ユーザー管理とセキュリティ user-administration-and-security
この章では、ユーザー認証を設定および維持する方法と、AEMでの認証および承認の動作の背後にある理論について説明します。
AEMのユーザーとグループ users-and-groups-in-aem
この節では、様々なエンティティと関連する概念について詳しく説明し、ユーザー管理の概念を簡単に管理できるように設定する際に役立ちます。
ユーザー users
ユーザーは、自分のアカウントでAEMにログインします。 各ユーザーアカウントは一意で、基本的なアカウントの詳細と割り当てられた権限が保持されます。
多くの場合、ユーザーはグループのメンバーで、これらの権限や権限の割り当てを簡略化します。
グループ groups
グループとは、ユーザーや他のグループの集まりです。これらはすべてグループのメンバーと呼ばれます。
グループに対する変更がグループのすべてのメンバーに適用されるので、更新するエンティティの数を減らし、メンテナンスプロセスを簡略化することが主な目的です。 多くの場合、グループは次のように反映します。
- 出願内の役割例えば、コンテンツの閲覧を許可された人や、コンテンツの投稿を許可された人などです。
- 自分の組織コンテンツツリー内の異なるブランチに制限されている場合は、役割を拡張して、寄稿者を異なる部門から区別する必要がある場合があります。
したがって、グループは安定したままになる傾向がありますが、ユーザーは頻繁に訪れたり来たりします。
計画とクリーンな構造を使用すると、グループの使用が構造を反映し、明確な概要と効率的な更新メカニズムを提供できます。
ビルトインユーザーとグループ built-in-users-and-groups
AEM WCM では、多数のユーザーとグループがインストールされます。 これらは、インストール後に最初に Security Console にアクセスすると表示されます。
次の表に、各項目とを示します。
- 簡単な説明
- 必要な変更に関する推奨事項
(特定の事情によりアカウント自体を削除しない場合、)デフォルトのパスワードはすべて変更してください 。
AEM の権限 permissions-in-aem
AEM では、ACL を使用して、ユーザーまたはグループが実行できるアクションとそのアクションを実行できる場所を決定します。
権限と ACL permissions-and-acls
権限では、リソースに対してどのユーザーがどのようなアクションを実行できるかを定義します。権限は、アクセス制御の評価の結果です。
AEM の個々のアクションのチェックボックスをオン/オフにすることで、特定のユーザーに対して付与/拒否された権限を変更できます。チェックマークありは、アクションが許可されていることを示します。チェックマークなしは、アクションが拒否されていることを示します。
グリッド内のチェックマークは、AEM内のどの場所(つまり、どのパス)でユーザーが持っている権限を示します。
アクション actions
アクションは、ページ(リソース)で実行できます。 階層内の各ページで、ユーザーがそのページに対して実行できるアクションを指定できます。 権限を使用してアクションを許可または拒否できます。
アクセス制御リストとその評価方法 access-control-lists-and-how-they-are-evaluated
AEM WCM は、アクセス制御リスト (ACL) を使用して、様々なページに適用される権限を整理します。
アクセス制御リストは、個々の権限で構成され、これらの権限が実際に適用される順序を決定するために使用されます。 リストは、考慮するページの階層に従って形成されます。 次に、ページに適用する最初の適切な権限が見つかるまで、このリストが下から順にスキャンされます。
/etc/cloudservices/facebookconnect/geometrixx-outdoorsfacebookapp
:全員に読み取りアクセスを許可します。/etc/cloudservices/twitterconnect/geometrixx-outdoors-twitter-app
:全員に読み取りアクセスを許可します。/home/users/geometrixx-outdoors
:全員に*/profile*
の読み取りアクセスを許可します。*/social/relationships/following/*
。*/social/relationships/friend/*
や*/social/relationships/pending-following/*
用のアクセスを設定できます。/content/geometrixx-outdoors/en/community/hiking
または /content/geometrixx-outdoors/en/community/winter-sports
のコミュニティに参加する場合などです。権限の状態 permission-states
権限は子ページにも適用されます。
親ノードから権限が継承されず、その権限の対象となるローカルエントリが 1 つ以上ある場合は、次の記号がチェックボックスに表示されます。ローカルエントリは CRX 2.2 インターフェイスで作成されたものです(現時点では、ワイルドカード ACL は CRX でのみ作成できます)。
特定のパスにおけるアクションには次の記号が表示されます。
アスタリスクまたは感嘆符の上にマウスポインターを置くと、宣言されたエントリの詳細がツールチップに表示されます。 ツールチップは 2 つの部分に分割されます。
アクセス制御リストの管理に関する推奨事項を次に示します。
-
ユーザーに直接権限を割り当てないでください。 グループにのみ割り当てます。
グループ数はユーザー数よりもはるかに少なく、また不安定なので、メンテナンスが簡単になります。
-
グループまたはユーザーがページの変更のみを行えるようにする場合は、作成または拒否の権限を付与しないでください。 変更および読み取り権限のみを付与します。
-
「拒否」を慎重に使用します。 可能な限り、「許可」のみを使用します。
deny を使用すると、許可が想定された順序とは異なる順序で適用される場合、予期しない影響が生じる可能性があります。 ユーザーが複数のグループのメンバーである場合、1 つのグループの拒否ステートメントは、別のグループの許可ステートメントをキャンセルすることも、別のグループの許可ステートメントをキャンセルすることもできます。 この場合、概要を維持するのは困難で、予期しない結果が生じやすくなりますが、「割り当てを許可」ではこのような競合は発生しません。
Adobeでは、「拒否」ではなく「許可」を使用することをお勧めします。 ベストプラクティス.
どちらの権限も変更する前に、権限の仕組みと相互の関係を理解しておく必要があります。 AEM WCM の仕組みについては、CRX のドキュメントを参照してください アクセス権を評価 およびアクセス制御リストの設定例
権限 permissions
権限を持つユーザーとグループは、AEMページのAEM機能にアクセスできます。
パス別の権限を参照するには、ノードを展開したり折りたたんだりします。権限の継承はルートノードまで追跡できます。
権限を許可または拒否するには、対応するチェックボックスをオンまたはオフにします。
詳細な権限情報の表示 viewing-detailed-permission-information
AEMは、グリッド表示に加えて、特定のパスで選択したユーザーまたはグループの権限の詳細な表示を提供します。 詳細ビューには、追加情報が表示されます。
情報の表示だけでなく、ユーザー/グループをグループに追加したり、グループから除外したりすることもできます。権限を追加する際のユーザーまたはグループの追加を参照してください。ここで行った変更は、詳細表示の上部にすぐに反映されます。
詳細表示にアクセスするには、「権限」タブで、選択したグループ/ユーザーおよびパスの「詳細」をクリックします。
詳細は 2 つの部分に分かれています。
別のユーザーとして実行中 impersonating-another-user
別のユーザーとして実行する機能では、ユーザーは別のユーザーに成り代わって作業を行うことができます。
つまり、ユーザーアカウントは、自分のアカウントで操作できる他のアカウントを指定できます。 つまり、user-B が user-A として実行することを許可されている場合、user-B は user-A の完全なアカウント詳細を使用してアクションを実行できます。
これにより、別のユーザーアカウントが、別のユーザーとして実行しているアカウントを使用している場合と同様に、タスクを完了できます。例えば、不在時や過剰な負荷を短期間共有する場合などです。
/home/users
パスの READ 権限が必要です。ベストプラクティス best-practices
次に、権限と権限を使用する際のベストプラクティスを示します。
アクセス権をユーザーごとに割り当てないようにします。 これには、いくつかの理由があります。
- グループよりも多くのユーザーがいるので、グループを使用すると構造が簡単になります。
- グループは、すべてのアカウントの概要を示すのに役立ちます。
- グループを使用すると、継承が簡単になります。
- ユーザーが来たり来たりします。 グループは長期的なものです。
ユーザーとグループの管理 managing-users-and-groups
ユーザーには、システムを使用する人と、システムにリクエストを行う外国のシステムを使用する人が含まれます。
グループとは、一連のユーザーのことです。
どちらも、Security Console 内の User Administration 機能を使用して設定できます。
セキュリティコンソールを使用したユーザー管理へのアクセス accessing-user-administration-with-the-security-console
すべてのユーザー、グループ、および関連する権限には、セキュリティコンソールを使用してアクセスできます。 このセクションで説明するすべての手順は、このウィンドウで実行されます。
AEM WCM セキュリティにアクセスするには、次のいずれかの操作を行います。
- ようこそ画面または AEM の様々な場所で、セキュリティアイコンをクリックします。
https://<server>:<port>/useradmin
に直接アクセスします。管理者として AEM にログインしてください。
次のウィンドウが表示されます。
左側のツリーには、現在システムに存在するすべてのユーザーとグループが一覧表示されます。 列ヘッダーを新しい位置にドラッグすると、表示する列を選択したり、列の内容を並べ替えたり、列の表示順序を変更したりできます。
タブを使用すると、様々な設定にアクセスできます。
ユーザーまたはグループに権限を割り当てることができます。 以下を制御できます。
- 特定のページ/ノードに関連する権限。 権限の設定を参照してください。
- ページの作成と削除および階層の変更に関連する権限。??? を使用すると、ページを作成および削除するための権限を割り当てることができます(階層の変更など)。
- に関連する権限 レプリケーション権限 (通常はオーサーからパブリッシュまで)パスに従って指定します。
ユーザーとグループのフィルタリング filtering-users-and-groups
フィルター式を入力してリストをフィルタリングできます。これにより、式に一致しないすべてのユーザーとグループが非表示になります。また、ユーザー非表示とグループ非表示の各ボタンを使用してユーザーとグループを非表示にすることもできます。
ユーザーまたはグループをフィルターするには:
-
左側のツリーリストで、用意されているスペースにフィルター式を入力します。 例: admin この文字列を含むすべてのユーザーとグループが表示されます。
-
虫眼鏡をクリックしてリストをフィルタリングします。
-
すべてのフィルターを削除する場合は、x をクリックします。
ユーザーとグループの非表示 hiding-users-and-groups
ユーザーやグループを非表示にする方法も、システム内のすべてのユーザーやグループのリストをフィルタリングする方法の 1 つです。 切り替えメカニズムは 2 つあります。 「ユーザーを非表示」をクリックすると、すべてのユーザーが表示から非表示になり、「グループを非表示」をクリックすると、すべてのグループが表示から非表示になります(ユーザーとグループの両方を同時に非表示にすることはできません)。 フィルター式を使用してリストをフィルターするには、 ユーザーとグループのフィルタリング.
ユーザーおよびグループを非表示にするには:
-
セキュリティ コンソールで、「ユーザー非表示」または「グループ非表示」をクリックします。選択したボタンがハイライト表示されます。
-
ユーザーまたはグループを再度表示するには、対応するボタンをもう一度クリックします。
ユーザーとグループの作成 creating-users-and-groups
新しいユーザーまたはグループを作成するには:
-
セキュリティ コンソールのツリーリストで、「編集」をクリックし、「ユーザーを作成」または「グループを作成」をクリックします。
-
ユーザーとグループのどちらを作成しているかに応じて、必要な詳細を入力します。
- 「ユーザーを作成」を選択した場合は、ログイン ID、姓名、メールアドレスおよびパスワードを入力します。デフォルトでは、AEM は姓の最初の文字に基づいてパスを作成しますが、別のパスを選択することもできます。
- 「グループを作成」を選択した場合は、グループ ID と説明(オプション)を入力します。
-
「作成」をクリックします。作成したユーザーまたはグループがツリーリストに表示されます。
ユーザーとグループの削除 deleting-users-and-groups
ユーザーまたはグループを削除するには:
- 内 セキュリティ コンソールで、削除するユーザーまたはグループを選択します。 複数の項目を削除する場合は、Shift キーまたは Ctrl キーを押しながらクリックして選択します。
- クリック 編集、 「削除」を選択します。 ユーザーまたはグループを削除するかどうかを確認するメッセージがAEM WCM に表示されます。
- 「OK」をクリックして確定するか、「キャンセル」をクリックしてアクションをキャンセルします。
ユーザーおよびグループのプロパティの変更 modifying-user-and-group-properties
ユーザーおよびグループのプロパティを変更するには、次の手順に従います。
-
セキュリティ コンソールで、変更するユーザーまたはグループの名前をダブルクリックします。
-
「プロパティ」タブをクリックし、必要な変更を行なって「保存」をクリックします。
ユーザーパスワードの変更 changing-a-user-password
以下の手順を使用して、ユーザーのパスワードを変更します。
-
セキュリティ コンソールで、パスワードを変更するユーザーの名前をダブルクリックします。
-
「プロパティ」タブをクリックします(まだアクティブでない場合)。
-
「パスワードを設定」をクリックします。パスワードを設定ウィンドウが開きます。このウィンドウでパスワードを変更できます。
-
新しいパスワードを 2 回入力します。明確なテキストには表示されないので、確認用です。一致しない場合は、エラーが表示されます。
-
クリック 設定 :アカウントの新しいパスワードを有効化します。
グループへのユーザーまたはグループの追加 adding-users-or-groups-to-a-group
AEMでは、次の 3 つの方法で既存のグループにユーザーまたはグループを追加できます。
- グループ内にいる場合、メンバー(ユーザーまたはグループ)を追加できます。
- メンバーの中にいる場合は、メンバーをグループに追加できます。
- 権限を操作する際に、グループにメンバーを追加できます。
グループ — グループへのユーザーまたはグループの追加 groups-adding-users-or-groups-to-a-group
この グループ 「 」タブには、現在のアカウントが属するグループが表示されます。 これを使用して、選択したアカウントをグループに追加できます。
-
グループに割り当てるアカウント(ユーザーまたはグループ)の名前をダブルクリックします。
-
次をクリック: グループ タブをクリックします。 アカウントが既に属しているグループのリストが表示されます。
-
ツリーリストで、アカウントに追加するグループの名前をクリックし、 グループ ウィンドウ (複数のユーザーを追加する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックしてドラッグします)。
-
「保存」をクリックして変更を保存します。
メンバー — グループへのユーザーまたはグループの追加 members-adding-users-or-groups-to-a-group
「メンバー」タブはグループについてのみ使用できます。このタブには、現在のグループに属しているユーザーとグループが表示されます。このタブを使用して、アカウントをグループに追加できます。
-
メンバーを追加するグループの名前をダブルクリックします。
-
次をクリック: メンバー タブをクリックします。 このグループに既に属するメンバーのリストが表示されます。
-
ツリー・リストで、グループに追加するメンバの名前をクリックし、 メンバー ウィンドウ (複数のユーザーを追加する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックしてドラッグします)。
-
「保存」をクリックして変更を保存します。
権限を追加する際のユーザーまたはグループの追加 adding-users-or-groups-while-adding-permissions
特定のパスにあるグループにメンバーを追加するには:
-
ユーザーを追加するグループまたはユーザーの名前をダブルクリックします。
-
「権限」タブをクリックします。
-
権限を追加するパスに移動して、「詳細」をクリックします。詳細ウィンドウの下部には、対象のページに対する権限を持つユーザーの情報が表示されます。
-
「 メンバー 列を使用して、そのパスに対する権限を持つメンバーを指定します。 権限を削除するメンバーのチェックボックスをオフにします。 変更を加えたセルに赤い三角形が表示されます。
-
「OK」をクリックして、変更を保存します。
グループからのユーザーまたはグループの削除 removing-users-or-groups-from-groups
AEMでは、次の 3 つの方法でユーザーまたはグループをグループから削除できます。
- グループプロファイル内にいる場合、メンバー(ユーザーまたはグループ)を削除できます。
- メンバープロファイルにいる場合は、グループからメンバーを削除できます。
- 権限を操作しているときに、グループからメンバーを削除できます。
グループ - グループからのユーザーまたはグループの削除 groups-removing-users-or-groups-from-groups
グループからユーザーまたはグループアカウントを削除するには:
-
グループから削除するグループまたはユーザーアカウントの名前をダブルクリックします。
-
次をクリック: グループ タブをクリックします。 選択したアカウントが属するグループが表示されます。
-
グループ ウィンドウで、グループから削除するユーザーまたはグループの名前をクリックして、「削除」をクリックします(複数のアカウントを削除する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックして、「削除」をクリックします)。
-
「保存」をクリックして変更を保存します。
メンバー - グループからのユーザーまたはグループの削除 members-removing-users-or-groups-from-groups
グループからアカウントを削除するには:
-
メンバーを削除するグループの名前をダブルクリックします。
-
次をクリック: メンバー タブをクリックします。 このグループに既に属するメンバーのリストが表示されます。
-
内 メンバー ウィンドウで、グループから削除するメンバの名前をクリックし、 削除. ( 複数のユーザーを削除する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックし、 削除.)
-
「保存」をクリックして変更を保存します。
権限を追加する際のユーザーまたはグループの削除 removing-users-or-groups-while-adding-permissions
特定のパスにあるグループからメンバーを削除するには:
-
ユーザーを削除するグループまたはユーザーの名前をダブルクリックします。
-
「権限」タブをクリックします。
-
権限を削除するパスに移動して、「詳細」をクリックします。詳細ウィンドウの下部には、対象のページに対する権限を持つユーザーの情報が表示されます。
-
「 メンバー 列を使用して、そのパスに対する権限を持つメンバーを指定します。 権限を削除するメンバーのチェックボックスをオフにします。 変更を加えたセルに赤い三角形が表示されます。
-
「OK」をクリックして、変更を保存します。
ユーザー同期 user-synchronization
デプロイメントがパブリッシュファームであるとき、ユーザーとグループをすべてのパブリッシュノード間で同期する必要があります。
ユーザー同期と有効化の方法については、 ユーザーの同期.
権限の管理 managing-permissions
ここでは、権限(レプリケーション権限を含む)を設定する方法について説明します。
権限の設定 setting-permissions
ユーザーは権限を使用して、特定のパスにあるリソースに対して特定のアクションを実行できます。権限にはページを作成または削除する機能も含まれます。
権限を追加、変更または削除するには:
-
セキュリティ コンソールで、権限を設定するユーザーまたはグループの名前をダブルクリックするか、ノードを検索します。
-
「権限」タブをクリックします。
-
ツリーグリッドで、チェックボックスをオンにして、選択したユーザーまたはグループによるアクションの実行を許可します。または、チェックボックスをオフにして、選択したユーザーまたはグループによるアクションの実行を拒否します。詳細を確認するには、「詳細」をクリックします。
-
完了したら、「保存」をクリックします。
レプリケーション権限の設定 setting-replication-privileges
レプリケーション権限は、コンテンツを公開する権利で、グループとユーザーに対して設定できます。
- グループに適用されるレプリケーション権限は、そのグループ内のすべてのユーザーに適用されます。
- ユーザーのレプリケーション権限は、グループのレプリケーション権限よりも優先されます。
- 「許可」レプリケーション権限の優先順位は「拒否」レプリケーション権限よりも高くなります。詳しくは、AEM の権限を参照してください。
レプリケーション権限を設定するには、次の手順に従います。
-
リストからユーザーまたはグループを選択し、ダブルクリックして開き、 権限.
-
グリッドで、ユーザーにレプリケーション権限を設定するパスに移動するか、ノードを検索します。
-
選択したパスの「レプリケーション」列で、チェックボックスをオンにして、対象のユーザーまたはグループのレプリケーション権限を追加します。または、チェックボックスをオフにして、レプリケーション権限を削除します。AEM では、変更を行った(未保存の)項目に赤い三角形が表示されます。
-
「保存」をクリックして変更を保存します。
ノードの検索 searching-for-nodes
権限を追加または削除する際に、ノードを参照または検索できます。
パス検索には、次の 2 つの異なるタイプがあります。
- パス検索 — 検索文字列が「/」で始まる場合、指定されたパスの直接のサブノードを検索します。
検索ボックスでは以下の操作を行うことができます。
- フルテキスト検索 — 検索文字列が「/」で始まらない場合、パス「/content」の下のすべてのノードでフルテキスト検索が実行されます。
パス検索またはフルテキスト検索を実行するには:
-
セキュリティコンソールで、ユーザーまたはグループを選択して、「権限」タブをクリックします。
-
「検索」ボックスに検索する用語を入力します。
別のユーザーとして実行 impersonating-users
現在のユーザーとして実行できる 1 人以上のユーザーを指定できます。 つまり、ユーザーは、自分のアカウント設定を現在のユーザーのアカウント設定に切り替え、このユーザーの代理として操作できます。
この関数は、ユーザーが自分のユーザーが実行できないアクションを実行できる場合があるので、注意して使用します。 別のユーザーとして実行する場合、ユーザーは、自分自身としてログインしていないことを通知されます。
この機能を使用する場合は、次のような様々なシナリオが考えられます。
- 不在の場合は、不在の間に別のユーザーに偽装させることができます。 この機能を使用すると、誰かが自分のアクセス権を持っていることを確認でき、ユーザープロファイルを変更したり、パスワードを提供する必要がなくなります。
- デバッグ目的で使用できます。 たとえば、アクセス権が制限されたユーザーを Web サイトでどのように検索するかを確認する場合などです。 また、ユーザーが技術的な問題に関して不満を持った場合は、そのユーザーになりすまして、問題を診断および修正できます。
既存のユーザーを偽装するには:
-
ツリーリストで、他のユーザーに偽装するユーザーを割り当てるユーザーの名前を選択します。 ダブルクリックして開きます。
-
次をクリック: 実行 タブをクリックします。
-
選択したユーザーとして実行するユーザーをクリックします。 リストから別のユーザーとして実行するユーザーを、別のユーザーとして実行ウィンドウにドラッグします。 名前がリストに表示されます。
-
「保存」をクリックします。
ユーザーおよびグループの環境設定の指定 setting-user-and-group-preferences
言語、ウィンドウ管理、ツールバー環境設定など、ユーザーとグループの環境設定を設定するには、次の手順に従います。
-
左側のツリーで、環境設定を変更するユーザーまたはグループを選択します。 複数のユーザーまたはグループを選択するには、Ctrl キーまたは Shift キーを押しながら選択項目をクリックします。
-
次をクリック: 環境設定 タブをクリックします。
-
必要に応じて、グループまたはユーザーの環境設定に変更を加え、 保存 終了したとき。
他のユーザーを管理する権限をユーザーまたは管理者に与える設定 setting-users-or-administrators-to-have-the-privilege-to-manage-other-users
ユーザーまたは管理者が他のユーザーを削除/アクティベート/アクティベート解除する権限を付与するための設定を行うには:
-
他のユーザーを管理する権限を付与するユーザーを administrators グループに追加して、変更を保存します。
-
ユーザーの「権限」タブで、「/」に移動します。「レプリケーション」列で、チェックボックスをオンにして「/」におけるレプリケーションを許可し、「保存」をクリックします。
これで、選択したユーザーは、ユーザーを非アクティブ化、アクティブ化、削除および作成できます。
プロジェクトレベルでの権限の拡張 extending-privileges-on-a-project-level
アプリケーション固有の権限を実装する場合、次の情報で、カスタム権限の実装に必要な情報と、CQ 全体でカスタム権限を適用する方法を説明します。
階層の変更権限は JCR 権限の組み合わせによってカバーされます。レプリケーション権限の名前は crx:replicate です。この権限は、他の権限と共に JCR リポジトリに保存され、評価されます。ただし、この権限は JCR レベルでは適用されません。
カスタム権限の定義と登録は、公式には Jackrabbit API(バージョン 2.4 以降)の一部です(JCR-2887 も参照)。その他の使用方法は、JSR 283(Section 16)で定義されているとおり、JCR アクセス制御管理によってカバーされます。また、Jackrabbit API では複数の拡張機能を定義します。
権限の登録メカニズムは、リポジトリ設定 の下の UI に反映されます。
新しい(カスタム)権限の登録は、リポジトリレベルで付与する必要のある組み込みの権限によって保護されます(JCR の場合、AC MGT API で「absPath」パラメーターとして「null」を渡します。詳しくは、JSR 333 を参照してください)。デフォルトでは、admin と administrators のすべてのメンバーにこの権限が付与されています。