Adobe IMS-autentisering och Admin Console Stöd för AEM Managed Services adobe-ims-authentication-and-admin-console-support-for-aem-managed-services

NOTE
Den här funktionen är endast tillgänglig för Adobe Managed Services-kunder.

Introduktion introduction

AEM 6.4.3.0 introducerar Admin Console stöd för AEM och Adobe IMS-baserad autentisering (Identity Management System) för AEM Managed Services kunder.

AEM på Admin Console gör det möjligt för AEM Managed Services-kunder att hantera alla Experience Cloud-användare i en konsol. Användare kan tilldelas till produktprofiler som är kopplade till AEM instanser, så att de kan logga in på en viss instans.

Viktiga högdagrar key-highlights

  • Stöd för AEM IMS-autentisering gäller endast AEM författare, administratörer och utvecklare, inte för externa slutanvändare på kundens webbplats, som webbplatsbesökare
  • The Admin Console kommer att representera AEM Managed Services-kunder som IMS-organisationer och deras instanser som produktkontexter. Kundsystem- och produktadministratörer kan hantera åtkomst till instanser
  • AEM Managed Services kommer att synkronisera kundtopologier med Admin Console. Det kommer att finnas en instans AEM Managed Services produktkontext per instans i Admin Console.
  • Produktprofiler i Admin Console avgör vilka instanser en användare kan komma åt
  • Federerad autentisering med kundens egna SAML 2-kompatibla identitetsleverantörer stöds
  • Endast Enterprise ID:n eller Federated ID:n (för kunder med enkel inloggning) stöds, inte Adobe ID:n.
  • User Management (i Adobe Admin Console) kommer även i fortsättningen att ägas av kundadministratörerna.

Arkitektur architecture

IMS-autentisering fungerar med OAuth-protokollet mellan AEM och Adobe IMS-slutpunkten. När en användare som har en Adobe-identitet har lagts till i IMS kan hen logga in på AEM Managed Services-instanser med IMS-inloggningsuppgifter.

Inloggningsflödet för användaren visas nedan. Användaren omdirigeras till IMS och eventuellt till kund-ID för SSO-validering och omdirigeras sedan tillbaka till AEM.

image2018-9-23_23-55-8

Konfigurera how-to-set-up

Integrera organisationer i Admin Console onboarding-organizations-to-admin-console

Kunderna kommer till Admin Console är en förutsättning för att använda Adobe IMS för AEM autentisering.

Som ett första steg bör kunden ha en organisation som är etablerad i Adobe IMS. Adobe Enterprise-kunder representeras som IMS-organisationer i Adobe Admin Console.

AEM Managed Services-kunder bör redan ha en organisation etablerad, och som en del av IMS-etableringen kommer kundinstanserna att vara tillgängliga i Admin Console för hantering av användarrättigheter och -åtkomst.

Övergången till IMS för användarautentisering är en gemensam åtgärd mellan AMS och kunder, där vart och ett av dem har sina arbetsflöden att slutföra.

När en kund finns som IMS-organisation och AMS har etablerat kunden för IMS är detta en sammanfattning av de konfigurationsarbetsflöden som krävs:

image2018-9-23_23-33-25

  1. Den utsedda systemadministratören får en inbjudan att logga in på Admin Console
  2. Anspråksdomänen för systemadministratören som bekräftar domänens ägarskap (i det här exemplet acme.com)
  3. Systemadministratören ställer in användarkataloger
  4. Systemadministratören konfigurerar identitetsleverantören (IDP) i Admin Console för konfiguration av enkel inloggning.
  5. AEM Admin hanterar de lokala grupperna, behörigheterna och behörigheterna som vanligt. Se Användar- och gruppsynkronisering
NOTE
Mer information om grunderna i Adobe Identity Management, inklusive IDP-konfigurationen, finns i artikeln den här sidan.
Mer information om Enterprise Administration och Admin Console se artikeln den här sidan.

Onboarding-användare till Admin Console onboarding-users-to-the-admin-console

Det finns tre sätt att introducera användare beroende på kundens storlek och deras önskemål:

  1. Skapa användare och grupper manuellt i Admin Console
  2. Överföra en CSV-fil med användare
  3. Synkronisera användare och grupper från kundens Enterprise Active Directory.

Manuell infogning via Admin Console UI manual-addition-through-admin-console-ui

Användare och grupper kan skapas manuellt i Admin Console Gränssnitt. Den här metoden kan användas om de inte har många användare att hantera. Till exempel färre än 50 AEM användare.

Användare kan också skapas manuellt om kunden redan använder den här metoden för att administrera andra Adobe-produkter som Adobe Analytics, Adobe Target eller Adobe Creative Cloud.

image2018-9-23_20-39-9

Filöverföring i Admin Console UI file-upload-in-the-admin-console-ui

En CSV-fil kan laddas upp för att användarna ska kunna lägga till flera användare samtidigt:

image2018-9-23_18-59-57

Verktyget för användarsynkronisering user-sync-tool

Med verktyget för användarsynkronisering (UST i korthet) kan företagskunder skapa eller hantera Adobe-användare som använder Active Directory eller andra testade OpenLDAP-katalogtjänster. Målanvändarna är IT-identitetsadministratörer (Enterprise Directory och System Admins) som kan installera och konfigurera verktyget. Verktyget med öppen källkod är anpassbart så att kunderna kan låta en utvecklare ändra det efter sina egna behov.

När användarsynkroniseringen körs hämtar den en lista över användare från organisationens Active Directory (eller någon annan kompatibel datakälla) och jämför den med listan över användare i Admin Console. Sedan ringer den Adobe User Management API så att Admin Console synkroniseras med organisationens katalog. Ändringsflödet är helt ett sätt; alla ändringar som görs i Admin Console inte skickas ut till katalogen.

Verktyget gör att systemadministratören kan mappa användargrupper i kundens katalog med produktkonfiguration och användargrupper i Admin Consolekan den nya UST-versionen även skapa användargrupper dynamiskt i Admin Console.

För att konfigurera användarsynkronisering måste organisationen skapa en uppsättning autentiseringsuppgifter på samma sätt som de använder User Management API.

image2018-9-23_13-36-56

Användarsynkronisering distribueras via Adobe Github-databasen på den här platsen:

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

Observera att en förhandsversion 2.4RC1 finns tillgänglig med stöd för att skapa dynamiska grupper och finns här: https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

De viktigaste funktionerna i den här versionen är möjligheten att dynamiskt mappa nya LDAP-grupper för användarmedlemskap i Admin Consoleoch skapa dynamiska användargrupper.

Mer information om de nya gruppfunktionerna finns här:

https://adobe-apiplatform.github.io/user-sync.py/en/user-manual/advanced_configuration.html#additional-group-options

NOTE
Mer information om verktyget för användarsynkronisering finns i dokumentsida.
Användarsynkroniseringsverktyget måste registreras som ett Adobe I/O-klient-UMAPI enligt den procedur som beskrivs här.
Adobe I/O Console Documentation finns här.
The User Management API:t som används av verktyget för användarsynkronisering beskrivs i det här plats.
NOTE
Den AEM IMS-konfigurationen hanteras av Adobe Managed Services team. Kundadministratören kan dock ändra det efter behov (t.ex. Automatiskt gruppmedlemskap eller Gruppmappning). IMS-klienten registreras också av ditt Managed Services-team.

Använda how-to-use

Hantera produkter och användaråtkomst i Admin Console managing-products-and-user-access-in-admin-console

När kundens produktadministratör loggar in på Admin Consolekommer de att se flera instanser av den AEM Managed Services-produktkontexten enligt nedan:

screen_shot_2018-09-17at105804pm

I det här exemplet AEM-MS-onboard har 32 instanser som spänner över olika topologier och miljöer som Stage, Prod och så vidare.

screen_shot_2018-09-17at105517pm

Instansinformationen kan kontrolleras för att identifiera instansen:

screen_shot_2018-09-17at105601pm

Under varje produktkontextinstans kommer det att finnas en associerad produktprofil. Den här produktprofilen används för att tilldela användare åtkomst.

image2018-9-18_7-48-50

Alla användare som läggs till under den här produktprofilen kan logga in på den instansen enligt exemplet nedan:

screen_shot_2018-09-17at105623pm

Loggar in AEM logging-into-aem

Inloggning för lokal administratör local-admin-login

AEM kan fortfarande ha stöd för lokala inloggningar för administratörsanvändare eftersom inloggningsskärmen har ett alternativ för att logga in lokalt:

screen_shot_2018-09-18at121056am

IMS-baserad inloggning ims-based-login

Andra användare kan använda IMS-baserad inloggning när IMS har konfigurerats för instansen. Användaren klickar först Logga in med Adobe enligt nedan:

image2018-9-18_0-10-32

De dirigeras sedan om till inloggningsskärmen för IMS och anger sina inloggningsuppgifter:

screen_shot_2018-09-17at115629pm

Om en federerad IDP är konfigurerad under den initiala Admin Console kommer användaren att omdirigeras till kund-ID:t för enkel inloggning.

IDP är Okta i exemplet nedan:

screen_shot_2018-09-17at115734pm

När autentiseringen är klar omdirigeras användaren tillbaka till AEM och loggas in:

screen_shot_2018-09-18at120124am

Migrerar befintliga användare migrating-existing-users

För befintliga AEM som använder en annan autentiseringsmetod och nu migreras till IMS måste det finnas ett migreringssteg.

Befintliga användare i AEM-databasen (som hämtas lokalt via LDAP eller SAML) kan migreras till IMS som IDP med verktyget för användarmigrering.

Detta verktyg kommer att köras av ditt AMS-team som en del av IMS-etableringen.

Hantera behörigheter och åtkomstkontrollistor i AEM managing-permissions-and-acls-in-aem

Åtkomstkontroll och behörigheter hanteras även i AEM, vilket kan uppnås genom att användargrupper skiljs från IMS (till exempel AEM-GRP-008 i exemplet nedan) och lokala grupper där behörigheter och åtkomstkontroll definieras. Användargrupperna som synkroniseras från IMS kan tilldelas lokala grupper och ärva behörigheterna.

I exemplet nedan lägger vi till synkroniserade grupper i den lokala gruppen Dam_Users som exempel.

Här har en användare även tilldelats ett fåtal grupper i Admin Console. (Användare och grupper kan synkroniseras från LDAP med användarsynkroniseringsverktyget eller skapas lokalt. Se Onboarding-användare tillAdmin Console tidigare).

NOTE
Användargrupper synkroniseras bara när användarna loggar in på instansen.

screen_shot_2018-09-17at94207pm

Användaren ingår i följande grupper i IMS:

screen_shot_2018-09-17at94237pm

När användaren loggar in synkroniseras hans/hennes gruppmedlemskap enligt nedan:

screen_shot_2018-09-17at94033pm

I AEM kan användargrupper som synkroniseras från IMS läggas till som medlemmar i befintliga lokala grupper, till exempel DAM-användare.

screen_shot_2018-09-17at95804pm

Som visas nedan är gruppen AEM-GRP_008 ärver DAM-användarnas behörigheter. Detta är ett effektivt sätt att hantera behörigheter för synkroniserade grupper och används ofta även i LDAP-baserade autentiseringsmetoder.

screen_shot_2018-09-17at110505pm

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2