Supporto IMS per Adobe Experience Manager as a Cloud Service ims-support-for-aem-as-a-cloud-service
Introduzione introduction
- AEM as a Cloud Service include il supporto Admin Console per le istanze AEM e l’autenticazione basata su Adobe IMS (Identity Management System).
- Admin Console consente agli amministratori di gestire tutti gli utenti di Experience Cloud da una posizione centralizzata.
- Gli utenti e i gruppi possono essere assegnati a profili di prodotto associati a un’istanza di AEM as a Cloud Service, per consentire loro di accedere a tale istanza.
Elementi di rilievo key-highlights
AEM as a Cloud Service offre il supporto per l’autenticazione IMS solo per gli utenti con privilegi di autore, amministratore e sviluppatore, e non per gli utenti finali esterni che visitano i siti dei clienti.
- In Admin Console i clienti sono rappresentati come organizzazioni IMS, mentre le istanze di authoring e pubblicazione di un ambiente sono rappresentate come istanze del contesto di prodotto. Grazie a questa rappresentazione gli amministratori di sistema e di prodotto possono gestire l’accesso alle istanze.
- I profili di prodotto in Admin Console determinano le istanze accessibili a un determinato utente.
- Per l’accesso Single Sign-On, i clienti possono utilizzare provider di identità (IDP) personali conformi a SAML 2.
- Per l’accesso Single Sign-On dei clienti sono supportati solo Enterprise ID o Federated ID e non gli Adobe ID personali.
Architettura architecture
Per l’autenticazione IMS viene utilizzato il protocollo OAuth tra AEM e l’endpoint Adobe IMS. Dopo essere stato aggiunto a IMS, un utente con Adobe ID può accedere al servizio authoring di AEM utilizzando le sue credenziali IMS.
Come illustrato nel flusso di accesso dell’utente di seguito, l’utente viene reindirizzato a IMS ed eventualmente all’IDP del cliente per l’accesso SSO e quindi reindirizzato nuovamente ad AEM.
Configurazione how-to-set-up
Onboarding di organizzazioni in Adobe Admin Console onboarding-orgs-to-adobe-admin-console
L’onboarding cliente in Adobe Admin Console costituisce un prerequisito per l’utilizzo di Adobe IMS per l’autenticazione in AEM.
In primo luogo, è necessario che l’azienda cliente abbia effettuato il provisioning in Adobe IMS. I clienti Adobe Enterprise sono rappresentati come organizzazioni IMS in Adobe Admin Console. Quest’area è il portale utilizzato dai clienti Adobe per gestire i diritti dei prodotti per i propri utenti e gruppi.
Come parte del provisioning in IMS, che l’azienda dovrebbe già aver effettuato, le istanze cliente vengono rese disponibili in Admin Console per gestire le autorizzazioni e gli accessi degli utenti.
Dopo aver predisposto l’organizzazione IMS, il cliente deve configurare il proprio sistema come riepilogato di seguito:
- L’amministratore di sistema designato riceve un invito ad accedere a Cloud Manager. Dopo aver effettuato l’accesso a Cloud Manager, gli amministratori di sistema possono scegliere se effettuare il provisioning di programmi e ambienti AEM oppure passare ad Admin Console per le attività amministrative.
- L’amministratore di sistema richiede un dominio per confermare la proprietà del rispettivo dominio, ad esempio acme.com.
- L’amministratore di sistema configura le directory utente.
- L’amministratore di sistema esegue la configurazione IDP in Admin Console per configurare l’accesso Single Sign-On.
- L’amministratore AEM gestisce i gruppi locali, nonché autorizzazioni e privilegi come al solito.
Le nozioni di base di Adobe Identity Management, inclusa la configurazione IDP, sono descritte in Configurare identità e Single Sign-On.
L'amministrazione Enterprise e l’utilizzo di Admin Console sono trattati nell’articolo di introduzione alla guida per l’amministratore di Enterprise e Team.
Onboarding degli utenti in Admin Console onboarding-users-in-admin-console
Sono disponibili tre metodi per l’onboarding degli utenti. Ogni metodo dipende dalle dimensioni del cliente e dalle sue preferenze. Puoi creare manualmente gli utenti in Admin Console, caricare un file .csv o sincronizzare gli utenti dall’Active Directory aziendale della clientela.
Aggiunta manuale tramite l’interfaccia di Admin Console
È possibile creare manualmente utenti e gruppi nell’interfaccia di Admin Console. Se il numero di utenti da gestire non è troppo elevato, puoi utilizzare questo metodo. Ad esempio con meno di 50 utenti di AEM o se stai già utilizzando questo metodo per amministrare altri prodotti Adobe come le applicazioni Creative Cloud, Analytics o Target.
Caricamento di file nell’interfaccia di Admin Console
Per facilitare la creazione di utenti, è possibile caricare un file .csv
per aggiungere utenti in blocco.
Strumento User Sync
Lo strumento User Sync (UST, User Sync Tool) consente alla clientela aziendale di creare e gestire gli utenti di Adobe che utilizzano Active Directory. Questo strumento funziona anche con altri servizi di directory OpenLDAP testati. È destinato al personale di amministrazione di identità IT (directory Enterprise o personale di amministrazione di sistema) che potrà installare e configurare lo strumento. Lo strumento open source è personalizzabile in modo che la clientela possa modificarlo in base a esigenze specifiche.
Quando viene eseguito, lo strumento User Sync recupera un elenco di utenti dall’istanza di Active Directory dell’organizzazione e lo confronta con quello presente in Admin Console. Chiama quindi l’API User Management di Adobe in modo che Admin Console sia sincronizzato con la directory dell’organizzazione. Il flusso delle modifiche è completamente unidirezionale, pertanto eventuali modifiche apportate in Admin Console non vengono inviate alla directory.
Questo strumento consente al servizio di amministrazione di sistema di mappare i gruppi di utenti nella directory della clientela con la configurazione del prodotto e i gruppi di utenti in Admin Console.
Per configurare User Sync, l’organizzazione deve creare un set di credenziali in modo analogo a come userebbe l’API User Management.
Lo strumento User Sync viene distribuito tramite l’archivio Github di Adobe disponibile qui.
Le funzioni principali di questa versione includono la possibilità di mappare dinamicamente i nuovi gruppi LDAP per l’iscrizione degli utenti in Admin Console, nonché la creazione dinamica di gruppi di utenti.
Ulteriori informazioni sulle nuove funzionalità dei gruppi sono disponibili in Adobe User Sync Tool - Additional Group Options.
Documentazione di User Sync
Consulta:
-
Lo strumento User Sync Tool deve essere registrato come client UMAPI Adobe Developer come descritto nella procedura in Authentication for API Access
Configurazione di Adobe Experience as a Cloud Service aem-configuration
La configurazione di AEM IMS richiesta viene impostata automaticamente durante il provisioning degli ambienti e delle istanze di AEM. Gli amministratori dei clienti possono modificare parte della configurazione in base alle proprie esigenze.
L’approccio generale consiste nel configurare Adobe IMS come provider OAuth. È possibile modificare il gestore di sincronizzazione predefinito Apache Jackrabbit Oak in modo analogo alla sincronizzazione LDAP.
Di seguito sono descritte le configurazioni OSGI principali da modificare per cambiare proprietà come l’iscrizione automatica degli utenti o le mappature dei gruppi.
Guida all’uso how-to-use
Gestione dei prodotti e dell’accesso utente in Admin Console managing-products-and-user-access-in-admin-console
Quando la persona responsabile dell’amministrazione del prodotto accede ad Admin Console, visualizza più istanze del contesto di prodotto di AEM as a Cloud Service, come mostrato di seguito. Ad esempio, seleziona uno dei prodotti dalla pagina Panoramica:
Viene visualizzato un elenco delle istanze esistenti:
In ogni istanza del contesto di prodotto, ci sono istanze che si estendono sui servizi di authoring o di pubblicazione in ambienti di produzione, staging o sviluppo. Ogni istanza viene associata ai ruoli di profili di prodotto o Cloud Manager. che vengono utilizzati per assegnare a utenti e gruppi l’accesso con il privilegio richiesto.
Il profilo Amministratori AEM_xxx verrà utilizzato per concedere privilegi di amministratore all’istanza AEM associata, mentre il profilo Utenti AEM_xxx verrà usato per aggiungere utenti standard.
Tutti gli utenti e i gruppi aggiunti in questo profilo di prodotto potranno accedere a questa particolare istanza, come mostrato nell’esempio seguente:
Accesso ad Adobe Experience Manager as a Cloud Service logging-in-to-aem
Accesso amministratore locale
AEM può continuare a supportare gli accessi locali per gli utenti Admin. La schermata di accesso consente di accedere localmente:
Accesso basato su IMS
Per gli altri utenti, l’accesso basato su IMS viene utilizzato dopo la configurazione di IMS sull’istanza. L’utente fa clic sul pulsante Accedi con Adobe come illustrato di seguito:
L’utente viene reindirizzato alla schermata di accesso IMS, dove deve inserire le proprie credenziali:
Se durante la configurazione iniziale di Admin Console viene configurato un IDP federato, l’utente verrà reindirizzato all’IDP cliente per SSO:
Una volta completata l’autenticazione, l’utente verrà reindirizzato ad AEM per eseguire l’accesso:
Gestione di autorizzazioni e ACL in Adobe Experience Manager as a Cloud Service managing-permissions-in-aem
Gli ACL e le autorizzazioni continuano a essere gestiti in AEM. I gruppi di utenti sincronizzati da IMS possono essere assegnati a gruppi locali in cui sono definiti gli ACL e i privilegi.
Nell’esempio seguente, i gruppi sincronizzati vengono aggiunti al gruppo Dam_Users locale.
L’utente fa parte dei seguenti gruppi in IMS:
Quando l’utente esegue l’accesso, le iscrizioni ai gruppi vengono sincronizzate, come illustrato di seguito:
In AEM i gruppi di utenti sincronizzati da IMS possono essere aggiunti come membri a gruppi locali esistenti, come DAM Users.
Come mostrato di seguito, il gruppo AEM-GRP_008 eredita le autorizzazioni e i privilegi degli Utenti DAM. Questa ereditarietà è un modo efficace per gestire le autorizzazioni di gruppi sincronizzati ed è comunemente utilizzata nel metodo di autenticazione basato su LDAP.
Accesso a Cloud Manager accessing-cloud-manager
Per poter accedere a Cloud Manager o agli ambienti in AEM as a Cloud Service, l’utente deve essere assegnato ai profili di prodotto Cloud Manager.
Per ulteriori informazioni sui ruoli degli utenti che determinano la disponibilità di funzionalità specifiche in Cloud Manager, consulta Definizioni dei ruoli.
Procedura per aggiungere un utente
-
Puoi aggiungere un utente a un particolare profilo dalla schermata di un utente esistente o da una nuova schermata utente.
-
In alternativa, puoi aggiungere un utente dalla schermata Panoramica, come illustrato nella figura riportata di seguito.
note note NOTE Puoi assegnare a un utente più di un profilo, come illustrato nella figura riportata di seguito. -
Dopo avere aggiunto il profilo appropriato, dovresti essere in grado di accedere ai rispettivi tenant in Cloud Manager tramite Adobe Experience Cloud dall’angolo in alto a destra dell’interfaccia utente.
Accesso a un’istanza in AEM as a Cloud Service accessing-instance-cloud-service
Per poter accedere a un’istanza AEM in Admin Console, nell’elenco di prodotti in Admin Console, dovresti visualizzare il programma Cloud Manager e gli ambienti al suo interno.
Ad esempio, nella schermata seguente sono presenti due ambienti: un ambiente di authoring e uno di pubblicazione.
Per accedere alle istanze AEM, l’utente deve essere aggiunto a un gruppo del prodotto Cloud Service appropriato.
Ogni istanza di authoring ha un profilo Amministratori AEM e Utenti AEM, mentre ogni istanza di pubblicazione ha un profilo Utenti AEM. Puoi aggiungere altri profili in base alle esigenze.
Per poter accedere come amministratore all’istanza di AEM, aggiungi l’utente al profilo degli amministratori di AEM per quel particolare prodotto.