In diesem Artikel wird die Bedeutung gruppenbasierter Berechtigungen in AEM Assets für die Sicherung von Ordnern mit digitalen Assets, die Optimierung der Administration und die Sicherstellung von Markenkonsistenz, behördlicher Compliance und betrieblicher Kontrolle erläutert. Es werden Best Practices für die Konfiguration und Wartung von Benutzergruppen und Berechtigungen zur Aufrechterhaltung der Datensicherheit und Systemstabilität beschrieben.

Erste Schritte mit Benutzergruppen und Berechtigungen

Nachdem Sie sich nun mit den Best Practices und Tipps für die ersten Schritte mit AEM Assets und mit der Ordnerstruktur und -benennung vertraut gemacht haben, nimmt dieser Artikel diese Best Practices als Grundlage und befasst sich genauer mit Benutzenden und Berechtigungen.

Das Sichern der Ordner mit digitalen Assets ist in jeder Organisation von entscheidender Bedeutung, in der Sie unterschiedliche Benutzergruppen mit unterschiedlichem Zugriff auf unterschiedliche Assets verwalten müssen.

In AEM Assets sind Benutzende einzelne Konten, die sich bei der AEM Assets-Instanz anmelden, während Gruppen logische Sammlungen von Benutzenden oder Gruppen oder beidem sind.

Deshalb sind Gruppen an sich meist stabil, während Benutzende häufiger wechseln.

Gründe für die Verwendung von Benutzergruppen und Berechtigungen

Berechtigungen steuern, wer Assets anzeigen, bearbeiten oder verwalten kann.
Gruppenbasierte Berechtigungen vereinfachen die Administration und gewährleisten sicheren Zugriff.

Gruppen vereinfachen die Verwaltung von Berechtigungen und Zugriff, da eine Änderung an einer Gruppe auf alle Mitglieder der Gruppe angewendet wird. Gruppen spiegeln häufig Folgendes wider:

• Eine Rolle innerhalb der Anwendung: Beispielsweise eine Person, die den Inhalt anzeigen darf, oder eine Person, die Inhalte beitragen darf.

• Die Anforderungen an die Zugriffssteuerung Ihres Unternehmens für Inhalte: Ermöglicht es Ihnen, zwischen Mitwirkenden aus verschiedenen Abteilungen zu unterscheiden und zu bestimmen, auf welche Inhalte jede Person zugreifen und was sie tun kann.

Benutzergruppen und Berechtigungen ermöglichen Folgendes:

• Datensicherheit: Schutz sensibler und vertraulicher Assets.

• Markenkonsistenz: Sicherstellung, dass nur genehmigte Benutzende auf Assets zugreifen und diese veröffentlichen.

• Einhaltung von gesetzlichen Vorschriften: Unterstützung von Urheberrechten, Lizenzierung, Digital Rights Management und Datenschutzgesetzen (z. B. DSGVO)

• Betriebskontrolle: Schutz vor nicht autorisiertem Zugriff sowie nicht autorisierten Änderungen oder Löschungen.

Innerhalb jeder Gruppe werden bestimmte Berechtigungen konfiguriert, die definieren, wer auf Inhalte in AEM Assets zugreifen sowie diese lesen und ändern kann. Berechtigungen werden in AEM mithilfe von Zugriffssteuerungslisten (Access Control Lists, ACL) konfiguriert, die folgende Merkmale aufweisen:

• Regeln, die auf einen Ordner, ein Asset oder einen Knoten angewendet werden.

• Für jede Gruppe so konfiguriert, dass Benutzenden in dieser Gruppe Zugriff auf verschiedene Funktionen gewährt oder verweigert wird.

• Sind so geordnet, dass die Elemente mit der höchsten Priorität an die erste Stelle gesetzt werden.

Best Practices für die Konfiguration von Gruppen und Berechtigungen

• Erstellen Sie Benutzergruppen basierend auf Rollen: Beispielsweise Autorinnen und Autoren, Marketing-Fachleute, Kreative, Agenturen.

• Weisen Sie Berechtigungen immer Gruppen und nicht Einzelpersonen zu: Zum Verbessern der Skalierbarkeit und Vereinfachen von Auditing.

• Vermeiden Sie übermäßiges Engineering: Eine saubere, auf Genehmigungen basierte Struktur ist einfacher zu pflegen und Probleme sind schneller zu beheben.

• Verwenden Sie System- oder Standardgruppen: Beispielsweise Autorinnen und Autoren sowie DAM-Benutzende, die in AEM vorkonfiguriert sind. Definieren Sie bei Bedarf benutzerdefinierte Gruppen (z. B. genehmigende Marketing-Fachleute, rechtliche Prüfende) für den rollenbasierten Zugriff.

• Gewähren Sie geringstmögliche Berechtigungen: Gewähren Sie Benutzenden/Gruppen nur die für ihre Rolle erforderlichen Berechtigungen und nicht mehr.

• Streben Sie nach einem „erlaubnisorientierten“ Modell: Beispielsweise „kann bearbeiten“, „kann anzeigen“. Verwenden Sie „verweigern“ in Ihren Anweisungen nur, wenn dies unbedingt notwendig ist, um erlaubten Zugriff einer höheren Ebene oder einer Gruppenmitgliedschaft zu überschreiben, und stellen Sie sicher, dass diese Anweisungen so spezifisch wie möglich sind.

• Definieren Sie Berechtigungen in Zugriffssteuerungslisten (ACLs) von oben nach unten: Beachten Sie immer die Reihenfolge der Elemente in der Liste. Die erste explizite ACL-Übereinstimmung in der Evaluierungsreihenfolge wird angewendet.

Betriebliche Best Practices für die Verwaltung von Gruppen und Berechtigungen

Das Einrichten von Benutzergruppen und Berechtigungen ist kein einmaliges Unterfangen. Da sich Ihr Unternehmen stetig verändert, müssen Sie Ihre Benutzergruppen und Berechtigungen regelmäßig anpassen und überprüfen. Legen Sie eine Frequenz für Wartung und Governance fest.

• Prüfen Sie regelmäßig: Überprüfen Sie die Berechtigungen regelmäßig, insbesondere jene für sensible Ordner, um die Einhaltung der Vorgaben sicherzustellen.
• Behalten Sie die Umgebungsparität bei: Spiegeln Sie Berechtigungsstrukturen in Entwicklungs-, Staging- und Produktionsumgebung, um Überraschungen bei der Bereitstellung zu vermeiden.
• Pflegen Sie eine Berechtigungsmatrix: Dokumentieren Sie Gruppenrollen und Zugriffsebenen aus Gründen der Transparenz, des Onboardings und der Compliance und um Berechtigungen nach Bedarf für Verantwortliche außerhalb von AEM Assets freizugeben.
• Berücksichtigen Sie Auswirkungen der Replikation: Stellen Sie sicher, dass Berechtigungsänderungen an Veröffentlichungsinstanzen weitergegeben werden, wenn sich der Asset-Zugriff auf öffentlich zugängliche Sites auswirkt.

Ausprobieren

Nachdem Sie nun mit den Best Practices zum Einrichten von Benutzergruppen und Berechtigungen vertraut sind, können Sie Gruppen und Berechtigungen in AEM ausprobieren.

• Erstellen oder verwalten Sie Gruppen: Navigieren Sie zu „Assets“ → „Tools“ → „Sicherheit“ → „Benutzende und Gruppen“. Verwenden Sie diese Benutzeroberfläche, um Benutzende zu verwalten und sie basierend auf Rollen relevanten Gruppen zuzuweisen.
• Legen Sie Berechtigungen auf Ordnerebene fest: Navigieren Sie zum gewünschten DAM-Ordner in AEM Assets und öffnen Sie „Eigenschaften“ → Registerkarte „Berechtigungen“.
• Nutzen Sie Berichte: Erfassen Sie die letzte Anmeldeaktivität von Benutzenden. Unterstützen und führen Sie Audits nicht nur aus, um Zugriffsrechte zu überprüfen, sondern auch, um Benutzende zu entfernen, die sich über einen bestimmten Zeitraum nicht angemeldet haben oder keinen Zugriff mehr benötigen.

Zusätzliche Lernmaterialien

Sehen Sie sich die Session von „Adobe Experience Makers: The Skill Exchange“ mit dem Titel AEM Masterclass: Asset-Workflows, Berechtigungen und Integration an, um weitere Erkenntnisse zu gewinnen. Darüber hinaus sind die folgenden Ressourcen beim Einrichten von Benutzergruppen und Berechtigungen in AEM Assets hilfreich.

• Benutzende und Berechtigungen (Dokumentation zu AEM as a Cloud Service)
• Benutzerverwaltung und Sicherheit (Dokumentation zu AEM 6.5)
• Verwaltung von Benutzenden, Gruppen und Zugriffsrechten(Dokumentation zu AEM 6.5)
• Generieren von Benutzerberichten (Community-Post)

Wie geht es weiter?

Dieser Artikel über Best Practices für die Zugriffssteuerung über Benutzergruppen und Berechtigungen hinweg ist Teil einer Reihe von Artikeln, die grundlegende Anleitungen, Best Practices und Tipps von Adobe-Champions für die ersten Schritte mit Adobe Experience Manager Assets enthalten. Als Nächstes befassen wir uns in dieser Serie mit Metadaten.

Alle Artikel in dieser Reihe grundlegender Artikel zu AEM Assets finden Sie unter:

• Best Practices und Tipps für die ersten Schritte mit AEM Assets

• Ordnerstruktur und -benennung

• Zugriff und Berechtigungen (dieser Artikel)

• Metadaten, Metadatenschemata und Metadatenprofile

• Taxonomie und Tagging

• Governance

• Schulung und Unterstützung