建立封閉用戶組

封閉使用者群組(CUG)可用來限制對已發佈網際網路網站中特定頁面的存取。 這些頁面需要指派的成員來登入並提供安全憑證。

若要在網站內設定此類區域,請:

注意

應一律以效能建立封閉使用者群組(CUG)。

雖然CUG中的使用者和群組數目並不受限,但頁面上的大量CUG可能會降低呈現效能。

執行效能測試時,應一律考慮CUG的影響。

建立要使用的用戶組

要建立封閉用戶組,請執行以下操作:

  1. 從AEM主螢幕前往​工具 — 安全性

    注意

    有關建立和配置用戶和組的完整資訊,請參閱管理用戶和組

  2. 從下一個螢幕中選擇​​卡。

    螢幕截圖_2018-10-30at145502

  3. 按右上角的​建立​按鈕以建立新組。

  4. 為新組命名;例如cug_access

    螢幕截圖_2018-10-30at151459

  5. 轉到​Members​頁簽,並將所需用戶分配到此組。

    螢幕截圖_2018-10-30at151808

  6. 激活您指派給CUG的任何使用者;在這種情況下,cug_access的所有成員。

  7. 啟動封閉的使用者群組,以便在發佈環境中使用;在此範例中, cug_access

將封閉的使用者群組套用至內容頁面

要將CUG應用到頁面,請執行以下操作:

  1. 導覽至您要指派給CUG之限制區段的根頁面。

  2. 按一下頁面縮圖,然後按一下頂端面板中的​屬性​以選取頁面。

    螢幕截圖_2018-10-30at162632

  3. 在以下窗口中,轉到​Advanced​頁簽。

  4. 向下捲動並啟用​Authentication Requirement​區段中的複選框。

  5. 在下面添加配置路徑,然後按保存。

  6. 接下來,轉到​Permissions​頁簽,然後按​Edit Closed User Group​按鈕。

    螢幕截圖_2018-10-30at163003

    [注意!]

    請注意,「權限」頁簽中的CUG無法從Blueprint轉出到Live Copy。 設定Live Copy時,請針對此進行規劃。

    如需詳細資訊,請參閱此頁面

  7. 在以下窗口中查找並添加CUG — 在本例中,添加名為​cug_access​的組。 最後,按​Save​鍵。

  8. 按一下​Enabled​以定義此頁面(以及任何子頁面)屬於CUG。

  9. 指定群組成員將使用的​登入頁面;例如:

    /content/geometrixx/en/toolbar/login.html

    若將保留為空白,系統會使用標準登入頁面,此為選用項目。

  10. 添加​已允許的組。 使用+來新增群組,或使用 — 來移除。 只有這些群組的成員才能登入及存取頁面。

  11. 如有需要,指派​領域(頁組的名稱)。 留空將使用頁面標題。

  12. 按一下​OK​以保存規範。

請參閱Identity Management ,了解發佈環境中的設定檔以及提供登入和登出表單的相關資訊。

連結到領域

由於匿名用戶看不到指向CUG領域的任何連結的目標,因此連結檢查器將刪除此類連結。

為避免此問題,建議您建立未受保護的重新導向頁面,這些頁面會指向CUG領域內的頁面。 然後,將呈現導航條目,而不會導致連結檢查器出現任何問題。 只有在實際存取重新導向頁面時,使用者才會在CUG領域內重新導向 — 成功提供登入憑證後。

為CUG配置Dispatcher

如果您使用Dispatcher,則需要使用下列屬性來定義Dispatcher伺服器陣列:

  • 虛擬主機:匹配CUG應用的頁面路徑。
  • \sessionmanagement:請參閱下方。
  • 快取:專用於CUG應用的檔案的快取目錄。

為CUG配置Dispatcher工作階段管理

在dispatcher.any檔案🔗中為CUG配置工作階段管理。 為CUG頁面請求存取時使用的驗證處理常式,決定了如何設定工作階段管理。

/sessionmanagement
    ...
    /header "Cookie:login-token" 
    ...
注意

當Dispatcher伺服器陣列已啟用工作階段管理時,系統不會快取伺服器陣列處理的所有頁面。 若要快取CUG以外的頁面,請在dispatcher.any中建立第二個伺服器陣列
來處理非CUG頁面。

  1. 通過定義/directory配置/sessionmanagement;例如:

    /sessionmanagement
      {
      /directory "/usr/local/apache/.sessions"
      ...
      }
    
  2. /allowAuthorized設為0

本頁內容