Ativação do MFA para logon de autor do AEM por meio do Adobe IMS ou de um provedor de identidade externo

A AEM não fornece a Autenticação Multifator (MFA) nativa para nomes de usuário e senhas locais, o que gera mais confusão nas solicitações do MFA. O MFA é compatível somente quando a autenticação é delegada ao Adobe IMS ou a um Provedor de identidade externo (IdP), como o Okta, Azure AD ou qualquer provedor SAML/OIDC que o aplique, porque a própria tela de logon do AEM não contém lógica de MFA. O desafio deve ocorrer antes que o AEM receba a autenticação, para que as contas locais — que ignoram IDs externas — não tenham um mecanismo de aplicação. Determinar o modelo de autenticação e ativar o MFA na camada IMS ou IdP fornece MFA imposto para logon de autor do AEM.

Descrição description

Problema: o MFA não pode ser ativado diretamente no logon do autor do AEM ou para contas locais do AEM

Descrição

Os clientes solicitam o MFA nas páginas de logon do autor do AEM para fins de conformidade de segurança, e a confusão surge entre vários caminhos distintos: MFA do Adobe IMS, MFA baseado em IdP para Federated IDs, verificação opcional em duas etapas do Adobe ID, MFA não compatível para usuários locais do AEM e integrações MFA personalizadas, como OTP do AEM Forms JEE ou manipuladores de autenticação personalizados. Essas solicitações ocorrem no AEMaaCS, AMS 6.5 e AEM Forms JEE. A tela de logon da AEM não implementa a lógica do MFA, portanto, o desafio deve ocorrer antes que o AEM receba autenticação.

Ambiente:

  • Adobe Experience Manager as a Cloud Service (AEMaaCS)
  • AEM Managed Services (AMS 6.5)
  • AEM FORMS JEE
  • Provedores de identidade SAML/OIDC externos e do Adobe IMS

Problema/sintomas:

  • Solicitações do cliente que ativam o MFA no logon do autor do AEM para todos os usuários.
  • O cliente solicita o MFA para contas locais ou não SSO, que a AEM não oferece suporte imediato.

Causa raiz:

A tela de logon da AEM não implementa a lógica do MFA. O MFA deve ocorrer antes que a AEM receba autenticação, por meio do Adobe IMS ou de um Federated SAML/OIDC IdP que o imponha. As contas locais do AEM ignoram as IDs externas e, portanto, não têm um mecanismo de imposição de MFA.

Como confirmar

  1. Determine seu modelo de autenticação confirmando se os usuários se autenticam por meio do Adobe IMS, do Federated SSO (SAML/OIDC) ou de contas locais do AEM:

    • O AEMaaCS sempre usa IMS (Adobe ID, Business ID ou Federated ID).
    • O AMS 6.5 usa contas IMS, SAML, LDAP ou locais.
    • O AEM Forms JEE também pode implementar o OTP personalizado por meio da OpenAPI.
  2. Categorize seus grupos de usuários em usuários do Federated ID, usuários do Adobe ID ou usuários locais do AEM e valide revisando o comportamento da tela de logon (IMS versus local).

Resolução resolution

  1. Para autenticação do Adobe IMS, habilite o MFA por meio da Admin Console. Acesse adminconsole.adobe.com → Configurações → Privacidade e segurança → Sistema de Autenticação e habilite a imposição de MFA para seu diretório de usuário. Faça logout, entre novamente com uma Federated ID e confirme se o desafio do MFA aparece no IdP.

  2. Para usuários do Federated ID (SSO), configure o MFA diretamente no IdP. Implemente a MFA obrigatória na política de acesso condicional do IdP para que o IdP solicite a MFA antes de emitir o token SAML/OIDC para o AEM. Testar o logon de um usuário que corresponda à política. Se o desafio não for exibido, verifique os logs de acesso do IdP e confirme se os URLs do consumidor de asserção SAML correspondem aos nomes de host do ambiente do AEM.

  3. Entenda as limitações do Adobe ID MFA para usuários externos. O Adobe ID MFA é opcional e não pode ser aplicado globalmente. Os usuários de agências externas podem habilitar independentemente a verificação em duas etapas em suas páginas de conta do Adobe ID. Se a imposição for necessária, use Federated IDs em vez de Adobe IDs.

  4. Para usuários locais do AEM, esclareça que o MFA não é compatível imediatamente. As contas locais devem ser migradas para SSO/IMS para imposição de MFA. Verifique se ainda existem contas locais em /useradmin e planeje um caminho de migração para elas.

  5. Para clientes do AEM Forms JEE que exigem o SMS-OTP MFA, configure uma integração de SMS de terceiros:

    • Escolha um provedor SMS e obtenha as credenciais da API.
    • Crie um arquivo OpenAPI/Swagger 2.0 descrevendo os pontos de extremidade de envio e verificação de OTP.
    • Integre usando a integração de dados do AEM Forms com a OpenAPI.
    • Configure o logon do HTML Workspace para acionar a chamada OTP.

Faça um logon no HTML Workspace para dispositivos móveis e confirme o delivery do SMS.
​6. Para workflows MFA personalizados na página de logon da AEM (AEMaaCS ou AMS), observe que isso requer um manipulador de autenticação personalizado. O Suporte da Adobe não implementa nem depura manipuladores personalizados, portanto, envolva a Adobe Consulting ou um parceiro neste trabalho.

Validação

  1. Confirme os acionadores de MFA com base em IMS ou IdP antes da criação da sessão do AEM.
  2. Tente fazer logon com um usuário não habilitado para MFA e confirme se o acesso está bloqueado por política.
  3. Para OTP de SMS do Forms JEE, confirme se os logs de OTP mostram uma solicitação e uma resposta bem-sucedidas para o usuário de teste.

Leitura relacionada

recommendation-more-help
experience-cloud-kcs-help-kbarticles