現在表示中:

注意:

この機能は、Adobe Managed Services のお客様にのみご利用いただけます。

概要

AEM 6.4.3.0 では、

AEM インスタンスに対するアドミンコンソールのサポートおよび、AEM Managed Services のお客様のための Adobe IMS(Identity Management System)ベースの認証が導入されました。

AEM がアドミンコンソールをオンボーディングしたことにより、AEM Managed Servicesのお客様は 1 つのコンソールですべての Experience Cloud ユーザーを管理できます。ユーザーとグループは AEM インスタンスに関連付けられている製品プロファイルに割り当てることができ、特定のインスタンスにログインできます。

主なハイライト

  • AEM の IMS 認証サポートは、AEM 作成者、管理者、または開発者のみを対象としており、サイト訪問者のような顧客サイトの外部エンドユーザーを対象としていません。
  • アドミンコンソールは、AEM Managed Services の顧客を IMS 組織として、それらのインスタンスを製品コンテキストとして表します。顧客システムおよび製品管理者は、インスタンスへのアクセスを管理できるようになります。
  • AEM Managed Services は、顧客のトポロジとアドミンコンソールを同期させます。アドミンコンソールでは、インスタンスごとに AEM Managed Services 製品コンテキストのインスタンスが 1 つあります。
  • アドミンコンソールの製品プロファイルによって、ユーザーがアクセスできるインスタンスが決まります。
  • お客様独自の SAML 2 準拠の ID プロバイダーを使用したフェデレーテッド認証がサポートされています。
  • 個人用の Adobe ID ではなく、エンタープライズ ID またはフェデレーデッド ID(お客様のシングルサインオン用)のみがサポートされます。
  • (Adobe Admin Console での)ユーザー管理は、引き続きカスタマー管理者によって所有されます。

アーキテクチャ

IMS 認証は、AEM と Adobe IMS エンドポイントの間で OAuth プロトコルを使用して機能します。ユーザーが IMS に追加され、Adobe Identity を持つようになると、IMS 資格情報を使用して AEM Managed Services インスタンスにログインできます。

ユーザーログインフローを以下に示します。ユーザーは IMS にリダイレクトされ、オプションで SSO 検証のためにカスタマー IDP にリダイレクトされてから、AEM にリダイレクトされます。

image2018-9-23_23-55-8

設定方法

アドミンコンソールへの組織のオンボーディング

アドミンコンソールへお客様をオンボーディングすることは、AEM 認証に Adobe IMS を使用するための前提条件です。 

最初のステップとして、Adobe IMS に組織をプロビジョニングする必要があります。Adobe Enterprise のお客様は、Adobe Admin Console に IMS 組織として表されています。

AEM Managed Services のお客様は、すでに組織がプロビジョニングされています。また、IMS プロビジョニングの一環として、ユーザーの使用権限とアクセスを管理するために、アドミンコンソールでカスタマーインスタンスを利用できるようになります。

ユーザー認証のための IMS への移行は、AMS とお客様の共同作業となり、それぞれがワークフローを完了させます。

顧客が IMS 組織として存在し、AMS が顧客の IMS へのプロビジョニングを完了したら、次のような設定ワークフローを実行する必要があります。

image2018-9-23_23-33-25
  1. 指定されたシステム管理者がアドミンコンソールにログインするための招待を受け取る

  2. システム管理者は、ドメインの所有権を確認するためにドメインを要求する(この例では acme.com)

  3. システム管理者はユーザーディレクトリを設定する

  4. システム管理者は、SSO 設定用に管理コンソールの ID プロバイダ(IDP)を設定する

  5. AEM 管理者は、通常どおりローカルグループ、権限、および特権を管理する。ユーザーとグループの同期を参照してください。

注意:

IDP 設定を含む Adobe Identity Management Basics の詳細については、このページの記事を参照してください。

Enterprise Administration と Admin Console の詳細については、このページの記事を参照してください。

アドミンコンソールへのユーザーのオンボード

お客様の規模と好みに応じて、ユーザーをオンボードする方法は 3 つあります。

  1. アドミンコンソールでユーザーとグループを手動作成する
  2. ユーザーと一緒に CSV ファイルをアップロードする
  3. お客様のエンタープライズ Active Directory からユーザーとグループを同期する

アドミンコンソール UI による手動追加

ユーザーとグループは、アドミンコンソールの UI で手動で作成できます。この方法は、管理するユーザー数が多くない場合に使用できます。(例:AEM ユーザーが 50 人未満の場合)

Analytics、Target、Creative Cloud などの他の Adobe 製品を管理するためにすでにこの方法を使用している場合は、ユーザーを手動で作成することもできます。

image2018-9-23_20-39-9

アドミンコンソール UI でのファイルアップロード

ユーザー作成を簡単に処理するには、CSV ファイルをアップロードしてまとめて追加します。

image2018-9-23_18-59-57

ユーザー同期ツール

ユーザー同期ツール(UST)は、Active Directory または他のテスト済み OpenLDAP ディレクトリサービスを利用して、Adobe ユーザーを作成または管理することができます。対象ユーザーは、このツールをインストールおよび設定できる IT ID 管理者(エンタープライズディレクトリとシステムの管理者)です。オープンソースツールはカスタマイズ可能であるため、顧客は特定の要件に合うように開発者に修正させることができます。 

ユーザー同期が実行されると、組織の Active Directory(または他の互換性のあるデータソース)からユーザー一覧を取得し、それをアドミンコンソール内のユーザー一覧と比較します。その後、アドミンコンソールを組織のディレクトリと同期するために、Adobe User Management API を呼び出します。変更の流れは完全に一方向です。アドミンコンソールで行った編集はディレクトリにプッシュされません。

このツールを使用すると、システム管理者はお客様のディレクトリにあるユーザーグループをアドミンコンソールの製品設定とユーザーグループにマッピングできます。また、新しい UST バージョンでは、アドミンコンソールで動的にユーザーグループを作成することもできます。

ユーザー同期を設定するには、User Management API を使用する場合と同様に、組織が一連の資格情報を作成する必要があります。

image2018-9-23_13-36-56

ユーザー同期は、次の場所にある Adobe Github リポジトリを介して配布されます。

https://github.com/adobe-apiplatform/user-sync.py/releases/latest

プレリリースバージョンの 2.4RC1 は動的グループ作成サポートで利用でき、次の場所にあります。https://github.com/adobe-apiplatform/user-sync.py/releases/tag/v2.4rc1

このリリースの主な機能は、アドミンコンソールでユーザーのメンバーシップに合わせて新しい LDAP グループを動的にマッピングする機能と、動的なユーザーグループ作成です。 

新しいグループ機能の詳細については、こちらを参照してください。

https://github.com/adobe-apiplatform/user-sync.py/blob/v2/docs/en/user-manual/advanced_configuration

注意:

ユーザー同期ツールの詳細については、ドキュメントページを参照してください。

ユーザー同期ツールは、ここに説明されている手順を使用して、Adobe I/O クライアント UMAPI として登録する必要があります。

Adobe I/O コンソールのドキュメントはここを参照してください。

ユーザー同期ツールによって使用される User Management API については、ここを参照してください。

注意:

AEM IMS の設定は、Adobe Managed Services チームによって処理されます。ただし、お客様の管理者は必要に応じて変更することができます(例えば、自動グループメンバーシップやグループマッピングなど)。IMS クライアントは、ご自身の Managed Services チームによっても登録されます。

使用方法

アドミンコンソールでの製品とユーザーアクセスの管理

顧客の製品管理者がアドミンコンソールにログインすると、以下に示すように、AEM Managed Services 製品コンテキストの複数のインスタンスが表示されます。

screen_shot_2018-09-17at105804pm

この例では、AEM-MS-Onboard 組織は、Stage、Prod など、さまざまなトポロジと環境にまたがる 32 のインスタンスがあります。

screen_shot_2018-09-17at105517pm

詳細を確認してインスタンスを識別できます。

screen_shot_2018-09-17at105601pm

各製品コンテキストインスタンスの下に、関連付けられた製品プロファイルがあります。この製品プロファイルは、ユーザーおよびグループにアクセス権を割り当てるために使用されます。

image2018-9-18_7-48-50

この製品プロファイルの下に追加されたすべてのユーザーおよびグループは、以下の例に示すように、そのインスタンスにログインできます。

screen_shot_2018-09-17at105623pm

AEM へのログイン

ローカル管理者ログイン

AEM では引き続き、管理ユーザーのローカルログインをサポートし、ログイン画面にはローカルでログインするオプションがあります。

screen_shot_2018-09-18at121056am

IMS ベースのログイン

他のユーザーの場合は、IMS がインスタンスに設定された後に、IMS ベースのログインを使用できます。ユーザーはまず、下に示すように、「Sign in with Adobe」ボタンをクリックします。

image2018-9-18_0-10-32

その後、ユーザーは IMS ログイン画面にリダイレクトされ、資格情報を入力します。

screen_shot_2018-09-17at115629pm

アドミンコンソールの初期設定中にフェデレーテッド IDP が設定される場合、ユーザーは SSO 用のカスタマー IDP にリダイレクトされます。

以下の例では、IDP は Okta です。

screen_shot_2018-09-17at115734pm

認証が完了すると、ユーザーは AEM にリダイレクトされてログインします。

screen_shot_2018-09-18at120124am

既存ユーザーの移行

別の認証方式を使用していて、現在 IMS に移行されている既存の AEM インスタンスの場合、移行手順が必要です。

AEM リポジトリ内の既存ユーザー(LDAP または SAML を介してローカルに提供される)は、IDP がユーザー移行ユーティリティを使用しているため、IMS を指すように移行できます。

このユーティリティは、IMS プロビジョニングの一部として AMS チームによって実行されます。

AEM での権限と ACL の管理

 アクセス制御とアクセス許可は引き続き AEM で管理されます。これは、IMS からのユーザーグループ(下の例では AEM-GRP-008)と、アクセス許可とアクセス制御が定義されているローカルグループの分離を使用して実現できます。IMS から同期されたユーザーグループは、ローカルグループに割り当てられ、権限を継承することができます。

以下の例では、同期グループをローカル Dam_Users グループに追加しています。

ここでは、ユーザーはアドミンコンソールのいくつかのグループにも割り当てられています。(ユーザーとグループは、ユーザー同期ツールを使用して LDAP から同期することも、ローカルで作成することもできます。上記のアドミンコンソールへのユーザーのオンボードを参照してください。)

*ユーザーグループは、ユーザーがインスタンスにログインしたときにのみ同期されることに注意してください。多数のユーザーとグループを所有する場合は、上記の通り、グループ同期ユーティリティを AMS で実行して、アクセス制御と権限管理用のグループをプリフェッチできます。

screen_shot_2018-09-17at94207pm

ユーザーは、IMS の以下のグループの一部です。

screen_shot_2018-09-17at94237pm

ユーザーがログインすると、以下に示すように、グループメンバーシップが同期されます。

screen_shot_2018-09-17at94033pm

AEM では、IMS から同期されたユーザーグループを既存のローカルグループ(DAM ユーザーなど)にメンバーとして追加できます。

screen_shot_2018-09-17at95804pm

以下に示すように、グループ AEM-GRP_008 は DAM ユーザーの権限と特権を継承します。これは同期されたグループに対する権限を管理する効果的な方法であり、LDAP ベースの認証方法でも一般的に使用されています。

screen_shot_2018-09-17at110505pm

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

リーガルノーティス   |   プライバシーポリシー