Adobe Experience Manager as a Cloud Service 的 IMS 支援 ims-support-for-aem-as-a-cloud-service

簡介 introduction

重要焦點 key-highlights

AEM as a Cloud Service 僅針對「作者」、「管理員」和「開發」使用者提供 IMS 驗證支援。不支援客戶網站的外部使用者，例如網站訪客。

架構 architecture

IMS 驗證採用 OAuth 通訊協定，能在 AEM 和 Adobe IMS 端點之間運作。使用者加入 IMS 並擁有 Adobe 身分後，就能使用 IMS 憑證登入 AEM 編寫服務。

使用者登入流程如下所示，系統會將使用者重新導向至 IMS，並可選擇重新導向至客戶 IDP 以進行 SSO，然後重新導向回 AEM。

設定方法 how-to-set-up

在 Adobe Admin Console 中佈建組織 onboarding-orgs-to-adobe-admin-console

若要使用 Adobe IMS 進行 AEM 驗證，客戶必須先開始使用 Adobe Admin Console。

首先，客戶必須有佈建在 Adobe IMS 的組織。Adobe 企業客戶在 Adobe Admin Console 中會顯示為 IMS 組織。此區域是 Adobe 客戶用來管理使用者和群組之產品權益的門戶。

AEM 客戶應先有已佈建的組織，而在 IMS 佈建過程中，客戶即可在 Admin Console 中使用客戶執行個體，管理使用者權益和存取權限。

客戶成為 IMS 組織後，即可依以下摘要內容設定其系統：

設定身分和單一登入中介紹包括 IDP 設定在內的 Adobe Identity Management 基礎知識。

「歡迎使用企業和團隊管理指南」中介紹企業管理和 Admin Console 的使用。

在 Admin Console 中建立使用者 onboarding-users-in-admin-console

有三種建立使用者的方法。每種方法取決於客戶的規模及偏好設定。您可以在 Admin Console 中手動建立使用者、上傳 .csv 檔案，或從客戶的企業 Active Directory 同步使用者。

透過 Admin Console UI 手動新增

客戶可在 Admin Console UI 中手動建立使用者和群組。如果不需管理很多使用者，可使用此方法。舉例來說，如果 AEM 使用者少於 50 名，或您已使用此方法管理其他 Adobe 產品 (例如 Analytics、Target 或 Creative Cloud 應用程式)，即適合使用這個方法。

在 Admin Console UI 中上傳檔案

為方便建立使用者，可上傳 .csv 檔案，大量新增使用者。

使用者同步工具

使用者同步工具 (簡稱 UST) 可方便 Adobe 企業客戶使用 Active Directory 建立及管理 Adobe 使用者。此 UST 也適用於其他通過測試的 OpenLDAP 目錄服務。目標使用者是 IT 身分管理員 (企業目錄或系統管理員)，我們能協助他們安裝及設定此工具。此開放原始碼工具可供自訂，客戶可依自身的特定需求加以修改。

執行「使用者同步」時，系統會從組織的 Active Directory 擷取使用者清單，比對 Admin Console 中的使用者清單。接著，系統會呼叫 Adobe User Management API，將 Admin Console 與組織的目錄同步。此變更流程無法復原。在 Admin Console 中完成的任何編輯都不會推送至目錄。

此工具可讓系統管理員將客戶目錄中的使用者群組，與 Admin Console 中的產品設定和使用者群組相互對應。

若要設定「使用者同步」，組織必須先透過與 User Management API 相同的使用方式，建立一組憑證。

使用者同步工具是透過在此位置的 Adobe Github 存放庫發佈。

此版本的主要功能是在 Admin Console 中針對使用者會籍動態對應新 LDAP 群組，以及建立動態使用者群組。

有關新群組功能的更多資訊，請參閱「Adobe 使用者同步工具 - 其他群組選項」。

使用者同步文件

請參閱：

Adobe Experience as a Cloud Service 設定 aem-configuration

佈建 AEM 環境和執行個體時，系統會自動設定所需的 AEM IMS 設定。客戶管理員可依需求適度修改部分設定

整體方式是將 Adobe IMS 設為 OAuth 提供者，並像處理 LDAP 同步作業一樣，修改 Apache Jackrabbit Oak Default Sync Handler。

以下提供必須修改的重要 OSGI 設定，以變更「使用者自動成員資格」或「群組對應」等屬性。

使用方式 how-to-use

在 Admin Console 中管理產品和使用者存取權限 managing-products-and-user-access-in-admin-console

產品管理員登入 Admin Console 後，會看到 AEM as a Cloud Service 產品內容的多個執行個體，如下所示：例如，從「概觀」頁面選取任何產品：

您會看到現有執行個體清單：

在每個產品內容執行個體下，會有跨生產、階段或開發環境的編寫或發佈服務的執行個體。每個執行個體會關聯到產品設定檔或 Cloud Manager 角色。這些產品設定檔的主要功用在於指派存取權限給具有必要權限的使用者和群組。

AEM Administrators_xxx 設定檔用於授予相關聯 AEM 執行個體的管理員權限，而 AEM Users_xxx 設定檔則用於新增使用者。

此產品設定檔中新增的任何使用者和群組都可以登入該執行個體，如以下範例所示：

登入 Adobe Experience Manager as a Cloud Service logging-in-to-aem

本機管理員登入

AEM 可繼續為管理員使用者支援本機登入。此登入畫面可讓您本機登入：

IMS 登入

若是其他使用者，在執行個體上設定 IMS 後，即可使用 IMS 登入。使用者按一下「使用 Adobe 登入」按鈕，如下所示：

系統會將使用者重新導向至 IMS 登入畫面，此時使用者必須輸入憑證：

如果在初始 Admin Console 設定期間就已設定同盟 IDP，系統會將使用者重新導向至客戶 IDP，以執行 SSO：

驗證完成後，系統會將使用者重新導向回 AEM 並登入：

在 Adobe Experience Manager as a Cloud Service 中管理權限和 ACL managing-permissions-in-aem

您能持續在 AEM 中管理 ACL 和權限。您可將從 IMS 同步的使用者群組，指派給定義 ACL 和權限的本機群組。

以下範例中，我們會示範將同步的群組新增至本機 Dam_Users 群組。

使用者屬於 IMS 中的下列群組：

使用者登入後，系統會同步其群組成員資格，如下所示：

在 AEM 中，從 IMS 同步的使用者群組可以成員身分新增至現有的本機群組，例如 DAM Users。

如下所示，群組 AEM-GRP_008 會繼承 DAM 使用者 的權限。這種繼承可有效管理同步群組的權限，此外也常搭配 LDAP 驗證方法使用。

存取 Cloud Manager accessing-cloud-manager

若要能夠存取 Cloud Manager 或 AEM as a Cloud Service 環境，系統必須將您指派到 Cloud Manager 產品的設定檔。

如果您想深入了解使用者的角色 (能控制使用者能否使用 Cloud Manager 的特定功能)，請參閱角色定義。

使用者新增步驟

存取 AEM as a Cloud Service 中的執行個體 accessing-instance-cloud-service

若要在 Admin Console 中存取 AEM 執行個體，您應該會在 Admin Console 的產品清單中看見 Cloud Manager 程式和程式內的環境。

舉例來說，在下方螢幕擷圖中，您會看到兩個可供使用的環境，即 dev author 和 publish。

若要存取 AEM 執行個體，使用者必須新增至適當雲端服務產品群組。

每個編寫執行個體都會有 AEM 管理員和 AEM 使用者設定檔，而每個發佈執行個體都有 AEM 使用者設定檔。您可以視需求新增其他設定檔。

若要取得管理員層級的 AEM 執行個體存取權限，使用者需新增至特定產品的 AEM 管理員設定檔。