Autenticação do Adobe IMS e suporte Admin Console para AEM Managed Services adobe-ims-authentication-and-admin-console-support-for-aem-managed-services
Introdução introduction
O AEM 6.4.3.0 apresenta suporte Admin Console para instâncias AEM e autenticação baseada no Adobe IMS (Identity Management AEM System) para clientes do Managed Services.
A integração do AEM ao Admin Console permitirá que os clientes do AEM Managed Services gerenciem todos os usuários do Experience Cloud em um console. Os usuários podem ser atribuídos a perfis de produtos associados a instâncias do AEM, permitindo que façam logon em uma instância específica.
Destaques principais key-highlights
- O suporte à autenticação IMS do AEM é somente para autores, administradores ou desenvolvedores do AEM, não para usuários finais externos do site do cliente, como visitantes do site
- O Admin Console representará os clientes do AEM Managed Services como Organizações IMS e suas Instâncias como Contextos de Produto. O Sistema do cliente e os Administradores de produtos poderão gerenciar o acesso às instâncias
- O AEM Managed Services sincronizará as topologias do cliente com o Admin Console. Haverá uma instância do Contexto de Produto do Managed Services AEM por Instância no Admin Console.
- Os Perfis de Produto no Admin Console determinarão quais instâncias um usuário poderá acessar
- A autenticação federada usando os Provedores de Identidade compatíveis com SAML 2 dos próprios clientes é compatível
- Somente IDs Enterprise ou Federated (para Logon único do cliente) serão compatíveis, não IDs de Adobe pessoais.
- User Management (no Adobe Admin Console) continuará a ser de propriedade dos administradores do cliente.
Arquitetura architecture
A autenticação do IMS funciona usando o protocolo OAuth entre o AEM e o terminal Adobe IMS. Depois que um usuário é adicionado ao IMS e tem uma Adobe Identity, ele pode fazer logon nas instâncias do AEM Managed Services usando as credenciais do IMS.
O fluxo de logon do usuário é mostrado abaixo. O usuário será redirecionado para o IMS e, como opção, para o IDP do cliente para validação de SSO e redirecionado para o AEM.
Como Configurar how-to-set-up
Integração de organizações a Admin Console onboarding-organizations-to-admin-console
A integração do cliente ao Admin Console é um pré-requisito para o uso do Adobe IMS para autenticação AEM.
Como primeira etapa, os clientes devem ter uma Organização provisionada no Adobe IMS. Os clientes do Adobe Enterprise são representados como Organizações do IMS no Adobe Admin Console.
Os clientes do Managed Services AEM já devem ter uma organização provisionada e, como parte do provisionamento do IMS, as instâncias do cliente serão disponibilizadas no Admin Console para gerenciar os direitos e o acesso do usuário.
A mudança para o IMS para autenticação de usuários será um esforço conjunto entre o AMS e os clientes, com cada um tendo seus fluxos de trabalho para concluir.
Quando um cliente existir como uma Organização IMS e o AMS terminar de provisionar o cliente para IMS, este será o resumo dos fluxos de trabalho de configuração necessários:
- O Administrador do Sistema designado recebe um convite para fazer login no Admin Console
- O domínio de declarações do administrador do sistema para confirmar a propriedade do domínio (neste exemplo acme.com)
- O administrador do sistema configura os diretórios de usuário
- O Administrador do Sistema configura o Provedor de Identidade (IDP) no Admin Console para configuração de SSO.
- O Administrador do AEM gerencia os grupos locais, permissões e privilégios, como de costume. Consulte Sincronização de usuários e grupos
Integração de usuários ao Admin Console onboarding-users-to-the-admin-console
Há três maneiras de integrar os usuários dependendo do tamanho do cliente e de sua preferência:
- Criar usuários e grupos manualmente no Admin Console
- Carregar um arquivo CSV com usuários
- Sincronizar usuários e grupos do Ative Diretory corporativo do cliente.
Adição manual por meio da interface do usuário Admin Console manual-addition-through-admin-console-ui
Usuários e grupos podem ser criados manualmente na interface do usuário do Admin Console. Esse método pode ser usado se eles não tiverem muitos usuários para gerenciar. Por exemplo, menos de 50 usuários de AEM.
Os usuários também podem ser criados manualmente se o cliente já estiver usando esse método para administrar outros produtos de Adobe, como aplicativos Adobe Analytics, Adobe Target ou Adobe Creative Cloud.
Upload de arquivo na interface do usuário do Admin Console file-upload-in-the-admin-console-ui
Para facilitar a criação de usuários, um arquivo CSV pode ser carregado para adicionar usuários em massa:
Ferramenta de sincronização de usuários user-sync-tool
A Ferramenta de sincronização de usuários (UST, User Sync Tool) permite que clientes corporativos criem ou gerenciem usuários de Adobe que usam o Ative Diretory ou outros serviços de diretório OpenLDAP testados. Os usuários de destino são Administradores de identidade de TI (Diretório corporativo e Administradores do sistema) que poderão instalar e configurar a ferramenta. A ferramenta de código aberto é personalizável para que os clientes possam solicitar que um desenvolvedor a modifique para se adequar aos seus próprios requisitos específicos.
Quando a Sincronização de Usuários é executada, ela obtém uma lista de usuários do Ative Diretory da organização (ou qualquer outra fonte de dados compatível) e a compara com a lista de usuários no Admin Console. Em seguida, ele chama a API de Adobe User Management para que Admin Console seja sincronizado com o diretório da organização. O fluxo de alterações é totalmente unidirecional; as edições feitas no Admin Console não são enviadas para o diretório.
A ferramenta permite que o administrador do sistema mapeie grupos de usuários no diretório do cliente com a configuração do produto e grupos de usuários no Admin Console. A nova versão da UST também permite a criação dinâmica de grupos de usuários no Admin Console.
Para configurar a Sincronização de Usuários, a organização precisa criar um conjunto de credenciais da mesma forma que usaria a User Management API.
A Sincronização de usuários é distribuída pelo repositório do GitHub Adobe neste local:
https://github.com/adobe-apiplatform/user-sync.py/releases/latest
Observe que uma versão de pré-lançamento 2.4RC1 está disponível com suporte à criação de grupos dinâmicos e pode ser encontrada aqui: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1
Os principais recursos desta versão são a capacidade de mapear dinamicamente novos grupos LDAP para associação de usuários no Admin Console e criação dinâmica de grupos de usuários.
Mais informações sobre os novos recursos do grupo podem ser encontradas aqui:
-
a Ferramenta de Sincronização de Usuários - Sincronização de Usuários Adobe
-
a Ferramenta de Sincronização de Usuários precisa se registrar como uma UMAPI de cliente Adobe I/O usando o procedimento descrito em Autenticação para Acesso à API
Como usar how-to-use
Gerenciando Produtos e o Acesso de Usuários no Admin Console managing-products-and-user-access-in-admin-console
Quando o Administrador de Produto do cliente fizer logon no Admin Console, ele verá várias instâncias do Contexto de Produto do AEM Managed Services, como mostrado abaixo:
Neste exemplo, a organização AEM-MS-Onboard tem 32 instâncias que abrangem topologias e ambientes diferentes, como Preparo, Produção e assim por diante.
Os detalhes da instância podem ser verificados para identificá-la:
Em cada instância do Contexto do produto, haverá um Perfil de produto associado. Este perfil de produto é usado para atribuir acesso aos usuários.
Todos os usuários adicionados nesse perfil de produto poderão fazer logon nessa instância, como mostra o exemplo abaixo:
Fazendo login no AEM logging-into-aem
Logon do administrador local local-admin-login
O AEM pode continuar a oferecer suporte a logons locais para usuários Administradores, já que a tela de logon tem uma opção para fazer logon localmente:
Logon baseado no IMS ims-based-login
Para outros usuários, o logon baseado no IMS pode ser usado assim que o IMS for configurado na instância. O usuário clica primeiro em Entrar com Adobe, conforme mostrado abaixo:
Eles serão redirecionados para a tela de logon do IMS e inserirão suas credenciais:
Se um IDP federado for configurado durante a instalação inicial de Admin Console, o usuário será redirecionado ao IDP do cliente para SSO.
O IDP é Okta no exemplo abaixo:
Após a conclusão da autenticação, o usuário será redirecionado de volta para o AEM e conectado:
Migração de usuários existentes migrating-existing-users
Para instâncias de AEM existentes que estão usando outro método de autenticação e estão sendo migradas para IMS, é necessário haver uma etapa de migração.
Os usuários existentes no repositório AEM (originado localmente, via LDAP ou SAML) podem ser migrados para apontar para o IMS como o IDP usando o Utilitário de migração de usuários.
Esse utilitário será executado pela equipe do AMS como parte do provisionamento do IMS.
Gerenciando permissões e ACLs no AEM managing-permissions-and-acls-in-aem
O controle de acesso e as permissões continuarão a ser gerenciados no AEM, isso pode ser obtido usando a separação de Grupos de usuários provenientes do IMS (por exemplo, AEM-GRP-008 no exemplo abaixo) e de grupos locais onde as permissões e o controle de acesso são definidos. Os grupos de usuários sincronizados do IMS podem ser atribuídos a grupos locais e herdar as permissões.
No exemplo abaixo, adicionamos grupos sincronizados ao grupo local Dam_Users, como exemplo.
Aqui, um usuário também foi atribuído a alguns grupos no Admin Console. (Os usuários e grupos podem ser sincronizados do LDAP usando a ferramenta de sincronização de usuários ou criados localmente. Consulte Integração de usuários aoAdmin Console anteriormente).
O usuário faz parte dos seguintes Grupos no IMS:
Quando o usuário faz logon, as Associações de grupo são sincronizadas, como mostrado abaixo:
No AEM, os grupos de usuários sincronizados do IMS podem ser adicionados como membros a grupos locais existentes, por exemplo, Usuários do DAM.
Como mostrado abaixo, o grupo AEM-GRP_008 herda as Permissões e os Privilégios dos Usuários do DAM. Essa é uma maneira eficaz de gerenciar permissões para grupos sincronizados e também é usada em métodos de autenticação baseados em LDAP.