Verwaltung von Benutzern, Gruppen und Zugriffsrechten user-group-and-access-rights-administration

CAUTION
AEM 6.4 hat das Ende der erweiterten Unterstützung erreicht und diese Dokumentation wird nicht mehr aktualisiert. Weitere Informationen finden Sie in unserer technische Unterstützung. Unterstützte Versionen suchen here.

Die Aktivierung des Zugriffs auf ein CRX-Repository umfasst verschiedene Themen:

Nachfolgend sind die grundlegenden Elemente aufgeführt:

Benutzerkonten: CRX authentifiziert den Zugriff durch Identifizieren und Verifizieren eines Benutzers (durch eine Person oder eine andere Anwendung) entsprechend den im Benutzerkonto gespeicherten Details.

In CRX ist jedes Benutzerkonto ein Knoten im Arbeitsbereich. Ein CRX-Benutzerkonto verfügt über die folgenden Eigenschaften:

  • Es stellt einen Benutzer von CRX dar.

  • Sie enthält einen Benutzernamen und ein Kennwort.

  • Gilt für diesen Arbeitsbereich.

  • Sie kann keine Unterbenutzer haben. Für hierarchische Zugriffsrechte sollten Sie Gruppen verwenden.

  • Sie können Zugriffsberechtigungen für das Benutzerkonto angeben.

    Zur Vereinfachung der Verwaltung raten wir jedoch, (in der Mehrzahl der Fälle) Zugriffsrechte zu Gruppenkonten zuzuweisen. Bei der Zuweisung von Zugriffsrechten zu jedem einzelnen Benutzer kann die Verwaltung schnell sehr schwierig werden (Ausnahmen sind bestimmte Systembenutzer, wenn nur ein oder zwei Instanzen vorhanden sind).

Gruppenkonten: Gruppenkonten sind Sammlungen von Benutzern und/oder anderen Gruppen. Diese dienen zur Vereinfachung der Verwaltung, da eine Änderung der einer Gruppe zugewiesenen Zugriffsrechte automatisch auf alle Benutzer dieser Gruppe angewendet wird. Ein Benutzer muss keiner Gruppe angehören, gehört aber oft zu mehreren.

In CRX hat eine Gruppe die folgenden Eigenschaften:

  • Es stellt eine Gruppe von Benutzern mit gemeinsamen Zugriffsrechten dar. Beispielsweise Autoren oder Entwickler.

  • Gilt für diesen Arbeitsbereich.

  • Er kann Mitglieder haben; Hierbei kann es sich um einzelne Benutzer oder andere Gruppen handeln.

  • Eine hierarchische Gruppierung kann mit Mitgliederbeziehungen erreicht werden. Sie können eine Gruppe nicht direkt unter einer anderen Gruppe im Repository platzieren.

  • Sie können die Zugriffsrechte für alle Gruppenmitglieder definieren.

Zugriffsrechte: CRX verwendet Zugriffsrechte zur Steuerung des Zugriffs auf bestimmte Bereiche des Repositorys.

Dies erfolgt über die Zuweisung von Berechtigungen, um den Zugriff auf eine Ressource (Knoten oder Pfad) im Repository zuzulassen oder abzulehnen. Da zahlreiche Berechtigungen zugewiesen werden können, müssen sie ausgewertet werden, um festzustellen, welche Kombination für die aktuelle Anfrage relevant ist.

Mit CRX können Sie die Zugriffsberechtigungen für Benutzer- und Gruppenkonten konfigurieren. Die gleichen Grundprinzipien der Bewertung werden dann auf beide angewendet.

Auswerten von Zugriffsrechten how-access-rights-are-evaluated

NOTE
CRX-Implementierungen Zugriffskontrolle gemäß Definition in JSR-283.
Eine Standardinstallation eines CRX-Repositorys ist für die Verwendung ressourcenbasierter Zugriffssteuerungslisten konfiguriert. Dies ist eine mögliche Implementierung der Zugriffskontrolle auf JSR-283 und einer der Implementierungen, die mit Jackrabbit vorhanden sind.

Objekte und Prinzipale subjects-and-principals

CRX verwendet zwei Hauptkonzepte zur Bewertung der Zugriffsrechte:

  • A Prinzipal ist eine Entität, die Zugriffsrechte besitzt. Zu den Prinzipalen gehören:

    • Ein Benutzerkonto.

    • Ein Gruppenkonto

      Wenn ein Benutzerkonto zu einer oder mehreren Gruppen gehört, ist es auch mit jedem dieser Gruppenprinzipale verknüpft.

  • Ein Objekt repräsentiert die Quelle einer Anfrage.

    Es dient zur Konsolidierung der für diese Anfrage relevanten Zugriffsrechte. Diese stammen von:

    • dem Benutzerprinzipal

      den Rechten, die Sie dem Benutzerkonto direkt zuweisen

    • allen mit diesem Benutzer verknüpften Gruppenprinzipalen

      sowie allen Rechten, die Sie jeder der Gruppen zugewiesen haben, zu denen der Benutzer gehört.
      Das Ergebnis wird dann verwendet, um den Zugriff auf die angeforderte Ressource zu erlauben oder zu verweigern.

Kompilieren der Liste der Zugriffsrechte für ein Subjekt compiling-the-list-of-access-rights-for-a-subject

In CRX hängt das Betreff von Folgendem ab:

  • Benutzerprinzipal
  • alle Gruppenprinzipale, die mit diesem Benutzer verknüpft sind

Die Liste der für den Betreff geltenden Zugriffsrechte wird erstellt aus:

  • den Rechten, die Sie dem Benutzerkonto direkt zuweisen
  • sowie allen Rechten, die Sie jeder der Gruppen zugewiesen haben, zu denen der Benutzer gehört

chlimage_1-307

NOTE
  • CRX berücksichtigt keine Benutzerhierarchie bei der Erstellung der Liste.
  • CRX verwendet eine Gruppenhierarchie nur, wenn Sie eine Gruppe als Mitglied einer anderen Gruppe einbeziehen. Es gibt keine automatische Vererbung von Gruppenberechtigungen.
  • Die Reihenfolge, in der Sie die Gruppen angeben, wirkt sich nicht auf die Zugriffsberechtigungen aus.

Auflösen von Anfragen- und Zugriffsrechten resolving-request-and-access-rights

Wenn CRX die Anfrage verarbeitet, vergleicht es die Zugriffsanfrage des Betreffs mit der Zugriffssteuerungsliste auf dem Repository-Knoten:

Wenn also Linda eine Aktualisierung des Knotens /features in der folgenden Repository-Struktur anfordert:

chlimage_1-308

Rangfolge order-of-precedence

Zugriffsberechtigungen in CRX werden wie folgt bewertet:

  • Benutzerprinzipale haben immer Vorrang vor Gruppenprinzipalen, unabhängig von:

    • ihrer Reihenfolge in der Zugriffsteuerungsliste
    • ihre Position in der Knotenhierarchie
  • Für einen bestimmten Prinzipal gibt es (höchstens) 1 Ablehnungs- und 1 Zulassungseintrag für einen bestimmten Knoten. Die Implementierung löscht immer redundante Einträge und stellt sicher, dass dieselbe Berechtigung nicht sowohl in den Zulassungs- als auch in den Ablehnungseinträgen aufgeführt wird.

NOTE
Dieser Bewertungsprozess ist für die ressourcenbasierte Zugriffssteuerung einer CRX-Standardinstallation geeignet.

Nachfolgend sehen Sie zwei Beispiele, in denen der Benutzer aUser Mitglied der Gruppe aGroup ist:

   + parentNode
     + acl
       + ace: aUser - deny - write
     + childNode
       + acl
         + ace: aGroup - allow - write
       + grandChildNode

Im obigen Fall:

  • wird dem Benutzer aUser keine Schreibberechtigung für den Knoten grandChildNode gewährt.
   + parentNode
     + acl
       + ace: aUser - deny - write
     + childNode
       + acl
         + ace: aGroup - allow - write
         + ace: aUser - deny - write
       + grandChildNode

In diesem Fall:

  • wird dem Benutzer aUser keine Schreibberechtigung für den Knoten grandChildNode gewährt.

  • Der zweite ACE-Eintrag für den Benutzer aUser ist redundant.

Zugriffsberechtigungen von mehreren Gruppenprinzipalen werden anhand ihrer Reihenfolge bewertet, sowohl innerhalb der Hierarchie als auch innerhalb einer einzigen Zugriffssteuerungsliste.

Best Practices best-practices

Die nachfolgende Tabelle enthält einige Empfehlungen und Best Practices:

Empfehlung...
Grund...
Benutzergruppen

Vermeiden Sie es, Zugriffsrechte Benutzer für Benutzer zuzuweisen. Dafür gibt es mehrere Gründe:

  • Da es viel mehr Benutzende als Gruppen gibt, vereinfachen Gruppen die Struktur.
  • Gruppen bieten Ihnen einen Überblick über alle Konten.
  • Die Vererbung bei Gruppen ist einfacher.
  • Benutzer wechseln häufiger. Gruppen sind auf Langfristigkeit ausgelegt.
Positiv sein

Verwenden Sie immer Anweisungen vom Typ „Zulassen“, um die Zugriffsrechte des Gruppenprinzipals anzugeben (sofern möglich). Vermeiden Sie Anweisungen vom Typ „Ablehnen“.

Gruppenprinzipale werden der Reihenfolge nach innerhalb der Hierarchie und innerhalb einer einzelnen Zugriffssteuerungsliste bewertet.

Es einfach halten

Wenn Sie bei der Konfiguration einer Neuinstallation etwas Zeit investieren und nachdenken, zahlt sich das später aus.

Eine klare Struktur vereinfacht die fortlaufende Wartung und Verwaltung, sodass sowohl aktuelle Kollegen als auch Nachfolger die Implementierung problemlos verstehen können.

Testen
Verwenden Sie eine Testinstallation, um zu üben und sicherzustellen, dass Sie die Beziehungen zwischen den verschiedenen Benutzern und Gruppen verstehen.
Standardbenutzer/-gruppen
Aktualisieren Sie die Standardbenutzer und -gruppen immer sofort nach der Installation, um Sicherheitsprobleme zu vermeiden.

Benutzerverwaltung user-administration

Für die Benutzerverwaltung wird ein Standard-Dialogfeld verwendet.

Sie müssen beim entsprechenden Arbeitsbereich angemeldet sein und können dann von beiden auf das Dialogfeld zugreifen:

  • die Benutzerverwaltung Link in der Hauptkonsole von CRX
  • die Sicherheit Menü des CRX Explorer

chlimage_1-309

Eigenschaften

  • UserID
    Kurzname für das Konto, der beim Zugriff auf CRX verwendet wird.

  • Prinzipalname
    Ein vollständiger Textname für das Konto.

  • Passwort
    Wird benötigt, wenn mit diesem Konto auf CRX zugegriffen wird.

  • ntlmhash
    Wird automatisch für jedes neue Konto zugewiesen und aktualisiert, wenn das Kennwort geändert wird.

  • Sie können neue Eigenschaften hinzufügen, indem Sie einen Namen, einen Typ und den Wert definieren. Klicken Sie für jede neue Eigenschaft auf Speichern (grünes Häkchen-Symbol).

Gruppenmitgliedschaft Dadurch werden alle Gruppen angezeigt, zu denen das Konto gehört. Die Spalte Übernommen zeigt Mitgliedschaften an, die durch eine Mitgliedschaft bei einer anderen Gruppe übernommen wurden.

Durch Klicken auf eine Gruppen-ID (falls verfügbar) wird die Gruppenverwaltung für diese Gruppe geöffnet.

Darsteller Mit der Funktion „Stellvertretend agieren“ kann ein Benutzer im Namen eines anderen Benutzers arbeiten.

Das bedeutet, dass ein Benutzerkonto andere Konten (Benutzer oder Gruppe) angeben kann, die mit ihrem Konto arbeiten können. Anders ausgedrückt: Wenn Benutzer B stellvertretend für Benutzer A agieren darf, kann Benutzer B Aktionen unter Verwendung aller Kontodetails des Benutzers A (einschließlich ID, Name und Zugriffsrechte) ausführen.

Dadurch können die stellvertretenden Konten Aufgaben so ausführen, als ob sie das Konto verwenden würden, für das sie stellvertretend agieren. z. B. bei Abwesenheit oder kurzfristiger Lastenteilung.

Wenn ein Konto stellvertretend für ein anderes agiert, ist es sehr schwer zu sehen. Die Protokolldateien enthalten keine Informationen darüber, dass bei den Ereignissen eine Identität aufgetreten ist. Wenn also Benutzer B stellvertretend für Benutzer A agiert, sehen alle Ereignisse so aus, als ob sie von Benutzer A persönlich durchgeführt würden.

Erstellen eines Benutzerkontos creating-a-user-account

  1. Öffnen Sie die Benutzerverwaltung angezeigt.

  2. Klicken Sie auf Benutzer erstellen.

  3. Sie können dann die Eigenschaften eingeben:

    • Benutzer-ID – wird als Kontoname verwendet
    • Kennwort – wird bei der Anmeldung benötigt
    • Prinzipalname – dient zur Eingabe des vollständigen Textnamens
    • Zwischenpfad – kann zum Erstellen einer hierarchischen Struktur verwendet werden
  4. Klicken Sie auf Speichern (grünes Häkchensymbol).

  5. Das Dialogfeld wird erweitert, damit Sie Folgendes tun können:

    1. Konfigurieren Eigenschaften.
    2. Zeigen Sie die Gruppenmitgliedschaft an.
    3. Definieren Darsteller.
NOTE
Manchmal kann es zu Leistungseinbußen kommen, wenn neue Benutzer in Installationen registriert werden, die über eine hohe Anzahl von beiden verfügen:
  • Benutzer
  • Gruppen mit vielen Mitgliedern

Aktualisieren von Benutzerkonten updating-a-user-account

  1. Öffnen Sie mithilfe des Dialogfelds Benutzerverwaltung die Listenansicht aller Konten.

  2. Navigieren Sie durch die Baumstruktur.

  3. Klicken Sie auf das gewünschte Konto, um es zur Bearbeitung zu öffnen.

  4. Nehmen Sie eine Änderung vor und klicken Sie dann auf Speichern (grünes Häkchensymbol) für diesen Eintrag.

  5. Klicken Schließen bis zum Ende oder Liste… , um zur Liste aller Benutzerkonten zurückzukehren.

Entfernen von Benutzerkonten removing-a-user-account

  1. Öffnen Sie mithilfe des Dialogfelds Benutzerverwaltung die Listenansicht aller Konten.

  2. Navigieren Sie durch die Baumstruktur.

  3. Wählen Sie das gewünschte Konto aus und klicken Sie auf Benutzer löschen; wird das Konto sofort gelöscht.

NOTE
Dadurch wird der Knoten für diesen Prinzipal aus dem Repository entfernt.
Einträge mit Zugriffsrechten werden nicht entfernt. So wird die historische Integrität gesichert.

Definieren von Eigenschaften defining-properties

Sie können Eigenschaften für neue oder vorhandene Konten:

  1. Öffnen Sie die Benutzerverwaltung für das entsprechende Konto.
  2. Definieren Sie eine Eigenschaft name.
  3. Wählen Sie die Typ aus der Dropdown-Liste aus.
  4. Definieren Sie die Wert.
  5. Klicken Sie für die neue Eigenschaft auf Speichern (grünes Klicksymbol) .

Vorhandene Eigenschaften können mit dem Papierkorbsymbol gelöscht werden.

Mit Ausnahme des Kennworts können Eigenschaften nicht bearbeitet werden. Sie müssen gelöscht und neu erstellt werden.

Ändern des Kennworts changing-the-password

Die Passwort ist eine spezielle Eigenschaft, die durch Klicken auf Kennwort ändern Link.

Sie können das Kennwort auch in Ihr eigenes Benutzerkonto ändern, indem Sie die Sicherheit im CRX Explorer angezeigt.

Definieren eines Impersonators defining-an-impersonator

Sie können Identifikatoren für neue oder vorhandene Konten definieren:

  1. Öffnen Sie die Benutzerverwaltung für das entsprechende Konto.

  2. Geben Sie das Konto an, das stellvertretend für dieses Konto agieren darf.

    Sie können über die Option „Durchsuchen…“ ein bestehendes Konto auswählen.

  3. Klicken Sie für die neue Eigenschaft auf Speichern (grünes Häkchensymbol) .

Gruppenverwaltung group-administration

Ein Standarddialogfeld wird verwendet für Gruppenverwaltung.

Sie müssen beim entsprechenden Arbeitsbereich angemeldet sein und können dann von beiden auf das Dialogfeld zugreifen:

  • die Gruppenverwaltung Link in der Hauptkonsole von CRX
  • die Sicherheit Menü des CRX Explorer

chlimage_1-47

Eigenschaften

  • GroupID
    Kurzname für das Gruppenkonto.

  • Prinzipalname
    Ein vollständiger Textname für das Gruppenkonto.

  • Sie können neue Eigenschaften hinzufügen, indem Sie einen Namen, einen Typ und den Wert definieren. Klicken Sie für jede neue Eigenschaft auf Speichern (grünes Häkchen-Symbol).

  • Mitglieder
    Sie können Benutzer oder andere Gruppen als Mitglieder dieser Gruppe hinzufügen.

Gruppenmitgliedschaft Dadurch werden alle Gruppen angezeigt, zu denen das aktuelle Gruppenkonto gehört. Die Spalte Übernommen zeigt Mitgliedschaften an, die durch eine Mitgliedschaft bei einer anderen Gruppe übernommen wurden.

Durch Klicken auf eine Gruppen-ID wird das Dialogfeld für diese Gruppe geöffnet.

Mitglieder Listet alle Konten (Benutzer und/oder Gruppen) auf, die Mitglieder der aktuellen Gruppe sind.

Die Übernommen gibt die Mitgliedschaft an, die infolge der Mitgliedschaft in einer anderen Gruppe übernommen wurde.

NOTE
Wenn die Eigentümer-, Bearbeiter- oder Betrachterrolle einem Benutzer in einem beliebigen Asset-Ordner zugewiesen wird, wird eine neue Gruppe erstellt. Der Gruppenname ist vom Format mac-default-<foldername> für jeden Ordner, für den die Rollen definiert sind.

Erstellen eines Gruppenkontos creating-a-group-account

  1. Öffnen Sie die Gruppenverwaltung angezeigt.

  2. Klicken Gruppe erstellen.

  3. Sie können dann die Eigenschaften eingeben:

    • Prinzipalname – dient zur Eingabe des vollständigen Textnamens
    • Zwischenpfad – kann zum Erstellen einer hierarchischen Struktur verwendet werden
  4. Klicken Sie auf Speichern (grünes Häkchensymbol).

  5. Das Dialogfeld wird erweitert, damit Sie Folgendes tun können:

    1. Konfigurieren Eigenschaften.
    2. Zeigen Sie die Gruppenmitgliedschaft an.
    3. Verwalten Mitglieder.

Aktualisieren eines Gruppenkontos updating-a-group-account

  1. Öffnen Sie mithilfe des Dialogfelds Gruppenverwaltung die Listenansicht aller Konten.

  2. Navigieren Sie durch die Baumstruktur.

  3. Klicken Sie auf das gewünschte Konto, um es zur Bearbeitung zu öffnen.

  4. Nehmen Sie eine Änderung vor und klicken Sie dann auf Speichern (grünes Häkchensymbol) für diesen Eintrag.

  5. Klicken Schließen bis zum Ende oder Liste… , um zur Liste aller Gruppenkonten zurückzukehren.

Entfernen von Gruppenkonten removing-a-group-account

  1. Öffnen Sie mithilfe des Dialogfelds Gruppenverwaltung die Listenansicht aller Konten.

  2. Navigieren Sie durch die Baumstruktur.

  3. Wählen Sie das gewünschte Konto aus und klicken Sie auf Gruppe löschen; wird das Konto sofort gelöscht.

NOTE
Dadurch wird der Knoten für diesen Prinzipal aus dem Repository entfernt.
Einträge mit Zugriffsrechten werden nicht entfernt. So wird die historische Integrität gesichert.

Definieren von Eigenschaften defining-properties-1

Sie können Eigenschaften für neue oder vorhandene Konten definieren:

  1. Öffnen Sie die Gruppenverwaltung für das entsprechende Konto.
  2. Definieren Sie eine Eigenschaft name.
  3. Wählen Sie die Typ aus der Dropdown-Liste aus.
  4. Definieren Sie die Wert.
  5. Klicken Sie für die neue Eigenschaft auf Speichern (grünes Häkchensymbol) .

Vorhandene Eigenschaften können mit dem Papierkorbsymbol gelöscht werden.

Mitglieder members

Sie können Mitglieder zur aktuellen Gruppe hinzufügen:

  1. Öffnen Sie die Gruppenverwaltung für das entsprechende Konto.

  2. Entweder:

    • Geben Sie den Namen des erforderlichen Mitglieds ein (Benutzer- oder Gruppenkonto).
    • Oder verwenden Sie Durchsuchen… , um nach dem Prinzipal (Benutzer- oder Gruppenkonto) zu suchen und ihn auszuwählen, den Sie hinzufügen möchten.
  3. Klicken Sie für die neue Eigenschaft auf Speichern (grünes Häkchensymbol) .

Oder löschen Sie ein vorhandenes Element mit dem Papierkorbsymbol.

Verwalten von Zugriffsrechten access-right-management

Auf der Registerkarte Zugriffssteuerung von CRXDE Lite können Sie die Richtlinien für die Zugriffssteuerung definieren und die zugehörigen Berechtigungen zuweisen.

Wählen Sie beispielsweise auf der Registerkarte „Zugangssteuerung“ im unteren rechten Bereich für die Option Aktueller Pfad die gewünschte Ressource im linken Bereich aus:

crx_access_control_tab

Die Richtlinien sind wie folgt kategorisiert:

  • Gültige Richtlinien zur Zugriffssteuerung
    Diese Richtlinien können angewendet werden.

    Dies sind Richtlinien, die für die Erstellung einer lokalen Richtlinie zur Verfügung stehen. Nachdem Sie eine gültige Richtlinie ausgewählt und hinzugefügt haben, wird sie zu einer lokalen Richtlinie.

  • Lokale Richtlinien zur Zugriffssteuerung
    Dies sind Richtlinien zur Zugriffssteuerung, die Sie angewendet haben. Sie können sie dann aktualisieren, sortieren oder entfernen.

    Eine lokale Richtlinie überschreibt jedwede Richtlinien, die vom übergeordneten Element übernommen werden.

  • Gültige Richtlinien zur Zugriffssteuerung
    Dies sind Richtlinien zur Zugriffssteuerung, die jetzt für alle Zugriffsanfragen gelten. Sie zeigen die aggregierten Richtlinien an, die von den lokalen Richtlinien abgeleitet bzw. vom übergeordneten Element übernommenen werden.

Auswählen von Richtlinien policy-selection

Sie können Richtlinien für Folgendes auswählen:

  • Aktueller Pfad
    Wählen Sie wie im vorherigen Beispiel eine Ressource innerhalb des Repositorys aus. Die Richtlinien für diesen aktuellen Pfad werden angezeigt.

  • Repository
    : Wählt die Zugriffssteuerung auf Repository-Ebene aus. Wenn Sie beispielsweise
    jcr:namespaceManagement -Berechtigung, die nur für das Repository relevant ist, nicht für einen Knoten.

  • Principal
    Ein Prinzipal, der im Repository registriert ist.

    Sie können entweder den Prinzipal-Namen eingeben oder auf das Symbol rechts neben dem Feld klicken, um das Dialogfeld Prinzipal auswählen zu öffnen.

    Dort können Sie nach einem Benutzer oder einer Gruppe suchen. Wählen Sie den gewünschten Prinzipal aus der angezeigten Liste aus und klicken Sie dann auf OK, um den Wert in das vorherige Dialogfeld zu übernehmen.

crx_access_control_selectprincipal

NOTE
Um die Verwaltung zu vereinfachen, empfehlen wir, dass Sie Gruppenkonten Zugriffsrechte zuweisen, nicht einzelnen Benutzerkonten.
Es ist einfacher, anstelle vieler Benutzerkonten einige Gruppen zu verwalten.

Berechtigungen privileges

Die folgenden Berechtigungen können beim Hinzufügen eines Zugangssteuerungseintrags ausgewählt werden (umfassende Details finden Sie in Sicherheits-API).

Berechtigungsname
Dies steuert die Berechtigung zum...
jcr:read
Abrufen eines Knotens und Lesen von dessen Eigenschaften und deren Werte.
rep:write
Dies ist eine Jackrabbit-spezifische Aggregat-Berechtigung von jcr:write und jcr:nodeTypeManagement.
jcr:all
Dies ist eine aggregierte Berechtigung, die alle anderen vordefinierten Berechtigungen enthält.
Erweitert
crx:replicate
Durchführen der Replikation eines Knotens.
jcr:addChildNodes
Erstellen von untergeordneten Knoten eines Knotens.
jcr:lifecycleManagement
Durchführen von Lebenszyklusvorgängen für einen Knoten.
jcr:lockManagement
Sperren und Rntsperren eines Knoten; Aktualisieren einer Sperre.
jcr:modifyAccessControl
Ändern der Richtlinien zur Zugriffssteuerung für einen Knoten.
jcr:modifyProperties
Erstellen, Ändern und Entfernen der Eigenschaften eines Knotens.
jcr:namespaceManagement
Registrieren von Namespace-Definitionen, Aufheben der Registrierung und Ändern der Registrierung.
jcr:nodeTypeDefinitionManagement
Importieren von Knotentypdefinitionen in das Repository.
jcr:nodeTypeManagement
Steuern der Berechtigung zum Hinzufügen und Entfernen von Mixin-Knotentypen sowie Ändern des primären Knotentyps eines Knotens. Dies schließt auch alle Aufrufe der Node.addNode- und XML-Importmethoden ein, bei denen der Mixin-Typ oder primäre Typ des neuen Knotens explizit festgelegt ist.
jcr:readAccessControl
Lesen der Richtlinie zur Zugriffssteuerung für einen Knoten.
jcr:removeChildNodes
Entfernen von untergeordneten Knoten eines Knotens.
jcr:removeNode
Entfernen eines Knotens.
jcr:retentionManagement
Durchführen von Aufbewahrungsverwaltungsvorgängen für einen Knoten.
jcr:versionManagement
Ausführen von Versionierungsvorgängen für einen Knoten.
jcr:workspaceManagement
Das Erstellen und Löschen von Workspaces über die JCR-API.
jcr:write
Dies ist eine aggregierte Berechtigung, die Folgendes enthält:
– jcr:modifyProperties
– jcr:addChildNodes
– jcr:removeNode
– jcr:removeChildNodes
rep:privilegeManagement
Registrieren von neuen Berechtigungen.

Registrieren von neuen Berechtigungen registering-new-privileges

Sie können auch neue Berechtigungen registrieren:

  1. Wählen Sie in der Symbolleiste Tools und dann Berechtigungen aus, um die aktuell registrierten Berechtigungen anzuzeigen.

    ac_privileges

  2. Öffnen Sie mithilfe des Symbols Berechtigung registrieren (+) das entsprechende Dialogfeld und legen Sie eine neue Berechtigung fest:

    ac_privilegeregister

  3. Klicken Sie zum Speichern auf OK. Die Berechtigung steht jetzt zur Auswahl zur Verfügung.

Hinzufügen von Zugriffssteuerungseinträgen adding-an-access-control-entry

  1. Wählen Sie die Ressource aus und öffnen Sie die Registerkarte Zugriffssteuerung.

  2. Um neue Richtlinien zur lokalen Zugriffssteuerung hinzuzufügen, klicken Sie auf das +-Symbol rechts neben der Liste Gültige Richtlinie für die Zugriffssteuerung:

    crx_accesscontrol_applicable

  3. Es wird ein neuer Eintrag unter Richtlinien zur lokalen Zugriffssteuerung angezeigt:

    crx_accesscontrol_newlocal

  4. Klicken Sie auf das +-Symbol, um einen neuen Eintrag hinzuzufügen:

    crx_accesscontrol_addentry

    note note
    NOTE
    Derzeit ist es nur mithilfe einer Übergangslösung möglich, eine leere Zeichenfolge festzulegen.
    Geben Sie einfach "" ein.
  5. Definieren Sie Ihre Zugriffssteuerungsrichtlinie und klicken Sie auf OK speichern. Ihre neue Richtlinie wird:

    • wird unter Richtlinien zur lokalen Zugriffssteuerung aufgeführt;
    • reflektiert die Änderungen unter Gültige Richtlinien zur Zugriffssteuerung.

CRX überprüft Ihre Auswahl. Bei einem gegebenen Prinzipal ist (maximal) 1 Ablehnungs- und 1 Zulassungseintrag in einem gegebenen Knoten vorhanden. Die Implementierung löscht immer redundante Einträge und stellt sicher, dass dieselbe Berechtigung nicht sowohl in den Zulassungs- als auch in den Ablehnungseinträgen aufgeführt wird.

Sortieren von Richtlinien zur lokalen Zugriffssteuerung ordering-local-access-control-policies

Die Reihenfolge in der Liste zeigt die Reihenfolge an, in der die Richtlinien angewendet werden.

  1. Wählen Sie in der Tabelle Richtlinien zur lokalen Zugriffssteuerung den gewünschten Eintrag aus und ziehen Sie ihn an die neue Position in der Tabelle.

    crx_accesscontrol_reorder

  2. Die Änderungen werden in den Tabellen Richtlinien zur lokalen Zugriffssteuerung und Gültige Richtlinien zur Zugriffssteuerung angezeigt.

Entfernen von Richtlinien zur Zugriffssteuerung removing-an-access-control-policy

  1. Klicken Sie in der Tabelle Richtlinien zur lokalen Zugriffssteuerung auf das rote Symbol (-) rechts neben dem Eintrag.

  2. Der Eintrag wird aus den Tabellen Richtlinien zur lokalen Zugriffssteuerung und Gültige Richtlinien zur Zugriffssteuerung entfernt.

Testen von Richtlinien zur Zugriffssteuerung testing-an-access-control-policy

  1. Wählen Sie in der CRXDE Lite-Symbolleiste Tools und dann Zugriffssteuerung testen… aus.

  2. Daraufhin wird ein neues Dialogfeld im Bereich rechts oben geöffnet. Wählen Sie den Pfad und/oder den Prinzipal aus, den Sie testen möchten.

  3. Klicken Sie auf Testen, um die Ergebnisse für Ihre Auswahl zu sehen:

    crx_accesscontrol_test

recommendation-more-help
5ce3024a-cbea-458b-8b2f-f9b8dda516e8