Ativação do MFA para logon de autor do AEM por meio do Adobe IMS ou de um provedor de identidade externo
A AEM não fornece a Autenticação Multifator (MFA) nativa para nomes de usuário e senhas locais, o que gera mais confusão nas solicitações do MFA. O MFA é compatível somente quando a autenticação é delegada ao Adobe IMS ou a um Provedor de identidade externo (IdP), como o Okta, Azure AD ou qualquer provedor SAML/OIDC que o aplique, porque a própria tela de logon do AEM não contém lógica de MFA. O desafio deve ocorrer antes que o AEM receba a autenticação, para que as contas locais — que ignoram IDs externas — não tenham um mecanismo de aplicação. Determinar o modelo de autenticação e ativar o MFA na camada IMS ou IdP fornece MFA imposto para logon de autor do AEM.
Descrição description
Problema: o MFA não pode ser ativado diretamente no logon do autor do AEM ou para contas locais do AEM
Descrição
Os clientes solicitam o MFA nas páginas de logon do autor do AEM para fins de conformidade de segurança, e a confusão surge entre vários caminhos distintos: MFA do Adobe IMS, MFA baseado em IdP para Federated IDs, verificação opcional em duas etapas do Adobe ID, MFA não compatível para usuários locais do AEM e integrações MFA personalizadas, como OTP do AEM Forms JEE ou manipuladores de autenticação personalizados. Essas solicitações ocorrem no AEMaaCS, AMS 6.5 e AEM Forms JEE. A tela de logon da AEM não implementa a lógica do MFA, portanto, o desafio deve ocorrer antes que o AEM receba autenticação.
Ambiente:
- Adobe Experience Manager as a Cloud Service (AEMaaCS)
- AEM Managed Services (AMS 6.5)
- AEM FORMS JEE
- Provedores de identidade SAML/OIDC externos e do Adobe IMS
Problema/sintomas:
- Solicitações do cliente que ativam o MFA no logon do autor do AEM para todos os usuários.
- O cliente solicita o MFA para contas locais ou não SSO, que a AEM não oferece suporte imediato.
Causa raiz:
A tela de logon da AEM não implementa a lógica do MFA. O MFA deve ocorrer antes que a AEM receba autenticação, por meio do Adobe IMS ou de um Federated SAML/OIDC IdP que o imponha. As contas locais do AEM ignoram as IDs externas e, portanto, não têm um mecanismo de imposição de MFA.
Como confirmar
-
Determine seu modelo de autenticação confirmando se os usuários se autenticam por meio do Adobe IMS, do Federated SSO (SAML/OIDC) ou de contas locais do AEM:
- O AEMaaCS sempre usa IMS (Adobe ID, Business ID ou Federated ID).
- O AMS 6.5 usa contas IMS, SAML, LDAP ou locais.
- O AEM Forms JEE também pode implementar o OTP personalizado por meio da OpenAPI.
-
Categorize seus grupos de usuários em usuários do Federated ID, usuários do Adobe ID ou usuários locais do AEM e valide revisando o comportamento da tela de logon (IMS versus local).
Resolução resolution
-
Para autenticação do Adobe IMS, habilite o MFA por meio da Admin Console. Acesse adminconsole.adobe.com → Configurações → Privacidade e segurança → Sistema de Autenticação e habilite a imposição de MFA para seu diretório de usuário. Faça logout, entre novamente com uma Federated ID e confirme se o desafio do MFA aparece no IdP.
-
Para usuários do Federated ID (SSO), configure o MFA diretamente no IdP. Implemente a MFA obrigatória na política de acesso condicional do IdP para que o IdP solicite a MFA antes de emitir o token SAML/OIDC para o AEM. Testar o logon de um usuário que corresponda à política. Se o desafio não for exibido, verifique os logs de acesso do IdP e confirme se os URLs do consumidor de asserção SAML correspondem aos nomes de host do ambiente do AEM.
-
Entenda as limitações do Adobe ID MFA para usuários externos. O Adobe ID MFA é opcional e não pode ser aplicado globalmente. Os usuários de agências externas podem habilitar independentemente a verificação em duas etapas em suas páginas de conta do Adobe ID. Se a imposição for necessária, use Federated IDs em vez de Adobe IDs.
-
Para usuários locais do AEM, esclareça que o MFA não é compatível imediatamente. As contas locais devem ser migradas para SSO/IMS para imposição de MFA. Verifique se ainda existem contas locais em
/useradmine planeje um caminho de migração para elas. -
Para clientes do AEM Forms JEE que exigem o SMS-OTP MFA, configure uma integração de SMS de terceiros:
- Escolha um provedor SMS e obtenha as credenciais da API.
- Crie um arquivo OpenAPI/Swagger 2.0 descrevendo os pontos de extremidade de envio e verificação de OTP.
- Integre usando a integração de dados do AEM Forms com a OpenAPI.
- Configure o logon do HTML Workspace para acionar a chamada OTP.
Faça um logon no HTML Workspace para dispositivos móveis e confirme o delivery do SMS.
6. Para workflows MFA personalizados na página de logon da AEM (AEMaaCS ou AMS), observe que isso requer um manipulador de autenticação personalizado. O Suporte da Adobe não implementa nem depura manipuladores personalizados, portanto, envolva a Adobe Consulting ou um parceiro neste trabalho.
Validação
- Confirme os acionadores de MFA com base em IMS ou IdP antes da criação da sessão do AEM.
- Tente fazer logon com um usuário não habilitado para MFA e confirme se o acesso está bloqueado por política.
- Para OTP de SMS do Forms JEE, confirme se os logs de OTP mostram uma solicitação e uma resposta bem-sucedidas para o usuário de teste.
Leitura relacionada
- Adobe Admin Console — configurações de autenticação
- Opções de autenticação do AEMaaCS
- Autenticação do Adobe IMS e suporte do Admin Console para o AEM Managed Services
- Noções básicas sobre a autenticação do Adobe IMS com o AEM no Adobe Managed Services
- AEM Forms JEE — Autenticação de dois fatores de SMS