为AEM作者通过Adobe IMS或外部身份提供程序登录启用MFA

AEM不为本地用户名和密码提供本机多重身份验证(MFA),这是MFA请求中最混乱的源头。 仅当将身份验证委派给Adobe IMS或外部身份提供程序(IdP)(如Okta、Azure AD)或任何实施它的SAML/OIDC提供程序时,才支持MFA,因为AEM登录屏幕本身不包含MFA逻辑。 该挑战必须在AEM收到身份验证之前发生,因此绕过外部IdP的本地帐户没有强制执行机制。 确定身份验证模型并在IMS或IdP层启用MFA会为AEM作者登录提供强制的MFA。

描述 description

问题:无法直接在AEM作者登录或为本地AEM帐户启用MFA

说明

客户在AEM创作登录页面上请求使用MFA以提高安全合规性,并且会在多个不同的路径中遇到混淆:Adobe IMS MFA、用于Federated ID的基于IdP的MFA、Adobe ID可选的两步验证、本地AEM用户不支持的MFA以及自定义MFA集成(如AEM Forms JEE OTP或自定义身份验证处理程序)。 这些请求会在AEMaaCS、AMS 6.5和AEM Forms JEE中发生。 AEM的登录屏幕不实施MFA逻辑,因此必须在AEM接收身份验证之前进行挑战。

环境:

  • Adobe Experience Manager as a Cloud Service (AEMaaCS)
  • AEM Managed Services (AMS 6.5)
  • AEM FORMS JEE
  • Adobe IMS和外部SAML/OIDC身份提供程序

问题/症状:

  • 客户请求为所有用户启用AEM作者登录上的MFA。
  • 客户为本地或非SSO帐户请求MFA,AEM不支持开箱即用型帐户。

根本原因:

AEM的登录屏幕不实施MFA逻辑。 MFA必须在AEM通过实施MFA的Adobe IMS或Federated SAML/OIDC IdP接收身份验证之前发生。 本地AEM帐户绕过外部IdP,因此没有MFA实施机制。

如何确认

  1. 通过确认用户是通过Adobe IMS、Federated SSO (SAML/OIDC)还是本地AEM帐户进行身份验证来确定您的身份验证模型:

    • AEMaaCS始终使用IMS(Adobe ID、Business ID或Federated ID)。
    • AMS 6.5使用IMS、SAML、LDAP或本地帐户。
    • AEM Forms JEE还可以通过OpenAPI实施自定义OTP。
  2. 将您的用户组分类为Federated ID用户、Adobe ID用户或本地AEM用户,然后通过查看登录屏幕行为(IMS与本地)进行验证。

解决方法 resolution

  1. 对于Adobe IMS身份验证,请通过Admin Console启用MFA。 转到adminconsole.adobe.com → Settings → Privacy and security → Authentication System,并为您的用户目录启用MFA强制实施。 注销,使用Federated ID重新登录,然后确认MFA质询是否从IdP中显示。

  2. 对于Federated ID (SSO)用户,请直接在IdP中配置MFA。 在IdP的条件访问策略中实施强制的MFA,这样IdP就会在向AEM发出SAML/OIDC令牌之前提示输入MFA。 测试来自与策略匹配的用户的登录。 如果未显示质询,请检查IdP访问日志,并确认SAML断言消费者URL与您的AEM环境主机名相匹配。

  3. 了解适用于外部用户的Adobe ID MFA限制。 Adobe ID MFA是可选的,不能全局强制使用。 外部机构用户可在其Adobe ID账户页面上独立启用两步验证。 如果要求实施,请使用Federated ID而不是Adobe ID。

  4. 对于本地AEM用户,请明确说明开箱即用不支持MFA。 必须将本地帐户迁移到SSO/IMS以实施MFA。 检查/useradmin下是否仍存在任何本地帐户,并为其规划迁移路径。

  5. 对于需要SMS-OTP MFA的AEM Forms JEE客户,请配置第三方短信集成:

    • 选择一个SMS提供商并获取API凭据。
    • 创建描述OTP发送和验证端点的OpenAPI/Swagger 2.0文件。
    • 使用AEM Forms数据集成与OpenAPI集成。
    • 配置HTML Workspace登录以触发OTP调用。

执行HTML Workspace移动登录并确认短信投放。
​6. 请注意,对于AEM登录页面(AEMaaCS或AMS)上的自定义MFA工作流,这需要自定义身份验证处理程序。 Adobe支持部门不实施或调试自定义处理程序,因此请联系Adobe Consulting或合作伙伴来完成这项工作。

验证

  1. 在创建AEM会话之前,确认IMS或基于IdP的MFA触发器。
  2. 尝试使用未启用MFA的用户登录,并确认每个策略阻止访问。
  3. 对于Forms JEE SMS OTP,确认OTP日志显示测试用户的成功请求和响应。

相关阅读

recommendation-more-help
experience-cloud-kcs-help-kbarticles