Experience League

Experience Cloud

Document Cloud

使用者管理與安全性

本章說明如何設定和維護使用者授權，並說明驗證和授權在AEM中運作的原理。

AEM中的使用者和群組

本節將更詳細地介紹各種實體和相關概念，以幫助您配置易於維護的用戶管理概念。

使用者

使用者將使用其帳戶登入AEM。每個使用者帳戶都是唯一的，並包含基本帳戶詳細資訊以及指派的權限。

使用者通常是群組的成員，可簡化這些權限和／或權限的分配。

群組

群組是使用者和／或其他群組的集合；這些都稱為群組成員。

其主要目的是透過減少要更新的實體數目來簡化維護程式，因為對群組所做的變更會套用至群組的所有成員。群組通常反映：

應用程式中的角色；例如，允許瀏覽內容的人，或允許提供內容的人。
您自己的組織；當內容樹狀結構中的貢獻者被限制在不同分支時，您可能想要擴充角色，以區分不同部門的貢獻者。

因此，群組往往保持穩定，而使用者來來回的頻率則更高。

透過規劃和簡潔的結構，群組的使用可以反映您的結構，提供清楚的概述和有效的更新機制。

內建使用者和群組

AEM WCM會安裝許多使用者和群組。在安裝後首次存取Security Console時，就會看到這些。

下表列出每個項目，並列出：

簡短描述
任何關於必要變更的建議

請變更所有預設密碼 （如果您未在特定情況下刪除帳戶本身）。

使用者 ID	類型	說明	建議
管理員預設密碼：管理員	使用者	具有完全訪問權限的系統管理帳戶。此帳戶用於AEM WCM和CRX之間的連線。如果意外刪除了此帳戶，系統將在資料庫重新啟動時（在預設設定中）重新建立該帳戶。管理員帳戶是AEM平台的需求。因此，此帳戶無法刪除。	Adobe強烈建議將此使用者帳戶的密碼從預設值變更。優選地，在安裝時，儘管可以在安裝後完成。注意：此帳戶不要與CQ Servlet引擎的管理員帳戶混淆。
匿名	使用者	保留對實例的未驗證訪問的預設權限。根據預設，這會保留最低存取權限。如果您意外刪除此帳戶，系統會在啟動時重新建立此帳戶。它無法永久刪除，但可以禁用。	請避免刪除或停用此帳戶，因為這會對作者例項的運作造成負面影響。如果有安全性要求您必須刪除它，請務必先正確測試它對系統的影響。
作者預設密碼：作者	使用者	允許寫入/content的作者帳戶。涵蓋投稿人和衝浪者特權。可以作為網站管理員使用，因為它可以訪問整個/content樹。這不是內建使用者，而是其他geometrixx展示使用者	Adobe建議完全刪除帳戶，或從預設值變更密碼。優選地，在安裝時，儘管可以在安裝後完成。
管理員	群組	授予其所有成員管理員權限的組。只允許管理員編輯此群組。擁有完整存取權。	如果您在節點上設定「拒絕每個人」，則管理員只有在該群組再次啟用時才能擁有存取權。
內容作者	群組	負責內容編輯的群組。需要讀取、修改、建立和刪除權限。	只要您新增讀取、修改、建立和刪除權限，就可以使用專案特定存取權限建立您自己的內容作者群組。
contributor	群組	可讓使用者編寫內容的基本權限（僅限功能）。不為/content樹分配任何權限——這些權限必須專門分配給各個組或用戶。
dam-users	群組	一般AEM Assets使用者的現成可用參考群組。此群組成員具有適當的權限，可啟用資產和系列的上傳／共用。
every	群組	AEM中的每個使用者都是群組的成員，即使您在所有工具中可能看不到群組或成員關係。此群組可視為預設權限，因為它可用來套用每個人的權限，甚至是將來建立的使用者。	請勿修改或刪除此群組。修改此帳戶會產生額外的安全性影響。
tag-administrators	群組	允許編輯標籤的群組。
user-administrators	群組	授權使用者管理，即建立使用者和群組的權利。
工作流程編輯器	群組	允許建立和修改工作流模型的組。
workflow-users	群組	參與工作流程的使用者必須是群組工作流程使用者的成員。這可讓他或她完全存取：/etc/workflow/instances，讓他／她可以更新工作流程例項。此群組已包含在標準安裝中，但您必須手動將使用者新增至群組。

AEM中的權限

AEM使用ACL來判斷使用者或群組可以執行哪些動作，以及可在何處執行這些動作。

權限和ACL

權限定義允許誰對資源執行哪些操作。權限是訪問控制評估的結果。

您可以選取或清除個別AEM 動作的核取方塊，以變更授與／拒絕給定使用者的權限。複選標籤表示允許執行動作。無複選標籤表示動作被拒絕。

複選標籤位於格線中的位置也會指出使用者在AEM內的哪些位置（即哪些路徑）擁有哪些權限。

動作

可以在頁（資源）上執行操作。對於階層中的每個頁面，您可以指定允許使用者對該頁面執行的動作。授權您允許或拒絕動作。

動作	說明
讀取	使用者可讀取頁面和任何子頁面。
修改	使用者可以：修改頁面上和任何子頁面上的現有內容。在頁面上或任何子頁面上建立新段落。在JCR級別，用戶可以通過修改資源的屬性、鎖定、版本修訂和nt-modifications來修改資源，並且他們對定義jcr:content子節點的節點具有完全的寫權限，例如cq:Page、nt:file、cq:Asset。
建立	使用者可以：建立新頁面或子頁面。如果拒絕modify，則會明確排除jcr:content下方的子樹，因為建立jcr:content及其子節點被視為頁面修改。這僅適用於定義jcr:content子節點的節點。
刪除	使用者可以：從頁面或任何子頁面刪除現有段落。刪除頁面或子頁面。如果拒絕modify，則會明確排除jcr:content下方的任何子樹，以移除jcr:content，其子節點會被視為頁面修改。這僅適用於定義jcr:content子節點的節點。
讀取 ACL	用戶可以讀取頁面或子頁面的訪問控制清單。
編輯 ACL	用戶可以修改頁面或任何子頁面的訪問控制清單。
複寫	使用者可將內容複製至其他環境（例如發佈環境）。此權限也適用於任何子頁面。

注意

AEM會自動產生Collections中角色指派（擁有者、編輯者、檢視器）的使用者群組。不過，手動新增此類群組的ACL可能會在AEM中造成安全性弱點。 Adobe建議您避免手動添加ACL。

訪問控制清單及其評估方式

AEM WCM使用「存取控制清單」(ACL)來組織套用至各種頁面的權限。

「存取控制清單」是由個別權限所組成，用來決定實際套用這些權限的順序。該清單根據所考慮的頁面的層次形成。然後，會自底向上掃描此清單，直到找到套用至頁面的第一個適當權限為止。

注意

示例中包含一些ACL。建議您檢閱並判斷哪些應用程式適合您的應用程式。要查看包含的ACL，請轉至CRXDE，並為以下節點選擇訪問控制頁籤：

/etc/cloudservices/facebookconnect/geometrixx-outdoorsfacebookapp:允許每個人讀取。
/etc/cloudservices/twitterconnect/geometrixx-outdoors-twitter-app:允許每個人讀取。
/home/users/geometrixx-outdoors:允許每個人讀取*/profile*和
*/social/relationships/following/*。

您的自定義應用程式可以設定對其他關係（如*/social/relationships/friend/*或*/social/relationships/pending-following/*）的訪問權。

當您建立特定於社區的ACL時，加入這些社區的成員可能會獲得額外的權限。例如，當使用者在/content/geometrixx-outdoors/en/community/hiking或/content/geometrixx-outdoors/en/community/winter-sports加入社群時，可能會發生這種情況。

權限狀態

注意

針對CQ 5.3使用者：

與舊版CQ相比，如果使用者只需修改頁面，則不應再授與create和delete。請改為僅在您希望使用者能夠在現有頁面上建立、修改或刪除元件時，才授與modify動作。

基於向後相容性的原因，動作測試沒有考慮定義jcr:content的節點的特殊處理。

動作	說明
允許（複選標籤）	AEM WCM可讓使用者在此頁面或任何子頁面上執行動作。
拒絕（無複選標籤）	AEM WCM不允許使用者在此頁面或任何子頁面上執行動作。

權限也會套用至任何子頁面。

如果權限未繼承自父節點，但至少有一個本地條目，則會將下列符號附加到該複選框。本地條目是在CRX 2.2介面中建立的條目（通配符ACL當前只能在CRX中建立）。

對於指定路徑上的操作：

*（星號）	至少有一個本地條目（有效或無效）。這些通配符ACL在CRX中定義。
! （驚嘆號）	至少有一個條目目前沒有作用。

將滑鼠指標暫留在星號或驚嘆號上時，工具提示會提供有關已宣告項目的詳細資訊。工具提示會分割為兩個部分：

上部	列出有效條目。
下部	列出在樹中其他位置可能具有效果的非有效條目（由具有相應ACE的特殊屬性表示，該屬性限制條目的範圍）。或者，這是一個條目，其效果已被在給定路徑或祖先節點上定義的另一個條目撤銷。

chlimage_1-348

注意

如果未定義頁面的權限，則會拒絕所有動作。

以下是有關管理訪問控制清單的建議：

請勿直接將權限指派給使用者。僅將它們指派給群組。

這將簡化維護作業，因為群組數目比使用者人數少得多，而且波動性也較小。
如果您希望群組／使用者只能修改頁面，請勿授與他們建立或拒絕權限。僅授予他們修改和讀取權限。
謹慎使用「拒絕」。請盡量僅使用「允許」。

如果權限的套用順序與預期順序不同，則使用deny可能會造成非預期的效果。如果用戶是多個組的成員，來自一個組的拒絕語句可以取消來自另一個組的允許語句，反之亦然。發生此情況時，很難保留概述，並且很容易導致無法預見的結果，而「允許」分配不會造成此類衝突。

Adobe建議您使用「允許」而非「拒絕」，請參閱最佳實務。

在修改任一權限之前，請務必瞭解其運作方式及相互關聯。請參閱CRX檔案，以說明AEM WCM 如何評估存取權，以及設定存取控制清單的範例。

權限

權限可讓使用者和群組存取AEM頁面上的AEM功能。

通過展開／折疊節點，可以按路徑瀏覽權限，並且可以跟蹤到根節點的權限繼承。

您可以選擇或清除適當的核取方塊，以允許或拒絕權限。

cqsecuritypermissionstab

查看詳細權限資訊

除了格線檢視外，AEM還提供特定路徑上所選使用者／群組權限的詳細檢視。詳細資訊視圖提供了其他資訊。

除了檢視資訊外，您也可以將目前的使用者或群組納入或排除在群組之外。請參閱新增權限時新增使用者或群組。此處所做的變更會立即反映在詳細檢視的上半部。

要訪問「詳細資訊」視圖，請在權限頁籤中，按一下任何選定組／用戶和路徑的詳細資訊。

權限詳細資訊

詳細資訊分為兩部分：

上部

重複樹網格中顯示的資訊。對於每個動作，都會顯示動作是否允許或拒絕：

no icon = no declared entry
（勾選）=宣告的動作（允許）
(-)=聲明的操作（拒絕）

下部

顯示執行下列作業的使用者和群組格線：

聲明給定路徑的條目AND
指定的可授權OR是群組嗎

模擬其他用戶

使用Impersonate功能，使用者可以代表其他使用者工作。

這表示使用者帳戶可以指定其他帳戶，以便與其帳戶一起運作。換言之，如果允許user-B模擬使用者-A，則user-B可使用user-A的完整帳戶詳細資訊採取動作。

這可讓模擬帳戶完成工作，就像使用其模擬的帳戶；例如，在缺勤期間或在短期內共用過多負荷。

注意

為了模擬為非管理員使用者所使用，模擬者（在上述情況下為user-B）必須擁有/home/users路徑中的READ權限。

如需如何達成此目的的詳細資訊，請參閱「AEM中的權限」。

注意

如果某個帳戶冒充另一個帳戶，就很難看到。當冒充開始和結束時，在審計日誌中建立一個條目，但其他日誌檔案（如訪問日誌）不保存有關事件上發生冒充的事實的資訊。因此，如果user-B模擬使用者- A所有事件看起來都像是使用者- A個人執行的。

注意

在模擬使用者時可以執行鎖定頁面。不過，以此方式鎖定的頁面，只能以模擬的使用者或具有管理員權限的使用者身分解除鎖定。

無法模擬鎖定頁面的使用者來解除鎖定頁面。

最佳作法

以下說明使用權限和權限時的最佳實務：

規則	原因
使用群組	避免依使用者指派存取權限。原因有幾：您的使用者比群組多，因此群組可簡化結構。群組可協助提供所有帳戶的概觀。對於群組，繼承更簡單。使用者來來去。群體是長期的。
積極	請務必使用「允許」陳述式來指定群組的權利（盡可能）。避免使用Deny語句。群組依順序評估，而順序的定義可能與使用者不同。換句話說：您可能對語句的實施和評估順序幾乎沒有控制權。如果您只使用「允許」陳述式，則訂單無關緊要。
保持簡單	在配置新安裝時投入一些時間和思考，將獲得很好的回報。套用清楚的結構可簡化持續的維護與管理，確保您目前的同事和／或未來的繼任者都能輕鬆瞭解正在實施的內容。
測試	使用測試安裝來練習並確保您瞭解不同使用者和群組之間的關係。
預設使用者／群組	安裝後請立即更新預設使用者和群組，協助避免任何安全性問題。

管理用戶和組

用戶包括使用系統的用戶和向系統發出請求的外國系統。

群組是一組使用者。

這兩者都可使用安全控制台中的用戶管理功能進行配置。

使用Security Console訪問用戶管理

您可使用安全性主控台存取所有使用者、群組和相關權限。本節中介紹的所有過程都在此窗口中執行。

若要存取AEM WCM安全性，請執行下列其中一項作業：

從「歡迎」畫面或AEM中的各種位置，按一下安全性圖示：

直接導覽至https://<server>:<port>/useradmin。請確定您以管理員身分登入AEM。

將顯示以下窗口：

cqsecuritypage

左樹列出系統中當前的所有用戶和組。您可以選取要顯示的欄、排序欄的內容，甚至將欄標題拖曳至新位置，以變更欄的顯示順序。

cqsecuritycolumncontext

這些頁籤可訪問各種配置：

索引標籤	說明
篩選方塊	用於篩選列出的用戶和／或組的機制。請參閱篩選使用者和群組。
隱藏使用者	切換開關，將隱藏列出的所有使用者，僅保留群組。請參閱隱藏使用者和群組。
隱藏群組	切換開關，可隱藏所有列出的群組，僅保留使用者。請參閱隱藏使用者和群組。
編輯	可讓您建立和刪除以及啟用和停用使用者或群組的功能表。請參閱建立用戶和組和刪除用戶和組。
屬性	列出有關可包含電子郵件資訊、說明和名稱資訊之使用者或群組的資訊。也允許您更改用戶的密碼。請參閱建立用戶和組、修改用戶和組屬性和更改用戶密碼。
群組	列出選定用戶或組所屬的所有組。您可以將選取的使用者或群組指派給其他群組，或從群組中移除。請參閱群組。
成員	僅適用於群組。列出特定群組的成員。請參閱成員。
權限	您可以為使用者或群組分配權限。可讓您控制下列項目：與特定頁面／節點相關的權限。請參閱設定權限。與建立和刪除頁面及階層修改相關的權限。???可讓您分配權限，例如階層修改，讓您建立和刪除頁面，根據路徑與複製權限（通常從作者到發佈）相關的權限。
Impersonator	讓其他使用者模擬帳戶。當您需要使用者代表其他使用者時，就很有用。請參閱模擬使用者。
偏好設定	設定組或用戶](#setting-user-and-group-preferences)的[首選項。例如，語言偏好設定。

篩選使用者和群組

您可以輸入篩選運算式來篩選清單，此運算式會隱藏所有不符合運算式的使用者和群組。您也可以使用隱藏使用者和隱藏群組按鈕來隱藏使用者和群組。

若要篩選使用者或群組：

在左樹清單中，在提供的空格中輸入篩選運算式。例如，輸入admin會顯示包含此字串的所有使用者和群組。
按一下放大鏡以篩選清單。
當您要移除所有篩選器時，按一下x。

隱藏用戶和組

隱藏使用者或群組是篩選系統中所有使用者和群組清單的另一種方式。有兩種切換機制。按一下「隱藏使用者」可隱藏所有使用者，然後按一下「隱藏群組」可隱藏所有群組（您無法同時隱藏使用者和群組）。若要使用篩選運算式來篩選清單，請參閱篩選使用者和群組。

要隱藏用戶和組：

在Security主控台中，按一下「隱藏使用者」或「隱藏群組」。選取的按鈕會反白顯示。
若要重新顯示使用者或群組，請再次按一下對應的按鈕。

建立用戶和組

要建立新用戶或組：

在Security控制台樹清單中，按一下Edit，然後按一下Create User或Create Group。
根據您要建立使用者或群組，輸入所需的詳細資訊。
- 如果選擇建立用戶，則輸入登錄ID、名字和姓氏、電子郵件地址和密碼。依預設，AEM會根據姓氏的第一個字母建立路徑，但您可以選取其他路徑。
- 如果選擇建立組，則輸入組ID和可選說明。
按一下建立。您建立的用戶或組將顯示在樹清單中。