使用者管理與安全性 user-administration-and-security
本章介紹如何配置和維護用戶授權,並介紹身份驗證和授權在AEM中如何工作的理論。
AEM中的使用者和群組 users-and-groups-in-aem
本節將更詳細地介紹各種實體和相關概念,以幫助您配置易於維護的用戶管理概念。
使用者 users
使用者將使用其帳戶登入AEM。 每個使用者帳戶都是唯一的,並包含基本帳戶詳細資訊以及指派的權限。
使用者通常是群組的成員,可簡化這些權限和/或權限的分配。
群組 groups
群組是使用者和/或其他群組的集合;這些都稱為組的成員。
其主要用途是透過減少要更新的實體數量來簡化維護程式,因為對群組所做的變更會套用至群組的所有成員。 群組通常會反映:
- 應用程式內的角色;例如有權衝浪內容的人,或有權貢獻內容的人。
- 您自己的組織;您可能想要擴充角色,以區分內容樹狀結構中不同分支的貢獻者,以及不同部門的貢獻者。
因此,群組傾向於保持穩定,而使用者來來來得更頻繁。
透過規劃和清潔的結構,群組的使用可反映您的結構,提供清楚的概觀和有效的更新機制。
內建使用者和群組 built-in-users-and-groups
AEM WCM會安裝許多使用者和群組。 安裝後第一次存取安全控制台時,就會看到這些。
下表列出每個項目,並搭配:
- 簡短描述
- 關於必要變更的任何建議
請更改所有預設密碼 (如果您未在某些情況下刪除帳戶本身)。
AEM中的權限 permissions-in-aem
AEM會使用ACL來判斷使用者或群組可採取哪些動作,以及可在何處執行這些動作。
權限和ACL permissions-and-acls
權限會定義允許誰對資源執行哪些動作。 權限是 存取控制 評估。
您可以選取或清除個別AEM的核取方塊,以變更授予/拒絕給指定使用者的權限 動作. 勾號表示允許執行動作。 無複選標籤表示操作被拒絕。
勾選記號在格線中的位置也代表使用者在AEM內的哪些位置(即哪些路徑)中擁有哪些權限。
動作 actions
可在頁面(資源)上執行動作。 對於階層中的每個頁面,您可以指定允許使用者對該頁面採取的動作。 權限 可讓您允許或拒絕動作。
存取控制清單及其評估方式 access-control-lists-and-how-they-are-evaluated
AEM WCM使用存取控制清單(ACL)來組織套用至各種頁面的權限。
「存取控制清單」是由個別權限組成,用於決定實際套用這些權限的順序。 清單根據所考慮頁面的階層來形成。 接著會從下到上掃描此清單,直到找到要套用至頁面的第一個適當權限為止。
/etc/cloudservices/facebookconnect/geometrixx-outdoorsfacebookapp
:允許每個人讀取訪問權限。/etc/cloudservices/twitterconnect/geometrixx-outdoors-twitter-app
:允許每個人讀取訪問權限。/home/users/geometrixx-outdoors
:允許每個人讀取 */profile*
和*/social/relationships/following/*
。*/social/relationships/friend/*
或 */social/relationships/pending-following/*
./content/geometrixx-outdoors/en/community/hiking
或 /content/geometrixx-outdoors/en/community/winter-sports
.權限狀態 permission-states
權限也會套用至任何子頁面。
如果權限不是從父節點繼承的,但至少有一個本地條目,則以下符號將附加到複選框。 本機項目是在CRX 2.2介面中建立的項目(目前只能在CRX中建立萬用字元ACL)。
若是指定路徑的動作:
將滑鼠指標暫留在星號或驚嘆號上時,工具提示會提供關於宣告項目的詳細資訊。 工具提示分為兩個部分:
以下是管理存取控制清單的建議:
-
請勿直接將權限指派給使用者。 僅將其指派給群組。
這將簡化維護,因為組數比用戶數少得多,而且波動性也小。
-
如果您希望群組/使用者只能修改頁面,請勿授予他們建立或拒絕權限。 僅授予他們修改和讀取權限。
-
請謹慎使用「拒絕」。 盡可能僅使用「允許」。
如果權限的套用順序與預期順序不同,則使用拒絕可能會造成非預期的影響。 如果用戶是多個組的成員,來自一個組的拒絕語句可以取消來自另一個組的允許語句,反之亦然。 發生此情況時很難保留概覽,並且很容易導致無法預料的結果,但「允許」分配不會造成此類衝突。
Adobe建議您使用「允許」而非「拒絕」查看 最佳實務.
在修改任一權限之前,請務必了解這些權限的運作方式和相互關聯。 請參閱CRX檔案,以說明AEM WCM 評估訪問權限 以及設定存取控制清單的範例。
權限 permissions
權限可讓使用者和群組存取AEM頁面上的AEM功能。
您可以展開/收合節點,依路徑瀏覽權限,並且可以追蹤到根節點的權限繼承。
您可以選取或清除適當的核取方塊,以允許或拒絕權限。
查看詳細權限資訊 viewing-detailed-permission-information
除了格線檢視之外,AEM還提供指定路徑上所選使用者/群組的詳細權限檢視。 詳細資訊檢視提供其他資訊。
除了檢視資訊外,您也可以從群組中包含或排除目前的使用者或群組。 請參閱 新增權限時新增使用者或群組. 此處所做的變更會立即反映在詳細檢視的上部。
若要存取「詳細資料」檢視,請在 權限 按一下 詳細資料 ,適用於任何選取的群組/使用者和路徑。
詳細資訊分為兩部分:
模擬其他使用者 impersonating-another-user
使用 模擬功能 使用者可以代表其他使用者工作。
這表示使用者帳戶可以指定其他可搭配其帳戶運作的帳戶。 換句話說,如果允許使用者B模擬使用者A,則使用者B可使用使用者A的完整帳戶詳細資訊來執行動作。
這可讓模擬者帳戶完成工作,就像使用其模擬的帳戶一樣;例如,在缺勤期間或在短期內共用過多負荷。
最佳做法 best-practices
以下說明使用權限時的最佳實務:
避免按用戶分配訪問權限。 原因有幾:
- 您的使用者比群組多,因此群組可簡化結構。
- 群組可協助您提供所有帳戶的概觀。
- 對於群組,繼承較簡單。
- 用戶來來去。 群體是長期的。
管理使用者和群組 managing-users-and-groups
用戶包括使用系統的用戶和向系統提出請求的外國系統。
群組是一組使用者。
兩者皆可使用安全控制台中的「使用者管理」功能來設定。
使用安全控制台訪問用戶管理 accessing-user-administration-with-the-security-console
您可以使用安全控制台訪問所有用戶、組和關聯權限。 本節中描述的所有過程都將在此窗口中執行。
若要存取AEM WCM安全性,請執行下列其中一項操作:
- 在歡迎畫面或AEM中的各種位置中,按一下安全性圖示:
- 直接導覽至
https://<server>:<port>/useradmin
. 請務必以管理員身分登入AEM。
隨即顯示下列視窗:
左側樹列出系統中當前的所有用戶和組。 您可以選取要顯示的欄、排序欄的內容,甚至將欄標題拖曳到新位置,以變更欄的顯示順序。
索引標籤可供存取各種設定:
篩選使用者和群組 filtering-users-and-groups
您可以輸入篩選運算式來篩選清單,這會隱藏不符合運算式的所有使用者和群組。 您也可以使用 隱藏用戶和隱藏組 按鈕。
若要篩選使用者或群組:
-
在左樹狀清單中,在提供的空格中輸入篩選運算式。 例如,輸入 管理員 顯示包含此字串的所有使用者和群組。
-
按一下放大鏡以篩選清單。
-
按一下 x 移除所有篩選器時。
隱藏使用者和群組 hiding-users-and-groups
隱藏用戶或組是篩選系統中所有用戶和組的清單的另一種方法。 有兩個切換機構。 按一下「隱藏使用者」會隱藏所有使用者,按一下「隱藏群組」會隱藏所有使用者的檢視(您無法同時隱藏使用者和群組)。 若要使用篩選運算式來篩選清單,請參閱 篩選使用者和群組.
要隱藏用戶和組,請執行以下操作:
-
在 安全性 主控台,按一下 隱藏用戶 或 隱藏組. 所選按鈕將突出顯示。
-
若要讓使用者或群組重新出現,請再次按一下對應的按鈕。
建立使用者和群組 creating-users-and-groups
要建立新用戶或組:
-
在 安全性 控制台樹清單,按一下 編輯 然後 建立使用者 或 建立群組.
-
根據您要建立使用者或群組,輸入所需的詳細資訊。
- 如果您選取 建立用戶, 您可以輸入登錄ID、名字和姓氏、電子郵件地址和密碼。 依預設,AEM會根據姓氏的第一個字母建立路徑,但您可以選取其他路徑。
- 如果您選取 建立群組,請輸入群組ID和可選說明。
-
按一下 建立。您建立的用戶或組將顯示在樹清單中。
刪除使用者和群組 deleting-users-and-groups
要刪除用戶或組:
- 在 安全性 控制台,選擇要刪除的用戶或組。 如果要刪除多個項目,請按住Shift鍵並按一下或按住Ctrl鍵並按一下以選取這些項目。
- 按一下 編輯、 然後選擇「刪除」。 AEM WCM會詢問您是否要刪除該使用者或群組。
- 按一下 確定 確認或取消以取消動作。
修改使用者和群組屬性 modifying-user-and-group-properties
要修改用戶和組屬性,請執行以下操作:
-
在 安全性 控制台,按兩下要修改的用戶或組名。
-
按一下 屬性 ,然後按一下 儲存.
更改用戶密碼 changing-a-user-password
使用以下過程修改用戶的密碼。
-
在 安全性 控制台,按兩下要更改密碼的用戶名。
-
按一下 屬性 標籤(如果尚未啟用)。
-
按一下 設定密碼. 「設定密碼」(Set Password)窗口將開啟,您可以在其中更改密碼。
-
輸入新密碼兩次;由於它們未顯示在明文中,因此這是為了確認 — 如果它們不匹配,系統會顯示錯誤。
-
按一下 設定 啟用帳戶的新密碼。
新增使用者或群組至群組 adding-users-or-groups-to-a-group
AEM提供三種將使用者或群組新增至現有群組的方法:
- 在組中時,可以添加成員(用戶或組)。
- 在成員中時,可向組添加成員。
- 使用權限時,可以向組添加成員。
群組 — 新增使用者或群組至群組 groups-adding-users-or-groups-to-a-group
此 群組 索引標籤會顯示目前帳戶所屬的群組。 您可以使用它將選取的帳戶新增至群組:
-
連按兩下您要指派給群組的帳戶名稱(使用者或群組)。
-
按一下 群組 標籤。 您會看到帳戶已屬於的群組清單。
-
在樹狀清單中,按一下您要新增至帳戶的群組名稱,並將其拖曳至 群組 框。 (如果要添加多個用戶,請按住Shift鍵並按一下或按住Ctrl鍵並按一下這些名稱並拖動它們。)
-
按一下 儲存 來儲存變更。
成員 — 將用戶或組添加到組 members-adding-users-or-groups-to-a-group
此 成員 索引標籤僅適用於群組,並顯示哪些使用者和群組屬於目前群組。 您可以使用它來新增帳戶至群組:
-
按兩下要添加成員的組的名稱。
-
按一下 成員 標籤。 您會看到已屬於此組的成員清單。
-
在樹清單中,按一下要添加到組的成員的名稱,並將其拖動到 成員 框。 (如果要添加多個用戶,請按住Shift鍵並按一下或按住Ctrl鍵並按一下這些名稱並拖動它們。)
-
按一下 儲存 來儲存變更。
新增權限時新增使用者或群組 adding-users-or-groups-while-adding-permissions
若要在特定路徑的將成員新增至群組:
-
按兩下要添加用戶的組或用戶的名稱。
-
按一下 權限 標籤。
-
導覽至您要新增權限的路徑,然後按一下 詳細資料. 詳細資訊視窗的下半部分提供關於誰擁有該頁面權限的資訊。
-
選取 會員 欄,以取得該路徑的權限。 清除要為刪除權限的成員的複選框。 在您對進行變更的儲存格中,會顯示紅色三角形。
-
按一下 確定 來儲存變更。
從組中刪除用戶或組 removing-users-or-groups-from-groups
AEM提供三種從群組中移除使用者或群組的方法:
- 在組配置檔案中時,可以刪除成員(用戶或組)。
- 在成員配置檔案中時,可以從組中刪除成員。
- 使用權限時,可以從組中刪除成員。
組 — 從組中刪除用戶或組 groups-removing-users-or-groups-from-groups
要從組中刪除用戶或組帳戶:
-
按兩下要從組中刪除的組或用戶帳戶的名稱。
-
按一下 群組 標籤。 您會看到所選帳戶所屬的群組。
-
在 群組 窗格,按一下要從組中刪除的用戶或組的名稱,然後按一下 移除. (如果要刪除多個帳戶,請按住Shift鍵並按一下或按住Ctrl鍵並按一下這些名稱,然後按一下 移除.)
-
按一下 儲存 來儲存變更。
成員 — 從組中刪除用戶或組 members-removing-users-or-groups-from-groups
要從組中刪除帳戶,請執行以下操作:
-
按兩下要從中刪除成員的組的名稱。
-
按一下 成員 標籤。 您會看到已屬於此組的成員清單。
-
在 成員 窗格,按一下要從組中刪除的成員的名稱,然後按一下 移除. (如果要刪除多個用戶,請按住Shift鍵並按一下或按住Ctrl鍵並按一下這些名稱,然後按一下 移除.)
-
按一下 儲存 來儲存變更。
新增權限時移除使用者或群組 removing-users-or-groups-while-adding-permissions
要在特定路徑從組中刪除成員:
-
按兩下要從中刪除用戶的組或用戶的名稱。
-
按一下 權限 標籤。
-
導覽至您要移除權限的路徑,然後按一下 詳細資料. 詳細資訊視窗的下半部分提供關於誰擁有該頁面權限的資訊。
-
選取 會員 欄,以取得該路徑的權限。 清除要為刪除權限的成員的複選框。 在您對進行變更的儲存格中,會顯示紅色三角形。
-
按一下 確定 來儲存變更。
使用者同步 user-synchronization
當部署為 發佈農場,所有發佈節點之間必須同步使用者和群組。
若要了解使用者同步及如何啟用,請參閱 使用者同步.
管理權限 managing-permissions
本節說明如何設定權限,包括復寫權限。
設定權限 setting-permissions
權限可讓使用者對特定路徑上的資源執行特定動作。 也包含建立或刪除頁面的功能。
要添加、修改或刪除權限,請執行以下操作:
-
在 安全性 控制台,按兩下要為或設定權限的用戶或組的名稱 搜索節點.
-
按一下 權限 標籤。
-
在樹網格中,選擇一個複選框,以允許所選用戶或組執行操作,或清除一個複選框以拒絕所選用戶或組執行操作。 如需詳細資訊,請按一下 詳細資料.
-
完成後,按一下 儲存.
設定復寫權限 setting-replication-privileges
復寫權限是發佈內容的權利,可為群組和使用者設定。
- 套用至群組的任何復寫權限皆適用於該群組中的所有使用者。
- 用戶的複製權限取代組的複製權限。
- 允許複製權限的優先順序高於拒絕複製權限。 請參閱 AEM中的權限 以取得更多資訊。
要設定複製權限,請執行以下操作:
-
從清單中選取使用者或群組,按兩下以開啟,然後按一下 權限.
-
在網格中,導覽至您希望使用者擁有復寫權限或 搜索節點。
-
在 複製 列,選擇一個複選框以添加該用戶或組的複製權限,或清除該複選框以刪除複製權限。 AEM會在您所做變更尚未儲存的任何位置顯示紅色三角形。
-
按一下 儲存 來儲存變更。
搜索節點 searching-for-nodes
新增或移除權限時,您可以瀏覽或搜尋節點。
路徑搜尋有兩種不同類型:
- 路徑搜尋 — 如果搜尋字串的開頭為「/」,則搜尋會搜尋指定路徑的直接子節點:
在搜尋方塊中,您可以執行下列動作:
- 全文搜索 — 如果搜索字串的開頭不是"/",則對路徑"/content"下的所有節點執行全文搜索。
要對路徑或全文執行搜索:
-
在安全控制台中,選擇用戶或組,然後按一下 權限 標籤。
-
在「搜索」框中,輸入要搜索的詞。
模擬使用者 impersonating-users
您可以指定一或多個允許模擬目前使用者的使用者。 這表示他們可以將其帳戶設定切換為目前使用者的帳戶設定,並代表此使用者行事。
使用此函式時請小心,因為它可能允許使用者執行其自己使用者無法執行的動作。 模擬使用者時,系統會通知使用者自己未登入。
您可能會想要使用此功能的各種案例,包括:
- 如果您不在辦公室,可以讓其他人在您不在的時候模擬您。 使用此功能,您可以確保某人擁有您的訪問權限,而且您不需要修改用戶配置檔案或洩露您的密碼。
- 您可將其用於除錯用途。 例如,若要查看網站如何尋找具有限制存取權限的使用者。 此外,如果用戶抱怨技術問題,您可以模擬該用戶以診斷和修復問題。
要模擬現有用戶:
-
在樹清單中,選擇要為其分配其他用戶進行模擬的人員的名稱。 按兩下以開啟。
-
按一下 模擬者 標籤。
-
按一下您要能夠模擬所選使用者的使用者。 將使用者(將模擬的使用者)從清單拖曳至「模擬」窗格。 名稱會出現在清單中。
-
按一下「儲存」。
設定使用者和群組偏好設定 setting-user-and-group-preferences
要設定用戶和組首選項,包括語言、窗口管理和工具欄首選項:
-
在左側樹中選擇要更改其首選項的用戶或組。 若要選取多個使用者或群組,請按住Ctrl鍵並按一下或按住Shift鍵並按一下您的選取項目。
-
按一下 偏好設定 標籤。
-
視需要對群組或使用者偏好設定進行變更,然後按一下 儲存 完成時。
設定使用者或管理員擁有管理其他使用者的權限 setting-users-or-administrators-to-have-the-privilege-to-manage-other-users
若要設定使用者或管理員擁有刪除/啟用/停用其他使用者的權限:
-
將要授予管理其他用戶權限的用戶添加到管理員組並保存更改。
-
在使用者的 權限 頁簽,導覽至「/」,然後在「復寫」欄中選取核取方塊以允許在「/」進行復寫,然後按一下 儲存.
選取的使用者現在能停用、啟用、刪除及建立使用者。
擴展項目級別的權限 extending-privileges-on-a-project-level
如果您打算實作應用程式特定權限,下列資訊將說明實作自訂權限所需了解的事項,以及如何在CQ中強制執行該權限:
層次結構修改權限由jcr權限的組合覆蓋。 複製權限已命名 crx:replicate 與jcr儲存庫上的其他權限一起儲存/評估。 但是,它沒有在jcr層級執行。
自訂權限的定義和註冊是 Jackrabbit API 截至2.4版(另請參閱 JCR-2887)。 JCR存取控制管理涵蓋進一步使用,如 JSR 283 (第16節)。 此外,Jackrabbit API定義一些擴充功能。
權限註冊機制會反映在 儲存庫配置.
新(自訂)權限的註冊本身受必須在儲存庫級別(在JCR中:在ac mgt api中將'null'傳遞為'absPath'參數,如需詳細資訊,請參閱jsr 333)。 依預設, 管理員 而管理員的所有成員都擁有該權限。