- 管理ユーザガイドの概要
- Sites の機能
- 運用
- ダッシュボード
- 操作ダッシュボード
- バックアップと復元
- データストアのガベージコレクション
- JMX コンソールを使用したサーバーリソースの監視
- ログの使用
- AEM 6 での監査ログのメンテナンス
- リッチテキストエディターの設定
- アクセス可能なサイトを生成するための RTE の設定
- ページ編集のための取り消しの設定
- リッチテキストエディタープラグインの設定
- ビデオコンポーネントの設定
- Bulk Editor
- 電子メール通知の設定
- リンクチェッカー
- AEM のトラブルシューティング
- ワークフローへのアクセスの管理
- ワークフローの開始
- ワークフローの管理
- ワークフローインスタンスの管理
- AEM での cURL の使用
- プロキシサーバーツール(proxy.jar)
- AEM アプリケーション用の設定
- 検索フォームの設定
- ツールコンソール
- レポート
- レイアウトコンテナおよびレイアウトモードの設定
- 編集者
- クラシック UI へのアクセスの有効化
- 管理コンソール
- セキュリティ
- ユーザー管理とセキュリティ
- ユーザー、グループおよびアクセス権限の管理
- セキュリティチェックリスト
- OWASP Top 10
- 実稼動準備モードでの AEM の実行
- ID 管理
- AEM Managed Services に対する Adobe IMS 認証およびアドミンコンソールのサポート
- 閉じられたユーザーグループの作成
- AEM でのシリアル化の問題の軽減
- ユーザーの同期
- カプセル化されたトークンのサポート
- シングルサインオン
- AEM でのユーザー管理操作を監査する方法
- デフォルトの SSL
- SAML 2.0 認証ハンドラー
- AEM の閉じられたユーザーグループ
- Granite の操作 - ユーザー管理とグループ管理
- AEM での CRXDE Lite の有効化
- AEM 6 での LDAP の設定
- インストール時の admin パスワードの設定
- AEM のサービスユーザー
- 設定プロパティの暗号化サポート
- AEM の基盤での GDPR 要求の処理
- 権限管理のプリンシパルビュー
- Content Disposition フィルター
- AEM 6.5 のカスタムユーザグループマッピング
- 同じサイトのcookieのサポート
- パーソナライゼーション
- e コマース
- 統合
- サードパーティのサービスとの統合
- Salesforce との統合
- Adobe Target との統合
- Adobe Analytics との統合
- Adobe Analytics への接続とフレームワークの作成
- Adobe Analytics のリンクトラッキングの設定
- コンポーネントデータと Adobe Analytics プロパティとのマッピング
- Adobe Analytics のビデオトラッキングの設定
- コンテンツの HTTP/2 配信の FAQ
- Adobe Campaign 統合に関するトラブルシューティング
- SharePoint Connector のライセンス、著作権情報および免責事項
- SharePoint コネクター
- DHTML ビューアのサポート終了に関する FAQ
- Adobe Campaign Classic との統合
- 関連するコミュニティ記事
- Adobe Campaign Standard との統合
- Flash ビューアのサポート終了に関する通知
- 製品フィード
- Adobe Dynamic Tag Management との統合
- Adobe Analytics および Adobe Target との統合のオプトイン
- AEM ポータルとポートレット
- Dynamic Media Classic(Scene7)との統合
- AEM Livefyre のレシピ
- 統合に関する問題のトラブルシューティング
- BrightEdge Content Optimizer との結合
- カタログ作成
- Experience Cloud および Creative Cloud との AEM Assets 統合の設定
- Silverpop Engage との統合
- Adobe Campaign との統合
- ExactTarget との統合
- Analytics と外部プロバイダー
- Adobe Marketing Cloud との統合
- 手動での Adobe Target との統合の設定
- Adobe Target との統合の前提条件
- Adobe I/O を使用した Adobe Target との統合
- Adobe 分類
- Adobe Search&Promote との統合
- ソリューション統合
- エクスペリエンスフラグメントのAdobe Targetへの書き出し
- 電子メールテンプレートのベストプラクティス
- Livefyre との統合
- ベストプラクティス
AEM のサービスユーザー
概要
AEMで管理セッションまたはリソースリゾルバーを取得する主な方法は、Slingが提供するSlingRepository.loginAdministrative()メソッドとResourceResolverFactory.getAdministrativeResourceResolver()メソッドを使用することです。
ただし、これらのメソッドはいずれも最小権限の原則に基づいて設計されておらず、開発者がコンテンツの構造や対応するアクセス制御レベル(ACL)を早期に適切に計画しないことがよくあります。そのため、このようなサービスに脆弱性があると、コード自体を動作させるのに管理者権限が不要であっても、admin ユーザーへの権限のエスカレーションが発生することがよくあります。
管理セッションの廃止方法
優先度0:この機能はアクティブ/必要/中断されているか。
管理セッションが使用されていなかったり、機能が完全に無効化されている場合があります。現在の実装環境がこれに当てはまる場合は、機能を削除するか、NOP コードを埋め込んでください。
優先度 1:要求セッションの使用
可能な限り、機能のリファクタリングをおこなって、コンテンツの読み取りや書き込みに特定の認証済み要求セッションを使用できるようにしてください。それが可能でなくても、ほとんどの場合は、以降で説明する方法に従って優先度を適用することによって対応できます。
優先度 2:コンテンツの再構築
問題の多くは、コンテンツを再構築することによって解決できます。再構築する際には、次の単純なルールに留意してください。
-
アクセス制御を変更する
- 本当にアクセスを必要とするユーザーまたはグループに実際にアクセス権を付与するようにします。
-
コンテンツ構造を調整する
- コンテンツを他の場所(使用可能な要求セッションとアクセス制御が一致する場所など)に移動します。
- コンテンツの精度を変更します。
-
コードのリファクタリングをおこなって適切なサービスになるようにする
- JSP コードからサービスにビジネスロジックを移動します。こうすると、様々なコンテンツモデリングが可能になります。
また、新機能を開発する場合は、次の原則に従ってください。
-
セキュリティ要件に従ってコンテンツ構造を決定する
- アクセス制御の管理は自然な形でおこなう必要があります。
- アクセス制御はアプリケーションではなくリポジトリによって適用する必要があります。
-
ノードタイプを使用する
- 設定可能なプロパティセットを制限します。
-
プライバシー設定に配慮する
- プライベートプロファイルの場合、例えば、プライベート
/profileノード上のプロファイルの画像、電子メール、またはフルネームを公開しないことが考えられます。
- プライベートプロファイルの場合、例えば、プライベート
厳格なアクセス制御
コンテンツの再構築時にアクセス制御を適用する場合でも、新しいサービスユーザーに対して適用する場合でも、可能な限り厳密なACLを適用する必要があります。 考えられるすべてのアクセス制御機能を使用してください。
-
例えば、
/appsにjcr:readを適用する代わりに、/apps/*/components/*/analyticsにのみ適用します -
制限を使用します。
-
ノードタイプに ACL を適用します。
-
権限を制限します。
- 例えば、プロパティの書き込みだけが必要な場合は、
jcr:write権限を与えないでください。代わりにjcr:modifyPropertiesを使用
- 例えば、プロパティの書き込みだけが必要な場合は、
サービスユーザーとマッピング
上記の処理が失敗した場合、Sling 7ではService User Mappingサービスがオファーされます。これにより、バンドルとユーザーのマッピングと、対応する2つのAPIメソッドを設定できます。 [SlingRepository.loginService()](https://sling.apache.org/apidocs/sling7/org/apache/sling/jcr/api/SlingRepository.html#loginService-java.lang.String-java.lang.String-)と [ResourceResolverFactory.getServiceResourceResolver()](https://sling.apache.org/apidocs/sling7/org/apache/sling/api/resource/ResourceResolverFactory.html#getServiceResourceResolver-java.util.Map-)は、設定されたユーザーのみの権限を持つセッション/リソースリゾルバを返します。 これらのメソッドの特徴は次のとおりです。
-
サービスをユーザーにマッピングできます。
-
サブサービスユーザーを定義できます。
-
中央設定ポイントは
org.apache.sling.serviceusermapping.impl.ServiceUserMapperImplです。 -
service-id=service-name[ ":" subservice-name ] -
service-idは、認証用にリソースリゾルバーまたは JCR リポジトリユーザー ID(あるいはその両方)にマッピングされます。 -
service-nameは、サービスを提供するバンドルの記号名です。
その他の推奨事項
admin-session を service-user に置き換える
サービスユーザーとは、パスワードを設定しておらず、特定のタスクを実行するために必要な最小限の権限を持つ JCR ユーザーのことです。パスワードを設定していないということは、サービスユーザーとしてはログインできないことを意味します。
管理セッションを廃止するには、管理セッションをサービスユーザーセッションに置き換えます。必要に応じて、複数のサブサービスユーザーに置き換えることもできます。
管理セッションをサービスユーザーに置き換えるには、次の手順を実行します。
-
最小権限の原則を念頭に置いて、サービスに必要な権限を特定します。
-
必要な権限が正確に設定されたユーザーが既に存在するかどうかをチェックします。既存のユーザーがニーズを満たさない場合は、新しいシステムサービスユーザーを作成します。新しいサービスユーザーを作成するには、RTC が必要です。場合によっては、複数のサブサービスユーザー(例えば、書き込み用と読み取り用にそれぞれ 1 つ)を作成して、アクセスをさらに区分化します。
-
ユーザーに対する ACE を設定してテストします。
-
ご追加使用のサービスと
user/sub-usersのservice-userマッピング -
サービスユーザーの sling 機能をバンドルから使用できるようにします。つまり、
org.apache.sling.apiを最新バージョンに更新します。 -
コード内の
admin-sessionをloginServiceまたはgetServiceResourceResolverAPIに置き換えます。
新しいサービスユーザーの作成
ユースケースに適したユーザーが AEM サービスユーザーのリストに存在せず、対応する RTC の発行が承認されていることを確認したら、デフォルトコンテンツに新しいユーザーを追加できます。
推奨されるアプローチは、https://<server>:<port>/crx/explorer/index.jspにあるリポジトリエクスプローラーを使用するサービスユーザーを作成することです。
目的は、有効な jcr:uuid プロパティを取得することです。このプロパティは、コンテンツパッケージのインストール環境を使用してユーザーを作成する場合に必須です。
サービスユーザーは次の方法で作成できます。
-
https://<server>:<port>/crx/explorer/index.jspにあるリポジトリエクスプローラーに移動します。
-
画面の左上隅にある「ログイン」リンクをクリックして、admin としてログインします。
-
次に、システムユーザーを作成して名前を付けます。ユーザーをシステムユーザーとして作成するには、中間パスとして
systemを設定し、ニーズに合わせてオプションのサブフォルダーを追加します。
-
システムユーザーノードが次のようになっていることを確認します。
メモサービスユーザーに mixin タイプが関連付けられていないことに注意してください。これは、システムユーザーに対するアクセス制御ポリシーが存在しないことを意味します。
対応する .content.xml をバンドルのコンテンツに追加する際には、rep:authorizableId を設定し、プライマリタイプを rep:SystemUser にしてください。次のようになります。
<?xml version="1.0" encoding="UTF-8"?>
<jcr:root xmlns:jcr="https://www.jcp.org/jcr/1.0" xmlns:rep="internal"
jcr:primaryType="rep:SystemUser"
jcr:uuid="4917dd68-a0c1-3021-b5b7-435d0044b0dd"
rep:principalName="authentication-service"
rep:authorizableId="authentication-service"/>
ServiceUserMapper 設定への修正の追加
サービスから対応するシステムユーザーへのマッピングを追加するには、 [ServiceUserMapper](https://sling.apache.org/apidocs/sling7/org/apache/sling/serviceusermapping/ServiceUserMapper.html) サービスのファクトリ設定を作成する必要があります。この操作をモジュール化するには、Sling 修正メカニズムを使用してこのような設定をおこなうことができます。このような設定をバンドルと共にインストールする場合は、Sling の初期コンテンツ読み込み機能を使用することをお勧めします。
-
バンドルのsrc/main/resourcesフォルダーの下にサブフォルダーSLING-INF/contentを作成します
-
このフォルダーに、org.apache.sling.serviceusermapping.impl.ServiceUserMapperImpl.amended-<some unique name for your factory configuration>.xmlという名前のファイルを作成し、ファクトリ設定の内容(すべてのサブサービスユーザーマッピングを含む)を入力します。 例:
-
バンドルの
src/main/resourcesフォルダーの下にSLING-INF/contentフォルダーを作成します。 -
このフォルダーに、すべてのサブサービスユーザーマッピングを含む、ファクトリ構成の内容を含むファイル
named org.apache.sling.serviceusermapping.impl.ServiceUserMapperImpl.amended-<a unique name for your factory configuration>.xmlを作成します。例示のために、
org.apache.sling.serviceusermapping.impl.ServiceUserMapperImpl.amended-com.adobe.granite.auth.saml.xmlというファイルを取り上げています。<?xml version="1.0" encoding="UTF-8"?> <node> <primaryNodeType>sling:OsgiConfig</primaryNodeType> <property> <name>user.default</name> <value></value> </property> <property> <name>user.mapping</name> <values> <value>com.adobe.granite.auth.saml=authentication-service</value> </values> </property> </node> -
バンドルの
pom.xml内のmaven-bundle-pluginの設定でSlingの初期コンテンツを参照します。 例:<Sling-Initial-Content> SLING-INF/content;path:=/libs/system/config;overwrite:=true; </Sling-Initial-Content> -
バンドルをインストールし、ファクトリ設定がインストールされていることを確認します。手順は次のとおりです。
- Webコンソール(https://serverhost:serveraddress/system/console/configMgr)に移動します。
- Apache Sling Service User Mapper Service Amendment を探します。
- リンクをクリックして、設定が適切におこなわれていることを確認します。
サービスでの共有セッションの処理
loginAdministrative()への呼び出しは、多くの場合、共有セッションと共に表示されます。 これらのセッションはサービスのアクティベート時に取得され、サービスが停止された場合にのみログアウトされます。これは一般的な方法ですが、次の2つの問題が生じます。
- セキュリティ:このような管理セッションは、共有セッションにバインドされているリソースやその他のオブジェクトをキャッシュしたり、返したりする目的で使用されます。その後、呼び出しスタックではこれらのオブジェクトが昇格された権限でセッションまたはリソースリゾルバーに適応される可能性があり、それが操作中の管理セッションであるかどうかを呼び出し元が判別できなくなることがよくあります。
- パフォーマンス: Oak では、共有セッションはパフォーマンス問題の原因となることがあるので、現在使用は推奨されていません。
セキュリティ上のリスクの最も明白な解決策は、loginAdministrative()呼び出しをloginService()呼び出しに置き換えるだけで、制限付きの権限を持つユーザに対して行うことです。 ただし、この方法は潜在的なパフォーマンスの低下には効果がありません。代わりに、セッションに関連しないオブジェクトに要求されたすべての情報をラップすることによって、パフォーマンスの低下を軽減できる可能性があります。その後、要求に応じてセッションを作成(または破棄)します。
推奨されるアプローチは、サービスの API のリファクタリングをおこなって、呼び出し元がセッションの作成と破棄を制御できるようにすることです。
JSP の管理セッション
関連するサービスがないため、JSPはloginService()を使用できません。 ただし、JSPの管理セッションは、通常、MVCパラダイムの違反の兆候です。
これは次の 2 つの方法で解決できます。
- ユーザーセッションで操作できるようにコンテンツを再構築します。
- JSP で使用できる API を備えたサービスにロジックを抽出します。
推奨される方法は前者です。
イベント、レプリケーション、プリプロセッサーおよびジョブの処理
イベントやジョブ、場合によってはワークフローを処理する際には、そのイベントのトリガーとなった該当セッションは通常失われます。その結果、イベントハンドラーやジョブプロセッサーでは、多くの場合、管理セッションを使用して処理がおこなわれます。様々なアプローチによってこの問題を解決できますが、それぞれ利点と欠点があります。
-
user-idをイベントペイロードに渡し、代理実行を使用します。利点: 使いやすさ。
デメリット: まだ使用
loginAdministrative()中です。認証済みの要求が再認証されます。 -
データへのアクセス権限を持つサービスユーザーを作成または再利用します。
利点:現在の設計と一貫している。変更が最小限で済みます。
デメリット:非常に強力なサービスユーザーが柔軟に対応できる 必要があり、その結果、特権エスカレーションが容易になります。セキュリティモデルに抜け道ができます。
-
Subjectのシリアル化をイベントペイロードに渡し、そのサブジェクトに基づいてResourceResolverを作成します。例えば、doAsPrivilegedで JAASResourceResolverFactoryを使用します。利点:セキュリティの観点からクリーンな実装。再認証は回避し、元の権限で動作します。セキュリティ関連のコードはイベントの消費者に対して透過的です。
デメリット:リファクタリング が必要です。セキュリティ関連のコードがイベントの消費者に対して透過的であることから、問題に発展する可能性があります。
3 番目のアプローチが現在推奨されている処理手法です。
ワークフロープロセス
ワークフロープロセス実装では、ワークフローのトリガーとなった該当ユーザーセッションは通常失われます。その結果、ワークフロープロセスでは、多くの場合、管理セッションを使用して処理がおこなわれます。
このような問題を修正するには、イベント、レプリケーション、プリプロセッサーおよびジョブの処理で説明したものと同じアプローチを使用することをお勧めします。
Sling POST プロセッサーと削除されたページ
Sling POST プロセッサーの実装では、いくつかの管理セッションが使用されます。通常、管理セッションは、処理中の POST 内で削除待ちになっているノードにアクセスするために使用されます。そのため、要求セッションからは使用できません。削除待ちのノードにアクセスすると、本来アクセスできないメタデータを取得できます。
このページ
