產生JWT,以及(20)與Adobe IMS交換。 如果您的應用程式是使用其他語言開發的,請查看 適當的程式碼範例 了解如何使用其他程式設計語言,向Adobe IMS建構HTTP要求。
-
更新
getAccessToken(..)檢查JSON檔案內容,並判斷其代表本機開發存取權杖或服務憑證。 這可借由檢查.accessToken屬性,僅存在於本機開發存取權杖JSON。若已提供服務憑證,應用程式會產生JWT並與Adobe IMS交換JWT以取得存取權杖。 我們將使用 @adobe/jwt-auth's
auth(...)函式,兩者會產生JWT,並在單一函式呼叫中交換JWT以取得存取權杖。 參數auth(..)是 JSON物件,由特定資訊組成 可從服務憑證JSON取得,如下文的程式碼中所述。async function getAccessToken(developerConsoleCredentials) { if (developerConsoleCredentials.accessToken) { // This is a Local Development access token return developerConsoleCredentials.accessToken; } else { // This is the Service Credentials JSON object that must be exchanged with Adobe IMS for an access token let serviceCredentials = developerConsoleCredentials.integration; // Use the @adobe/jwt-auth library to pass the service credentials generated a JWT and exchange that with Adobe IMS for an access token. // If other programming languages are used, please see these code samples: https://www.adobe.io/authentication/auth-methods.html#!AdobeDocs/adobeio-auth/master/JWT/samples/samples.md let { access_token } = await auth({ clientId: serviceCredentials.technicalAccount.clientId, // Client Id technicalAccountId: serviceCredentials.id, // Technical Account Id orgId: serviceCredentials.org, // Adobe IMS Org Id clientSecret: serviceCredentials.technicalAccount.clientSecret, // Client Secret privateKey: serviceCredentials.privateKey, // Private Key to sign the JWT metaScopes: serviceCredentials.metascopes.split(','), // Meta Scopes defining level of access the access token should provide ims: `https://${serviceCredentials.imsEndpoint}`, // IMS endpoint used to obtain the access token from }); return access_token; } }現在,會根據透過傳入的JSON檔案(本機開發存取權杖JSON或服務憑證JSON)而定
file命令列參數,應用程式將衍生存取權杖。請記住,雖然服務憑證每365天過期,但JWT和對應的存取權杖會經常過期,且必須在過期前重新整理。 您可以使用
refresh_token由Adobe IMS提供。. -
完成這些變更後,從AEM開發人員控制台下載的服務憑證JSON(並為了簡單起見,另存新檔
service_token.json與此資料夾相同index.js),執行替換命令行參數的應用程式filewithservice_token.json,並更新propertyValue新值,以便在AEM中顯現效果。$ node index.js \ aem=https://author-p1234-e5678.adobeaemcloud.com \ folder=/wknd/en/adventures/napa-wine-tasting \ propertyName=metadata/dc:rights \ propertyValue="WKND Restricted Use" \ file=service_token.json輸出至終端的內容如下:
200 - OK @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd/en/adventures/napa-wine-tasting.json 403 - Forbidden @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd/en/adventures/napa-wine-tasting/AdobeStock_277654931.jpg.json 403 - Forbidden @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd/en/adventures/napa-wine-tasting/AdobeStock_239751461.jpg.json 403 - Forbidden @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd/en/adventures/napa-wine-tasting/AdobeStock_280313729.jpg.json 403 - Forbidden @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd/en/adventures/napa-wine-tasting/AdobeStock_286664352.jpg.json此 403 — 禁止 行,表示對AEMas a Cloud Service的HTTP API呼叫中發生錯誤。 嘗試更新資產的中繼資料時,會發生這些403禁止錯誤。
原因在於服務憑證衍生的存取權杖,會使用自動建立的技術帳戶AEM使用者驗證向AEM的要求,而依預設,該使用者僅具有讀取存取權。 若要提供AEM的應用程式寫入存取權,與存取權杖相關聯的技術帳戶AEM使用者必須在AEM中獲得權限。
在AEM中設定存取權
服務憑證衍生的存取權杖使用的技術帳戶是AEM使用者,其成員是貢獻者AEM使用者群組的成員。
一旦AEM中存在技術帳戶AEM使用者(在具有存取權杖的第一個HTTP要求之後),此AEM使用者的權限便可與其他AEM使用者管理相同。
- 首先,開啟從AEM開發人員控制台下載的服務憑證JSON,找出技術帳戶的AEM登入名稱,然後找出
integration.email值,看起來應類似:12345678-abcd-9000-efgh-0987654321c@techacct.adobe.com. - 以AEM管理員身分登入對應AEM環境的製作服務
- 導覽至 工具 > 安全性 > 使用者
- 找出AEM使用者,並搭配 登入名稱 在步驟1中識別,並開啟 屬性
- 導覽至 群組 ,然後新增 DAM使用者 群組(以寫入資產的方式存取)
- 點選 儲存並關閉
在AEM中擁有技術帳戶權限以擁有資產的寫入權限後,請重新執行應用程式:
$ node index.js \
aem=https://author-p1234-e5678.adobeaemcloud.com \
folder=/wknd/en/adventures/napa-wine-tasting \
propertyName=metadata/dc:rights \
propertyValue="WKND Restricted Use" \
file=service_token.json
輸出至終端的內容如下:
200 - OK @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd/en/adventures/napa-wine-tasting.json
200 - OK @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd/en/adventures/napa-wine-tasting/AdobeStock_277654931.jpg.json
200 - OK @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd/en/adventures/napa-wine-tasting/AdobeStock_286664352.jpg.json
200 - OK @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd/en/adventures/napa-wine-tasting/AdobeStock_239751461.jpg.json
200 - OK @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd/en/adventures/napa-wine-tasting/AdobeStock_280313729.jpg.json
驗證變更
- 登入已更新的AEMas a Cloud Service環境(使用
aem命令行參數) - 導覽至 資產 > 檔案
- 導覽至
folder命令行參數,例如 WKND > 英文 > 冒險 > 納帕品酒會 - 開啟 屬性 針對資料夾中的任何資產
- 導覽至 進階 標籤
- 檢閱已更新屬性的值,例如 版權 已對應至已更新
metadata/dc:rightsJCR屬性,現在會反映propertyValue參數,例如 WKND限制使用
恭喜!
現在,我們已透過本機開發存取權杖,以及生產就緒服務對服務存取權杖,以程式設計方式存取AEMas a Cloud Service!
Business.Adobe.com 資源
