サービス資格情報

Adobe Experience Manager（AEM）as a Cloud Service との統合については、AEM サービスに対して確実な認証を行う必要があります。 AEM の Developer Console は、外部のアプリケーション、システムおよびサービスが HTTP 経由で AEM オーサーまたはパブリッシュサービスとプログラムでやり取りするのを容易にするために使用するサービス資格情報へのアクセス権を付与します。

AEM は、Adobe Developer Console で管理される S2S OAuth を使用して、他のアドビ製品と統合されています。サービスアカウントとのカスタム統合の場合、JWT 資格情報が AEM Developer Console で使用および管理されます。

サービス資格情報がローカル開発アクセストークンと似ているように見えるかもしれませんが、いくつかの重要な点で異なります。

生成するサービス資格情報とアクセストークン、およびローカル開発アクセストークンは、両方とも秘密にする必要があります。3 つすべてを使用して取得し、それぞれの AEM as a Cloud Service 環境にアクセスします。

サービス資格情報の生成

サービス資格情報の生成は、次の 2 つの手順に分かれます。

テクニカルアカウントの作成

ローカル開発アクセストークンとは異なり、サービス資格情報はダウンロードする前に、アドビ組織 IMS 管理者がテクニカルアカウントを作成する必要があります。 AEM にプログラムでアクセスする必要があるクライアントごとに、個別のテクニカルアカウントを作成する必要があります。

テクニカルアカウントは 1 回だけ作成されますが、秘密鍵はテクニカルアカウントに関連付けられたサービス資格情報の管理に使用します。 例えば、新しい秘密鍵とサービス資格情報は、現在の秘密鍵の有効期限が切れる前に生成され、サービス資格情報のユーザーが中断なしにアクセスできるようにする必要があります。

AEM as a Cloud Service 環境のサービス資格情報が初期化されると、Adobe IMS 組織内の他の AEM 開発者がダウンロードできるようになります。

サービス資格情報のダウンロード

サービス資格情報のダウンロードは、初期化と同様の手順に従います。

サービス資格情報のインストール

JWT の生成に必要な詳細はサービス資格情報で指定されます。JWT は、AEM as a Cloud Service での認証に使用されるアクセストークンと交換されます。サービス資格情報は、AEM へのアクセスに使用する外部アプリケーション、システム、またはサービスがアクセスできる安全な場所に保存する必要があります。サービス資格情報の管理方法と管理場所は、顧客ごとに異なります。

簡単にするため、このチュートリアルではコマンドラインからサービス資格情報を渡します。ただし、IT セキュリティチームと協力して、組織のセキュリティガイドラインに従ってこれらの資格情報を保存し、アクセスする方法を理解するようにしてください。

サービス資格情報の使用

サービス資格情報（完全な JSON オブジェクト形式）は、JWT やアクセストークンとは異なります。秘密鍵を含むサービス資格情報を使用して JWT を生成し、アクセストークン用の Adobe IMS API と交換します。

外部アプリケーションの更新

サービス資格情報を使用してAEM as a Cloud Service にアクセスするには、外部アプリケーションを次の 3 つの方法で更新する必要があります。

このチュートリアルでは、（1）サービス資格情報からの JWT の生成、（2）1 回の関数呼び出しによるアクセストークンとの交換の両方にアドビの @adobe/jwt-auth npm モジュールを使用しています。アプリケーションが JavaScript ベースではない場合は他の言語のサンプルコードを参照し、サービス資格情報から JWT の作成方法と Abode IMS でのアクセストークンとの交換方法をご確認ください。

サービス資格情報の読み取り

ローカル開発アクセストークン JSON で読み取るのと同じコードを使用して、サービス資格情報 JSON ファイルがどのように読み取られるかを getCommandLineParams() で確認します。

function getCommandLineParams() {
    ...

    // Read in the credentials from the provided JSON file
    // Since both the Local Development Access Token and Service Credentials files are JSON, this same approach can be re-used
    if (parameters.file) {
        parameters.developerConsoleCredentials = JSON.parse(fs.readFileSync(parameters.file));
    }

    ...
    return parameters;
}

JWT の作成とアクセストークンとの交換

サービス資格情報が読み取られると、それらを使用して JWT が生成され、JWT がアクセストークン用の Adobe IMS API と交換されます。その後、このアクセストークンを使用して、AEM as a Cloud Service にアクセスできます。

このサンプルアプリケーションは Node.js ベースなので、@adobe/jwt-auth npm モジュールを使用すると、JWT の生成と Adobe IMS との交換がスムーズになります。アプリケーションが別の言語で開発されている場合は、適切なコードサンプルを参照し、他のプログラミング言語を使用して Adobe IMS に対する HTTP リクエストを作成する方法を確認してください。

 async function getAccessToken(developerConsoleCredentials) {

     if (developerConsoleCredentials.accessToken) {
         // This is a Local Development access token
         return developerConsoleCredentials.accessToken;
     } else {
         // This is the Service Credentials JSON object that must be exchanged with Adobe IMS for an access token
         let serviceCredentials = developerConsoleCredentials.integration;

         // Use the @adobe/jwt-auth library to pass the service credentials generated a JWT and exchange that with Adobe IMS for an access token.
         // If other programming languages are used, please see these code samples: https://www.adobe.io/authentication/auth-methods.html#!AdobeDocs/adobeio-auth/master/JWT/samples/samples.md
         let { access_token } = await auth({
             clientId: serviceCredentials.technicalAccount.clientId, // Client Id
             technicalAccountId: serviceCredentials.id,              // Technical Account Id
             orgId: serviceCredentials.org,                          // Adobe IMS Org Id
             clientSecret: serviceCredentials.technicalAccount.clientSecret, // Client Secret
             privateKey: serviceCredentials.privateKey,              // Private Key to sign the JWT
             metaScopes: serviceCredentials.metascopes.split(','),   // Meta Scopes defining level of access the access token should provide
             ims: `https://${serviceCredentials.imsEndpoint}`,       // IMS endpoint used to obtain the access token from
         });

         return access_token;
     }
 }

ローカル開発のアクセストークン JSON またはサービス資格情報 JSON のどちらファイルが、「file」コマンドラインパラメーターを介して渡されるかに応じて、アプリケーションがアクセストークンを取得します。

サービス資格情報は 365 日ごとに期限切れになりますが、JWT と対応するアクセストークンは頻繁に期限切れになり、期限切れになる前に更新する必要があることに注意してください。これは、「refresh_token」[Adobe IMSが提供する ]（https://www.adobe.io/authentication/auth-methods.html#!AdobeDocs/adobeio-auth/master/OAuth/OAuth.md#access-tokens）を使用して実行できます。

AEM でのアクセス権の設定

サービス資格情報から得られるアクセストークンでは、寄稿者 AEM ユーザーグループに属するテクニカルアカウント AEM ユーザーを使用します。

（アクセストークンを使用した最初の HTTP リクエストの後で）テクニカルアカウント AEM ユーザーが AEM に存在するようになると、この AEM ユーザーの権限は他の AEM ユーザーと同じように管理できます。

アセットに対する書き込み権限を持つテクニカルアカウントが AEM で許可された状態で、アプリケーションを再実行します。

$ node index.js \
    aem=https://author-p1234-e5678.adobeaemcloud.com \
    folder=/wknd-shared/en/adventures/napa-wine-tasting \
    propertyName=metadata/dc:rights \
    propertyValue="WKND Restricted Use" \
    file=service_token.json

端末への出力は次のようになります。

200 - OK @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd-shared/en/adventures/napa-wine-tasting.json
200 - OK @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd-shared/en/adventures/napa-wine-tasting/AdobeStock_277654931.jpg.json
200 - OK @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd-shared/en/adventures/napa-wine-tasting/AdobeStock_286664352.jpg.json
200 - OK @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd-shared/en/adventures/napa-wine-tasting/AdobeStock_239751461.jpg.json
200 - OK @ https://author-p1234-e5678.adobeaemcloud.com/api/assets/wknd-shared/en/adventures/napa-wine-tasting/AdobeStock_280313729.jpg.json

変更内容の確認

おめでとうございます。

これで、ローカル開発アクセストークンと実稼動対応済みのサービス間アクセストークンを使用して、AEM as a Cloud Service にプログラムでアクセスできるようになりました。