Beheer van gebruikers-, groep- en toegangsrechten

Het toelaten van toegang tot een gegevensopslagplaats CRX impliceert verscheidene onderwerpen:

• Toegangsrechten - de concepten hoe zij worden bepaald en geëvalueerd

• Gebruikersbeheer : individuele accounts beheren die worden gebruikt voor toegang

• Groepsbeheer - vereenvoudig gebruikersbeheer door groepen te vormen

• Toegang tot Right Management - beleidsregels definiëren die bepalen hoe deze gebruikers en groepen toegang hebben tot bronnen

De basiselementen zijn:

GebruikersaccountsCRX verifieert de toegang door een gebruiker (door die persoon of een andere toepassing) te identificeren en te verifiëren volgens de gegevens in de gebruikersaccount.

In CRX is elk gebruikersaccount een knooppunt in de werkruimte. Een CRX-gebruikersaccount heeft de volgende eigenschappen:

• Deze vertegenwoordigt één gebruiker van CRX.

• Deze bevat een gebruikersnaam en wachtwoord.

• Is van toepassing op die werkruimte.

• Het kan geen subgebruikers hebben. Voor hiërarchische toegangsrechten zou u groepen moeten gebruiken.

• U kunt toegangsrechten opgeven voor de gebruikersaccount.

  Om het beheer te vereenvoudigen raden we u echter aan (in de meeste gevallen) toegangsrechten toe te wijzen aan groepsaccounts. Het toewijzen van toegangsrechten voor elke individuele gebruiker wordt snel zeer moeilijk te beheren (de uitzonderingen zijn bepaalde systeemgebruikers wanneer slechts één of twee instanties bestaan).

De rekeningen AccountsGroup van de groep zijn inzamelingen van gebruikers en/of andere groepen. Deze worden gebruikt om beheer te vereenvoudigen aangezien een verandering in de toegangsrechten die aan een groep worden toegewezen automatisch op alle gebruikers in die groep wordt toegepast. Een gebruiker hoeft niet tot een groep te behoren, maar behoort vaak tot een groep.

In CRX heeft een groep de volgende eigenschappen:

• Het vertegenwoordigt een groep gebruikers met gemeenschappelijke toegangsrechten. Bijvoorbeeld auteurs of ontwikkelaars.

• Is van toepassing op die werkruimte.

• Het kan leden hebben; dit kunnen individuele gebruikers of andere groepen zijn .

• U kunt een hiërarchische groepering maken met lidrelaties. U kunt een groep niet direct onder een andere groep in de repository plaatsen.

• U kunt de toegangsrechten voor alle groepsleden bepalen.

Access RightsCRX gebruikt toegangsrechten om toegang tot specifieke gebieden van de opslagplaats te beheren.

Dit wordt gedaan door voorrechten toe te wijzen om of toegang tot een middel (knoop of weg) in de bewaarplaats toe te staan of te ontkennen. Aangezien verschillende voorrechten kunnen worden toegewezen, moeten zij worden geëvalueerd om te bepalen welke combinatie voor het huidige verzoek van toepassing is.

CRX staat u toe om de toegangsrechten voor zowel gebruiker als groepsrekeningen te vormen. Vervolgens worden dezelfde basisbeginselen voor de evaluatie toegepast op beide.

Hoe de Rechten van de Toegang worden geëvalueerd

Onderwerpen en Opdrachten

CRX gebruikt twee zeer belangrijke concepten wanneer het evalueren van toegangsrechten:

• Een principal is een entiteit die toegangsrechten draagt. Belangrijkste punten zijn:

  • Een gebruikersaccount.

  • Een groepsaccount

    Als een gebruikersaccount bij een of meer gebruikersaccounts hoort, wordt deze ook aan elk van deze groepshoofden gekoppeld.

• Een subject wordt gebruikt om de bron van een verzoek te vertegenwoordigen.

  Het wordt gebruikt om de toegangsrechten die op dat verzoek van toepassing zijn, te consolideren. Deze zijn afkomstig van:

  • De principal van de gebruiker

    De rechten die u rechtstreeks aan de gebruikersaccount toewijst.

  • Alle groepshoofden verbonden aan die gebruiker

    Alle rechten die zijn toegewezen aan een van de groepen waartoe de gebruiker behoort.
    Het resultaat wordt dan gebruikt om toegang tot het gevraagde middel toe te staan of te ontkennen.

Opstellen van de lijst van toegangsrechten voor een onderwerp

In CRX is het onderwerp afhankelijk van:

• de principal van de gebruiker
• alle groepshoofden die aan die gebruiker worden geassocieerd

De lijst van toegangsrechten die van toepassing zijn op het onderwerp is samengesteld uit:

• de rechten die u rechtstreeks aan de gebruikersaccount toewijst
• plus alle rechten die zijn toegewezen aan een van de groepen waartoe de gebruiker behoort

Aanvraag- en toegangsrechten oplossen

Wanneer CRX het verzoek behandelt het het toegangsverzoek van het onderwerp met de toegangsbeheerlijst op de gegevensopslaggegevensopslagknoop vergelijkt:

Dus als Linda vraagt om het /features knooppunt bij te werken in de volgende repository structuur:

Volgorde

Toegangsrechten in CRX worden als volgt beoordeeld:

• De hoofden van de gebruiker nemen altijd belangrijkheid over groepshoofden ongeacht:

  • hun orde in de toegangsbeheerlijst
  • hun positie in de knooppunthiërarchie

• Voor een bepaalde principal bestaat (hoogstens) 1 ontkent en 1 staat ingang op een bepaalde knoop toe. De implementatie ontruimt altijd overtollige ingangen en zorgt ervoor dat het zelfde voorrecht niet in zowel toestaat als ontkent ingangen vermeld is.

Twee voorbeelden waarbij de gebruiker aUser lid is van de groep aGroup:

   + parentNode
     + acl
       + ace: aUser - deny - write
     + childNode
       + acl
         + ace: aGroup - allow - write
       + grandChildNode

In het bovenstaande geval:

• aUser geen schrijfmachtiging is verleend op grandChildNode.

   + parentNode
     + acl
       + ace: aUser - deny - write
     + childNode
       + acl
         + ace: aGroup - allow - write
         + ace: aUser - deny - write
       + grandChildNode

In dit geval:

• aUser geen schrijfmachtiging is verleend op grandChildNode.

• De tweede ACE voor aUser is overtollig.

De rechten van de toegang van veelvoudige groepshoofden worden geëvalueerd gebaseerd op hun orde, zowel binnen de hiërarchie als binnen één enkele toegangsbeheerlijst.

Best practices voor

In de volgende tabel vindt u een aantal aanbevelingen en aanbevolen procedures:

Gebruikersbeheer

Een standaarddialoogvenster wordt gebruikt voor Gebruikersbeheer.

U moet in de aangewezen werkruimte worden geregistreerd, dan kunt u tot de dialoog van allebei toegang hebben:

• de koppeling Gebruikersbeheer in de hoofdconsole van CRX
• het menu Beveiliging van de CRX Explorer

Eigenschappen

• ​
  Gebruikt door de gebruikersnaam van UserIDShort voor de account bij toegang tot CRX.

• Principal
  NameA full text name for the account.

• ​
  PasswordNeeded wanneer access CRX with this account.

• ​
  ntlmhashAutomatisch toegewezen voor elke nieuwe account en bijgewerkt wanneer het wachtwoord wordt gewijzigd.

• U kunt nieuwe eigenschappen toevoegen door een naam, type en waarde te definiëren. Klik op Opslaan (groen verdeelstreepje) voor elke nieuwe eigenschap.

GroepslidmaatschapHiermee worden alle groepen weergegeven waartoe de account behoort. De kolom Overgenomen geeft het lidmaatschap aan dat is overgeërfd als gevolg van het lidmaatschap van een andere groep.

Als u op een GroupID klikt (indien beschikbaar), wordt Groepsbeheer voor die groep geopend.

​​ImpersonatorsMet de functie Imiteren kan een gebruiker namens een andere gebruiker werken.

Dit betekent dat een gebruikersaccount andere accounts (gebruiker of groep) kan opgeven die met hun account kunnen werken. Met andere woorden, als gebruiker-B wordt toegestaan om gebruiker-A na te bootsen, dan kan gebruiker-B actie ondernemen gebruikend de volledige rekeningsdetails van gebruiker-A (met inbegrip van identiteitskaart, naam en toegangsrechten).

Hierdoor kunnen imitatoraccounts taken uitvoeren alsof ze de account gebruiken die ze nadoen. bijvoorbeeld tijdens afwezigheid of om een buitensporige last op korte termijn te delen.

Als een rekening zich een andere imiteert, is het erg moeilijk te zien. De logboekdossiers houden geen informatie over het feit dat de imitatie op de gebeurtenissen is voorgekomen. Dus als user-B zich gebruiker-A imiteert zullen alle gebeurtenissen kijken alsof zij door gebruiker-A persoonlijk werden uitgevoerd.

Een gebruikersaccount maken

1. Open het dialoogvenster Gebruikersbeheer.

2. Klik Gebruiker maken.

3. Vervolgens kunt u de eigenschappen invoeren:

   • ​​Gebruikte gebruikersnaam als accountnaam.
   • ​​Wachtwoord vereist bij aanmelden.
   • De belangrijkste Naam om een volledige textuele naam te verstrekken.
   • Tussenweg die kan worden gebruikt om een boomstructuur te vormen.

4. Klik op Opslaan (groen vinkje).

5. Het dialoogvenster wordt uitgebreid, zodat u:

   1. Configureer Eigenschappen.
   2. Zie Groepslidmaatschap.
   3. Definieer Impersonators.

Een gebruikersaccount bijwerken

1. Open in het dialoogvenster Gebruikersbeheer de lijstweergave van alle accounts.

2. Navigeer door de boomstructuur.

3. Klik op de vereiste account om te openen voor bewerking.

4. Breng een wijziging aan en klik vervolgens op Opslaan (groen verdeelstreepje) voor die vermelding.

5. Klik Close om te beëindigen, of List… om terug te keren naar de lijst met alle gebruikersaccounts.

Een gebruikersaccount verwijderen

1. Open in het dialoogvenster Gebruikersbeheer de lijstweergave van alle accounts.

2. Navigeer door de boomstructuur.

3. Selecteer de vereiste account en klik op Gebruiker verwijderen; het account wordt onmiddellijk verwijderd.

Eigenschappen definiëren

U kunt Eigenschappen voor of nieuwe of bestaande rekeningen bepalen:

1. Open het dialoogvenster Gebruikersbeheer voor de juiste account.
2. Definieer een naam van een eigenschap.
3. Selecteer Type van de drop-down lijst.
4. Definieer de Waarde.
5. Klik op Opslaan (groen kliksymbool) voor de nieuwe eigenschap.

Bestaande eigenschappen kunnen met het prullenbaksymbool worden verwijderd.

Met uitzondering van het Wachtwoord, kunnen de eigenschappen niet worden uitgegeven, moeten zij worden geschrapt en worden ontspannen.

Het wachtwoord wijzigen

Password is een speciale eigenschap die kan worden gewijzigd door op de Wachtwoord wijzigen-koppeling te klikken.

U kunt het wachtwoord in uw eigen gebruikersrekening van Veiligheid menu in de Ontdekkingsreiziger ook veranderen CRX.

Een imitator definiëren

U kunt imitators definiëren voor nieuwe of bestaande accounts:

1. Open het dialoogvenster Gebruikersbeheer voor de juiste account.

2. Geef op welk account u als lid van dat account wilt gebruiken.

   U kunt Bladeren gebruiken… om een bestaande account te selecteren.

3. Klik op Opslaan (groen verdeelstreepje) voor de nieuwe eigenschap.

Groepsbeheer

Een standaarddialoogvenster wordt gebruikt voor Groepsbeheer.

U moet in de aangewezen werkruimte worden geregistreerd, dan kunt u tot de dialoog van allebei toegang hebben:

• de Groepsbeheer-koppeling op de hoofdconsole van CRX
• het menu Beveiliging van de CRX Explorer

Eigenschappen

• ​
  GroupIDShort-naam voor de groepsaccount.

• Principal
  NameA full text name for the group account.

• U kunt nieuwe eigenschappen toevoegen door een naam, type en waarde te definiëren. Klik op Opslaan (groen verdeelstreepje) voor elke nieuwe eigenschap.

• ​
  LedenU kunt gebruikers of andere groepen toevoegen als leden van deze groep.

GroepslidmaatschapHiermee worden alle groepen weergegeven waartoe de huidige groepsaccount behoort. De kolom Overgenomen geeft het lidmaatschap aan dat is overgeërfd als gevolg van het lidmaatschap van een andere groep.

Als u op een GroupID klikt, wordt het dialoogvenster voor die groep geopend.

​​LedenHiermee geeft u alle accounts (gebruikers en/of groepen) weer die lid zijn van de huidige groep.

De Overgenomen kolom wijst op lidmaatschap dat als resultaat van lidmaatschap van een andere groep is geërft.

Een groepsaccount maken

1. Open het dialoogvenster Groepsbeheer.

2. Klik Groep maken.

3. Vervolgens kunt u de eigenschappen invoeren:

   • De belangrijkste Naam om een volledige textuele naam te verstrekken.
   • Tussenweg die kan worden gebruikt om een boomstructuur te vormen.

4. Klik op Opslaan (groen vinkje).

5. Het dialoogvenster wordt uitgebreid, zodat u:

   1. Configureer Eigenschappen.
   2. Zie Groepslidmaatschap.
   3. Leden beheren.

Een groepsaccount bijwerken

1. Open in het dialoogvenster Groepsbeheer de lijstweergave van alle accounts.

2. Navigeer door de boomstructuur.

3. Klik op de vereiste account om te openen voor bewerking.

4. Breng een wijziging aan en klik vervolgens op Opslaan (groen verdeelstreepje) voor die vermelding.

5. Klik Close om te beëindigen, of List… om terug te keren naar de lijst van alle groepsaccounts.

Een groepsaccount verwijderen

1. Open in het dialoogvenster Groepsbeheer de lijstweergave van alle accounts.

2. Navigeer door de boomstructuur.

3. Selecteer de vereiste account en klik op Groep verwijderen; het account wordt onmiddellijk verwijderd.

Eigenschappen definiëren

U kunt Eigenschappen definiëren voor nieuwe of bestaande accounts:

1. Open het dialoogvenster Groepsbeheer voor de juiste account.
2. Definieer een naam van een eigenschap.
3. Selecteer Type van de drop-down lijst.
4. Definieer de Waarde.
5. Klik op Opslaan (groen verdeelstreepje) voor de nieuwe eigenschap.

Bestaande eigenschappen kunnen met het prullenbaksymbool worden verwijderd.

Leden

U kunt leden toevoegen aan de huidige groep:

1. Open het dialoogvenster Groepsbeheer voor de juiste account.

2. Ofwel:

   • Voer de naam in van het vereiste lid (gebruiker- of groepsaccount).
   • Of gebruik Bladeren… om naar de principal (gebruiker of groepsaccount) te zoeken en te selecteren die u wilt toevoegen.

3. Klik op Opslaan (groen verdeelstreepje) voor de nieuwe eigenschap.

Of verwijder een bestaand lid met het prullenbaksymbool.

Toegangsbeheer

Met Toegangsbeheer lusje van CRXDE Lite kunt u het beleid van de toegangscontrole bepalen en de verwante voorrechten toewijzen.

Voor Huidig pad selecteert u bijvoorbeeld de vereiste bron in het linkerdeelvenster, het tabblad Toegangsbeheer in het rechterbenedendeelvenster:

Het beleid wordt ingedeeld volgens:

• Toepasselijk
  beleid voor toegangsbeheerDit beleid kan worden toegepast.

  Dit zijn beleid dat beschikbaar is voor het creëren van een lokaal beleid. Zodra u selecteert en een toepasselijk beleid toevoegt wordt het een lokaal beleid.

• Het lokale Beleid
  van het ToegangsbeheerDit is het beleid van toegangsbeheer dat u hebt toegepast. U kunt deze vervolgens bijwerken, bestellen of verwijderen.

  Een lokaal beleid zal om het even welk beleid met voeten treden dat van de ouder wordt geërft.

• Het efficiënte
  Beleid van het ToegangsbeheerDit zijn het beleid van het toegangsbeheer dat nu voor om het even welke toegangsverzoeken van kracht is. Zij tonen het samengevoegde beleid dat uit zowel het lokale beleid als om het even welk wordt afgeleid die van de ouder wordt geërft.

Beleidsselectie

Het beleid kan worden geselecteerd voor:

• Huidige
  PathAs in het bovenstaande voorbeeld, selecteer een middel binnen de bewaarplaats. Het beleid voor dit "huidige pad" wordt weergegeven.

• ​
  RepositoryHiermee selecteert u toegangsbeheer op gegevensopslagniveau. Als u bijvoorbeeld de opdracht
  jcr:namespaceManagement privilege, dat alleen relevant is voor de gegevensopslagruimte, niet voor een knooppunt.

• ​
  PrincipalA principal die is geregistreerd in de repository.

  U kunt de naam Principal typen of op het pictogram rechts van het veld klikken om het dialoogvenster Select Principal te openen.

  Hierdoor kunt u Zoeken naar een Gebruiker of Groep. Selecteer de vereiste principal in de resulterende lijst en klik vervolgens op OK om de waarde terug te brengen naar het vorige dialoogvenster.

Bevoegdheden

De volgende voorrechten zijn beschikbaar voor selectie wanneer het toevoegen van een ingang van de toegangscontrole (zie Veiligheid API voor volledige details):

Registreren van nieuwe rechten

U kunt ook nieuwe rechten registreren:

1. Selecteer Gereedschappen op de werkbalk en Rechten om de momenteel geregistreerde rechten weer te geven.

   

2. Gebruik het Register Privilege pictogram (+) om de dialoog te openen en een nieuw voorrecht te bepalen:

   

3. Klik OK om op te slaan. Het voorrecht is nu beschikbaar voor selectie.

Een toegangsbeheeritem toevoegen

1. Selecteer uw bron en open Toegangsbeheer tabel.

2. Als u een nieuw Lokaal toegangsbeheerbeleid wilt toevoegen, klikt u op het pictogram + rechts van de lijst Toepasselijk toegangsbeheerbeleid:

   

3. Een nieuwe ingang verschijnt onder Lokaal Beleid van het Toegangsbeheer:

   

4. Klik op het pictogram + om een nieuwe vermelding toe te voegen:

   

   OPMERKING

   Er is momenteel een tijdelijke oplossing nodig om een lege tekenreeks op te geven.

   Hiervoor moet u "" gebruiken.

5. Bepaal uw toegangsbeheerbeleid en klik O.K. om te bewaren. Uw nieuwe beleid zal:

   • vermeld onder Lokaal beleid van het Toegangsbeheer
   • de wijzigingen worden doorgevoerd in het Effectief beleid voor toegangsbeheer.

CRX valideert uw selectie; voor een bepaalde principal bestaat (hoogstens) 1 ontkent en 1 staat ingang op een bepaald knooppunt toe. De implementatie ontruimt altijd overtollige ingangen en zorgt ervoor dat het zelfde voorrecht niet in zowel toestaat als ontkent ingangen vermeld is.

Plaatselijk beleid voor toegangsbeheer bestellen

De volgorde in de lijst geeft de volgorde aan waarin het beleid wordt toegepast.

1. In de lijst van Lokaal Beleid van het Toegangsbeheer selecteer de vereiste ingang en sleep het aan de nieuwe positie in de lijst.

   

2. De wijzigingen worden weergegeven in zowel de tabellen voor Lokaal als Effectief beleid voor toegangsbeheer.

Een toegangsbeheerbeleid verwijderen

1. In de lijst van Lokaal Beleid van het Toegangsbeheer klik het rode pictogram (-) rechts van de ingang.

2. De vermelding wordt verwijderd uit zowel de tabellen voor Lokaal als Effectief beleid voor toegangsbeheer.

Een toegangsbeheerbeleid testen

1. Selecteer Gereedschappen op de werkbalk CRXDE Lite en Toegangsbeheer testen….

2. Er wordt een nieuw dialoogvenster geopend in het rechterbovenvenster. Selecteer Pad en/of Principal die u wilt testen.

3. Klik Test om de resultaten voor uw selectie te zien:

   

Business.Adobe.com-bronnen

Style System Auto Form Fill Embedded Charts Web Content Management Customer Experience Management Digital Asset Management