DokumentationAEMAEM-TutorialsAEM Assets-Tutorials

Metadatengesteuerte Berechtigungen metadata-driven-permissions

Last update: Thu Mar 27 2025 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Gilt für:
  • Experience Manager as a Cloud Service
  • Themen:

Erstellt für:

  • Fortgeschrittener
  • Admin

Metadatengesteuerte Berechtigungen sind eine Funktion, mit der Zugriffssteuerungsentscheidungen in AEM Assets Author auf Grundlage der Eigenschaften von Asset-Inhalten oder -Metadaten und nicht anhand der Ordnerstruktur festgelegt werden können. Mit dieser Funktion können Sie Zugriffssteuerungsrichtlinien definieren, die Attribute wie den Asset-Status, den Asset-Typ oder eine benutzerdefinierte Metadateneigenschaft auswerten.

Sehen wir uns ein Beispiel an. Kreative laden ihre Arbeit in AEM Assets in den Ordner hoch, der mit der Kampagne in Verbindung steht. Möglicherweise handelt es sich um ein laufendes Asset, das noch nicht zur Verwendung freigegeben wurde. Wir möchten sicherstellen, dass Marketing-Fachkräfte nur genehmigte Assets für diese Kampagne sehen. Wir können eine Metadateneigenschaft verwenden, um anzugeben, dass ein Asset genehmigt wurde und von Marketing-Fachkräften verwendet werden kann.

Funktionsweise

Die Aktivierung metadatengesteuerter Berechtigungen umfasst die Definition, welche Eigenschaften von Asset-Inhalten oder -Metadaten Zugriffsbeschränkungen wie „Status“ oder „Marke“ bewirken sollen. Diese Eigenschaften können dann verwendet werden, um Zugriffssteuerungseinträge zu erstellen, die angeben, welche Benutzergruppen Zugriff auf Assets mit bestimmten Eigenschaftswerten haben.

Voraussetzungen

Der Zugriff auf eine AEM as a Cloud Service-Umgebung, die auf die neueste Version aktualisiert wurde, ist erforderlich, um metadatengesteuerte Berechtigungen einzurichten.

OSGi-Konfiguration configure-permissionable-properties

Um metadatengesteuerte Berechtigungen zu implementieren, müssen Entwickelnde eine OSGi-Konfiguration für AEM as a Cloud Service bereitstellen, die zulässt, dass bestimmte Asset-Inhalts- oder Asset-Metadateneigenschaften metadatengesteuerte Berechtigungen aktivieren.

  1. Bestimmen Sie, welche Asset-Inhalts- oder Asset-Metadateneigenschaften für die Zugriffssteuerung verwendet werden. Die Namen der Eigenschaften sind die Namen der JCR-Eigenschaften in der jcr:content- oder jcr:content/metadata-Ressource des Assets. In unserem Fall handelt es sich um eine Eigenschaft namens status.

  2. Erstellen Sie eine OSGi-Konfiguration com.adobe.cq.dam.assetmetadatarestrictionprovider.impl.DefaultRestrictionProviderConfiguration.cfg.json in Ihrem AEM Maven-Projekt.

  3. Fügen Sie folgenden JSON-Inhalt in die erstellte Datei ein:

    code language-json 
    {
  "restrictionPropertyNames":[
    "status",
    "brand"
  ],
  "restrictionContentPropertyNames":[],
  "enabled":true
}

  4. Ersetzen Sie die Eigenschaftsnamen durch die erforderlichen Werte. Die Konfigurationseigenschaft restrictionContentPropertyNames wird verwendet, um Berechtigungen für jcr:content-Ressourceneigenschaften zu aktivieren, während die restrictionPropertyNames-Konfigurationseigenschaft Berechtigungen für jcr:content/metadata-Ressourceneigenschaften für Assets aktiviert.

Zurücksetzen der grundlegenden Asset-Berechtigungen

Bevor Sie einschränkungsbasierte Zugriffssteuerungseinträge hinzufügen, sollte ein neuer Eintrag auf oberster Ebene hinzugefügt werden, um zunächst den Lesezugriff für alle Gruppen zu verweigern, die einer Auswertung der Berechtigungen für Assets unterliegen (z. B. „Mitwirkende“ oder ähnlich):

  1. Navigieren Sie zum Bildschirm  Tools → Sicherheit → Berechtigungen.
  2. Wählen Sie die Gruppe Mitwirkende  aus (oder eine andere benutzerdefinierte Gruppe, zu der alle Benutzergruppen gehören).
  3. Klicken Sie oben rechts im Bildschirm auf ACE hinzufügen.
  4. Wählen Sie /content/dam als Pfad aus.
  5. Geben Sie jcr:read für Berechtigungen ein.
  6. Wählen Sie Deny als Berechtigungstyp aus.
  7. Wählen Sie unter „Einschränkungen“ rep:ntNames aus und geben Sie dann dam:Assetals Einschränkungswert ein.
  8. Klicken Sie auf Speichern.

Verweigern des Zugriffs

Gewähren von Zugriff auf Assets über Metadaten

Es können jetzt Zugriffssteuerungseinträge hinzugefügt werden, um Benutzergruppen Lesezugriff auf der Grundlage von konfigurierten Asset-Metadateneigenschaftswerten zu gewähren.

  1. Navigieren Sie zum Bildschirm  Tools → Sicherheit → Berechtigungen.
  2. Wählen Sie die Benutzergruppen aus, denen Zugriff auf die Assets gewährt werden soll.
  3. Klicken Sie oben rechts im Bildschirm auf ACE hinzufügen.
  4. Wählen Sie /content/dam (oder einen Unterordner) als Pfad aus.
  5. Geben Sie jcr:read für Berechtigungen ein.
  6. Wählen Sie Allow als Berechtigungstyp aus.
  7. Wählen Sie unter Einschränkungen einen der konfigurierten Asset-Metadateneigenschaftsnamen in der OSGi-Konfiguration aus.
  8. Geben Sie den erforderlichen Metadateneigenschaftswert in das Feld  Einschränkungswert ein.
  9. Klicken Sie auf das Symbol +. um die Einschränkung zum Zugriffssteuerungseintrag hinzuzufügen.
  10. Klicken Sie auf Speichern.

Zulassen des Zugriffs

Wirksame metadatengesteuerte Berechtigungen

Beispielordner enthält einige Assets.

Admin-Ansicht

Nachdem Sie Berechtigungen konfiguriert und die Asset-Metadateneigenschaften entsprechend festgelegt haben, sehen Benutzende (in unserem Fall Marketing-Fachleute) nur genehmigte Assets.

Ansicht für Marketing-Fachleute

Vorteile und Überlegungen

Zu den Vorteilen von metadatengesteuerten Berechtigungen gehören:

  • Präzise Kontrolle über den Asset-Zugriff basierend auf bestimmten Attributen.
  • Entkopplung von Richtlinien zur Zugriffssteuerung von der Ordnerstruktur, wodurch eine flexiblere Asset-Organisation möglich ist.
  • Möglichkeit zur Definition komplexer Zugriffssteuerungsregeln basierend auf mehreren Inhalts- oder Metadateneigenschaften.
NOTE
Beachten Sie Folgendes:
  • Eigenschaften werden anhand der Einschränkungen mit Zeichenfolgengleichheit (=) ausgewertet (andere Datentypen oder Operatoren werden noch nicht unterstützt, z. B. größer als (>) oder Datumseigenschaften)
  • Um mehrere Werte für eine Einschränkungseigenschaft zuzulassen, können dem Zugriffssteuerungseintrag zusätzliche Einschränkungen hinzugefügt werden, indem Sie dieselbe Eigenschaft aus der Dropdown-Liste „Typ auswählen“ auswählen und einen neuen Beschränkungswert eingeben (z B. status=approved, status=wip) und auf „+“ klicken, um die Einschränkung zum Eintrag hinzuzufügen
    Zulassen von mehreren Werten
  • UND-Einschränken  werden mittels mehrerer Einschränkungen in einem einzelnen Zugriffssteuerungseintrag mit verschiedenen Eigenschaftsnamen (z. B. status=approved, brand=Adobe) unterstützt und als UND-Bedingung ausgewertet, d. h. die ausgewählte Benutzergruppe erhält Lesezugriff auf Assets mit status=approved AND brand=Adobe
    Zulassen von mehreren Einschränkungen
  • ODER-Einschränkungen  werden durch Hinzufügen eines neuen Zugriffssteuerungseintrags mit einer Metadaten-Eigenschaftsbeschränkung beschränkt, die eine ODER-Bedingung für die Einträge festgelegt, z. B. wird ein einzelner Eintrag mit Einschränkungen status=approved und ein einzelner Eintrag mit brand=Adobe als status=approved OR brand=Adobe bewertet
    Zulassen von mehreren Einschränkungen
recommendation-more-help
a483189e-e5e6-49b5-a6dd-9c16d9dc0519