AEM Managed Services に対する Adobe IMS 認証および Admin Console のサポート adobe-ims-authentication-and-admin-console-support-for-aem-managed-services
はじめに introduction
AEM 6.4.3.0 では、AEM インスタンスに対する Admin Console のサポートおよび AEM Managed Services のお客様のための Adobe IMS(Identity Management System)ベースの認証が導入されました。
AEM が Admin Console をオンボーディングしたことにより、AEM Managed Services のお客様は 1 つのコンソールですべての Experience Cloud ユーザーを管理できます。ユーザーとグループは AEM インスタンスに関連付けられている製品プロファイルに割り当てることができ、特定のインスタンスにログインできます。
主なハイライト key-highlights
- AEM の IMS 認証サポートは、AEM 作成者、管理者、開発者のみを対象としており、サイト訪問者などの顧客サイトの外部エンドユーザーは対象外です。
- Admin Console は、AEM Managed Services の顧客を IMS 組織として、それらのインスタンスを製品コンテキストとして表します。顧客システムおよび製品管理者は、インスタンスへのアクセスを管理できるようになります。
- AEM Managed Services は、顧客のトポロジと Admin Console を同期させます。Admin Console では、インスタンスごとに AEM Managed Services 製品コンテキストのインスタンスが 1 つあります。
- Admin Console の製品プロファイルによって、ユーザーがアクセスできるインスタンスが決まります。
- お客様独自の SAML 2 準拠 ID プロバイダーを使用したフェデレーション認証がサポートされています。
- 個人用の Adobe ID ではなく、Enterprise ID または Federated ID(お客様のシングルサインオン用)のみがサポートされています。
- User Management(Adobe Admin Console での)は、引き続きカスタマー管理者によって所有されます。
アーキテクチャ architecture
IMS 認証は、AEM と Adobe IMS エンドポイントの間で OAuth プロトコルを使用して機能します。ユーザーが IMS に追加され、Adobe ID を持つようになると、IMS 資格情報を使用して AEM Managed Services インスタンスにログインできます。
ユーザーログインフローを以下に示します。ユーザーは IMS にリダイレクトされ、オプションで SSO 検証のためにカスタマー IDP にリダイレクトされてから、AEM にリダイレクトされます。
設定方法 how-to-set-up
Admin Console への組織のオンボーディング onboarding-organizations-to-admin-console
Admin Console へお客様をオンボーディングすることは、AEM 認証に Adobe IMS を使用するための前提条件です。
最初のステップとして、Adobe IMS に組織をプロビジョニングする必要があります。Adobe Enterprise のお客様は、Adobe Admin Console に IMS 組織として表されています。
AEM Managed Services のお客様は、すでに組織がプロビジョニングされています。また、IMS プロビジョニングの一環として、ユーザーの使用権限とアクセスを管理するために、Admin Console でカスタマーインスタンスを利用できるようになります。
ユーザー認証のための IMS への移行は、AMS とお客様の共同作業となり、それぞれがワークフローを完了させます。
顧客が IMS 組織として存在し、AMS が顧客の IMS へのプロビジョニングを完了したら、次のような設定ワークフローを実行する必要があります。
- 指定されたシステム管理者が Admin Console にログインするための招待を受け取る
- システム管理者がドメインを要求して、ドメイン(この例では acme.com)の所有権を確認します。
- システム管理者がユーザーディレクトリを設定します。
- システム管理者は、SSO 設定用に Admin Console の ID プロバイダ(IDP)を設定します。
- AEM 管理者は、通常どおりローカルグループ、権限および特権を管理します。ユーザーとグループの同期を参照してください。
Admin Console へのユーザーのオンボーディング onboarding-users-to-the-admin-console
ユーザーをオンボードする方法は、お客様の規模と好みに応じて 3 つあります。
- ユーザーとグループを手動で Admin Console に作成する
- ユーザーと一緒に CSV ファイルをアップロードする
- お客様のエンタープライズ Active Directory からユーザーとグループを同期する
Admin Console UI を利用した手動での追加 manual-addition-through-admin-console-ui
ユーザーとグループは、Admin Console の UI で手動で作成できます。この方法は、管理するユーザー数が多くない場合に使用できます(例:AEM ユーザーが 50 人未満の場合)。
Adobe Analytics、Adobe Target、Adobe Creative Cloud などの他の Adobe 製品を管理するために既にこの方法を使用している場合は、ユーザーを手動で作成することもできます。
Admin Console UI でのファイルのアップロード file-upload-in-the-admin-console-ui
CSV ファイルをアップロードしてユーザーをまとめて登録すると、ユーザーの作成を簡単に処理できます。
ユーザー同期ツール user-sync-tool
ユーザー同期ツール(UST)は、Active Directory または他のテスト済み OpenLDAP ディレクトリサービスを利用して、Adobe ユーザーを作成、管理できます。ターゲットユーザーは、このツールをインストールおよび設定できる IT ID 管理者(エンタープライズディレクトリとシステムの管理者)です。オープンソースツールはカスタマイズ可能であるため、お客様は特定の要件に合うように開発者に変更させることができます。
ユーザー同期を実行すると、組織の Active Directory(または互換性のある他のデータソース)からユーザーリストを取得し、Admin Console 内のユーザーリストと比較します。その後、Admin Console を組織のディレクトリと同期するために、Adobe User Management API を呼び出します。変更の流れは完全に一方向です。Admin Console で行った編集はディレクトリにプッシュされません。
このツールを使用すると、システム管理者はお客様のディレクトリにあるユーザーグループを Admin Console の製品設定とユーザーグループにマッピングできます。また、新しいバージョンの UST では、Admin Console でユーザーグループを動的に作成することもできます。
ユーザー同期を設定するには、User Management API を使用する場合と同様に、お客様の組織で一連の資格情報を作成する必要があります。
ユーザー同期は、次の場所にある Adobe Github リポジトリを介して配布されます。
https://github.com/adobe-apiplatform/user-sync.py/releases/latest
次の場所にあるプレリリースバージョンの 2.4RC1 は、動的グループの作成をサポートしています。https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
このリリースの主な機能は、Admin Console でユーザーのメンバーシップに合わせて新しい LDAP グループを動的にマッピングする機能と、動的なユーザーグループ作成です。
新しいグループ機能について詳しくは、こちらを参照してください。
-
ユーザー同期ツールでは、API アクセスの認証に説明されている手順を使用して、Adobe I/O クライアント UMAPI として登録する必要があります。
使用方法 how-to-use
Admin Console での製品とユーザーアクセスの管理 managing-products-and-user-access-in-admin-console
お客様の製品管理者が Admin Console にログインすると、次に示すように、AEM Managed Services 製品コンテキストの複数のインスタンスが表示されます。
この例では、AEM-MS-Onboard 組織は、Stage、Prod など、様々なトポロジと環境にまたがる 32 のインスタンスがあります。
詳細を確認するとインスタンスを識別できます。
各製品コンテキストのインスタンスの下に、関連する製品プロファイルがあります。この製品プロファイルは、ユーザーにアクセス権を割り当てるために使用されます。
この製品プロファイルの下に追加されたすべてのユーザーは、以下の例に示すように、そのインスタンスにログインできます。
AEM へのログイン logging-into-aem
ローカル管理者ログイン local-admin-login
AEM では引き続き、管理ユーザーのローカルログインをサポートし、ログイン画面にはローカルでログインするオプションがあります。
IMS ベースのログイン ims-based-login
他のユーザーの場合は、IMS がインスタンスに設定された後に、IMS ベースのログインを使用できます。ユーザーはまず、下に示すように、「Adobe にログイン」をクリックします。
その後、ユーザーは IMS ログイン画面にリダイレクトされ、資格情報を入力します。
Admin Console の初期設定中にフェデレーテッド IDP が設定される場合、ユーザーは SSO 用のカスタマー IDP にリダイレクトされます。
次の例では、IDP は Okta です。
認証が完了すると、ユーザーは AEM にリダイレクトされてログインします。
既存ユーザーの移行 migrating-existing-users
別の認証方式を使用していて、現在 IMS に移行されている既存の AEM インスタンスの場合、移行手順が必要です。
AEM リポジトリ内の既存ユーザー(LDAP または SAML を介してローカルに提供される)は、IDP がユーザー移行ユーティリティを使用しているため、IMS を指すように移行できます。
このユーティリティは、IMS プロビジョニングの一部として AMS チームによって実行されます。
AEM での権限と ACL の管理 managing-permissions-and-acls-in-aem
アクセス制御とアクセス許可は引き続き AEM で管理されます。これは、IMS からのユーザーグループ(以下の例では AEM-GRP-008)と、アクセス許可とアクセス制御が定義されているローカルグループの分離を使用して実現できます。IMS から同期されたユーザーグループは、ローカルグループに割り当てられ、権限を継承することができます。
以下の例では、同期グループをローカル Dam_Users グループに追加しています。
ここでは、ユーザーは Admin Console のいくつかのグループにも割り当てられています。(ユーザーとグループは、ユーザー同期ツールを使用して LDAP から同期することも、ローカルで作成することもできます。前述の Admin Console へのユーザーのオンボードを参照してください)。
ユーザーは、IMS の以下のグループの一部です。
ユーザーがログインすると、以下に示すように、グループメンバーシップが同期されます。
AEM では、IMS から同期されたユーザーグループを既存のローカルグループ(DAM ユーザーなど)にメンバーとして追加できます。
以下に示すように、グループ AEM-GRP_008 は DAM ユーザーの権限と特権を継承します。これは同期されたグループに対する権限を管理する効果的な方法であり、LDAP ベースの認証方法でも一般的に使用されています。
