Administração e segurança do usuário

Este capítulo descreve como configurar e manter a autorização do usuário e também descreve a teoria por trás de como a autenticação e a autorização funcionam em AEM.

Usuários e grupos em AEM

Esta seção trata mais detalhadamente das várias entidades e conceitos relacionados para ajudá-lo a configurar um conceito de gerenciamento de usuários fácil de manter.

Usuários

Os usuários farão logon no AEM com sua conta. Cada conta de usuário é exclusiva e contém os detalhes básicos da conta, juntamente com os privilégios atribuídos.

Os usuários são frequentemente membros de Grupos, o que simplifica a alocação dessas permissões e/ou privilégios.

Grupos

Grupos são coleções de usuários e/ou outros grupos; todos eles se chamam membros de um grupo.

A sua principal finalidade é simplificar o processo de manutenção, reduzindo o número de entidades a atualizar, uma vez que a alteração efetuada a um grupo é aplicada a todos os membros do grupo. Os grupos geralmente refletem:

  • um papel no âmbito do pedido; como alguém que tem permissão para navegar no conteúdo ou alguém que tem permissão para contribuir com conteúdo.
  • sua própria organização; você pode desejar estender as funções para diferenciar os contribuidores de diferentes departamentos quando eles estiverem restritos a diferentes ramificações na árvore de conteúdo.

Por conseguinte, os grupos tendem a permanecer estáveis, enquanto os utilizadores vêm e vão com mais frequência.

Com o planejamento e uma estrutura limpa, o uso de grupos pode refletir sua estrutura, fornecendo uma visão geral clara e um mecanismo eficiente de atualizações.

Built-in Users and Groups

AEM WCM instala vários usuários e grupos. Estes podem ser vistos quando você acessa o Console de segurança pela primeira vez após a instalação.

As tabelas a seguir listas cada item junto com:

  • uma breve descrição
  • quaisquer recomendações sobre alterações necessárias

Altere todas as senhas padrão (se você não excluir a conta em determinadas circunstâncias).

ID de usuário Tipo Descrição Recomendação

admin

Senha padrão: admin

Usuário

Conta de administração do sistema com direitos de acesso totais.

Esta conta é usada para a conexão entre AEM WCM e CRX.

Se você excluir acidentalmente essa conta, ela será recriada após a reinicialização do repositório (na configuração padrão).

A conta de administrador é um requisito da plataforma AEM. Consequentemente, esta conta não pode ser eliminada.

O Adobe recomenda que a senha desta conta de usuário seja alterada do padrão.

De preferência na instalação, embora possa ser feito depois.

Observação: Esta conta não deve ser confundida com a conta de administrador do CQ Servlet Engine.

anônimo

Usuário

Detém os direitos padrão para acesso não autenticado a uma instância. Por padrão, isso mantém os direitos mínimos de acesso.

Se você excluir acidentalmente esta conta, ela será recriada na inicialização. Não pode ser excluído permanentemente, mas pode ser desativado.

Evite excluir ou desativar esta conta, pois isso afetará negativamente o funcionamento das instâncias do autor. Se houver requisitos de segurança que o obriguem a excluí-lo, primeiro teste os efeitos que ele tem nos seus sistemas.

author

Senha padrão: autor

Usuário

Uma conta do autor com permissão para gravar em /content. Abrange privilégios de contribuinte e surfista.

Pode ser usado como um webmaster, pois tem acesso a toda a /árvore de conteúdo.

Este não é um usuário integrado, mas outro usuário de demonstração geometrixx

O Adobe recomenda que a conta seja totalmente excluída ou que a senha seja alterada a partir do padrão.

De preferência na instalação, embora possa ser feito depois.

administradores Grupo

Grupo que concede direitos de administrador a todos os seus membros. Somente o administrador tem permissão para editar esse grupo.

Tem direitos de acesso totais.

Se você definir um "negar a todos" em um nó, os administradores só terão acesso se ele for ativado novamente para esse grupo.
autores de conteúdo Grupo

Grupo responsável pela edição de conteúdo. Requer permissões de leitura, modificação, criação e exclusão.

Você pode criar seus próprios grupos de autores de conteúdo com direitos de acesso específicos ao projeto, desde que adicione permissões de leitura, modificação, criação e exclusão.
contribuinte Grupo

Privilégios básicos que permitem ao usuário gravar conteúdo (somente na funcionalidade).

Não aloca nenhum privilégio para a árvore /content - eles devem ser alocados especificamente para grupos individuais ou usuários.

hidrelétricas Grupo Grupo de referência predefinido para um usuário típico do AEM Assets. Os membros deste grupo têm privilégios apropriados para permitir o upload/compartilhamento de ativos e coleções.
everyone Grupo

Todos os usuários no AEM são membros do grupo e todos, mesmo que você não veja o grupo ou a relação de associação em todas as ferramentas.

Esse grupo pode ser considerado como os direitos padrão, pois pode ser usado para aplicar permissões a todos, até mesmo aos usuários que serão criados no futuro.

Não modifique ou exclua este grupo.

Modificar esta conta tem implicações adicionais de segurança.

administradores de tags Grupo Grupo que tem permissão para editar tags.
administradores de usuários Grupo Autoriza a administração do usuário, ou seja, o direito de criar usuários e grupos.
editores de fluxo de trabalho Grupo Grupo que tem permissão para criar e modificar modelos de fluxo de trabalho.
usuários do fluxo de trabalho Grupo

Um usuário que participe de um fluxo de trabalho deve ser membro de usuários de fluxo de trabalho de grupo. Isto dá-lhe pleno acesso: /etc/workflow/instance para que ela ou ela possa atualizar a instância do fluxo de trabalho.

O grupo está incluído na instalação padrão, mas é necessário adicionar manualmente os usuários ao grupo.

Permissões em AEM

AEM usa ACLs para determinar quais ações um usuário ou grupo pode realizar e onde pode executar essas ações.

Permissões e ACLs

As permissões definem quem pode executar quais ações em um recurso. As permissões são o resultado de avaliações de controles de acesso .

Você pode alterar as permissões concedidas/negadas a um determinado usuário marcando ou desmarcando as caixas de seleção das açõesAEM individuais. Uma marca de seleção indica que uma ação é permitida. Nenhuma marca de seleção indica que uma ação foi negada.

Onde a marca de seleção está localizada na grade também indica quais permissões os usuários têm em quais locais dentro do AEM (ou seja, quais caminhos).

Ações

As ações podem ser executadas em uma página (recurso). Para cada página na hierarquia, você pode especificar que ação o usuário tem permissão para realizar nessa página. As permissões permitem permitir ou negar uma ação.

Ação Descrição
Leitura O usuário tem permissão para ler a página e qualquer página secundária.
Modificar

O usuário pode:

  • modifique o conteúdo existente na página e em qualquer página secundária.
  • criar novos parágrafos na página ou em qualquer página secundária.

No nível do JCR, os usuários podem modificar um recurso modificando suas propriedades, bloqueando, verificando as versões, não modificando e têm permissão de gravação completa em nós que definem um nó filho jcr:content, por exemplo cq:Page, nt:file, cq:Asset.

Criar

O usuário pode:

  • criar uma nova página ou página secundária.

Se a modificação for negada, as subárvores abaixo de jcr:o conteúdo será excluído especificamente porque a criação de jcr:content e seus nós filhos são considerados uma modificação de página. Isso se aplica somente aos nós que definem um nó filho jcr:content.

Excluir

O usuário pode:

  • exclua parágrafos existentes da página ou de qualquer página secundária.
  • excluir uma página ou página secundária.

Se nenhuma modificação for negada, quaisquer subárvores abaixo de jcr:o conteúdo será especificamente excluído, pois a remoção de jcr:content e seus nós filhos serão considerados uma modificação de página. Isso se aplica somente aos nós que definem um nó filho jcr:content.

Ler ACL O usuário pode ler a lista do controle de acesso da página ou das páginas secundárias.
Editar ACL O usuário pode modificar a lista do controle de acesso da página ou qualquer página secundária.
Replicar O usuário pode replicar o conteúdo para outro ambiente (por exemplo, o ambiente Publicar). O privilégio também é aplicado a qualquer página secundária.
Observação

AEM gera automaticamente grupos de usuários para atribuição de funções (Proprietário, Editor, Visualizador) em Coleções. No entanto, adicionar manualmente ACLs para esses grupos pode apresentar vulnerabilidades de segurança dentro do AEM. A Adobe recomenda que você evite adicionar ACLs manualmente.

listas do controle de acesso e como elas são avaliadas

AEM WCM usa as Listas do Controle de acesso (ACLs) para organizar as permissões que estão sendo aplicadas às várias páginas.

As Listas do controle de acesso são constituídas pelas permissões individuais e são usadas para determinar a ordem na qual essas permissões são realmente aplicadas. A lista é formada de acordo com a hierarquia das páginas em questão. Essa lista é digitalizada de baixo para cima até que a primeira permissão apropriada para aplicar a uma página seja encontrada.

Observação

Há ACLs incluídas nas amostras. É recomendável que você analise e determine o que é apropriado para seus aplicativos. Para revisar as ACLs incluídas, vá para CRXDE e selecione a guia Controle de acesso para os seguintes nós:

/etc/cloudservices/facebookconnect/geometrixx-outdoorsfacebookapp: Permite que todos tenham acesso de leitura.
/etc/cloudservices/twitterconnect/geometrixx-outdoors-twitter-app: Permite que todos tenham acesso de leitura.
/home/users/geometrixx-outdoors: Permite que todos tenham acesso de leitura para */profile* e
*/social/relationships/following/*.

Seu aplicativo personalizado pode definir o acesso para outros relacionamentos, como */social/relationships/friend/* ou */social/relationships/pending-following/*.

Quando você cria ACLs específicas para comunidades, os membros que ingressam nessas comunidades podem receber permissões adicionais. Por exemplo, esse pode ser o caso quando os usuários ingressam nas comunidades em /content/geometrixx-outdoors/en/community/hiking ou /content/geometrixx-outdoors/en/community/winter-sports.

Estados de permissão

Observação

Para usuários do CQ 5.3:

Em contraste com as versões anteriores do CQ, a criação e a exclusão não devem mais ser concedidas se um usuário precisar apenas modificar páginas. Em vez disso, conceda a ação de modificação somente se você quiser que os usuários possam criar, modificar ou excluir componentes em páginas existentes.

Por motivos de compatibilidade com versões anteriores, os testes de ações não levam em conta o tratamento especial de nós que definem jcr:content .

Ação Descrição
Permitir (marca de seleção) AEM WCM permite que o usuário execute a ação nesta página ou em qualquer página secundária.
Negar (sem marca de seleção) AEM WCM não permite que o usuário execute a ação nesta página nem em nenhuma página secundária.

As permissões também são aplicadas a qualquer página secundária.

Se uma permissão não for herdada do nó pai, mas tiver pelo menos uma entrada local, os seguintes símbolos serão anexados à caixa de seleção. Uma entrada local é uma entrada criada na interface CRX 2.2 (atualmente, as ACLs curingas só podem ser criadas no CRX.)

Para uma ação em um determinado caminho:

* (asterisco) Existe pelo menos uma entrada local (efetiva ou ineficaz). Essas ACLs curingas são definidas no CRX.
! (ponto de exclamação) Há pelo menos uma entrada que não tem efeito no momento.

Ao passar o mouse sobre o asterisco ou ponto de exclamação, uma dica de ferramenta fornece mais detalhes sobre as entradas declaradas. A dica de ferramenta é dividida em duas partes:

Parte superior

Lista as entradas efetivas.

Parte inferior Lista as entradas não eficazes que podem ter um efeito em outro lugar da árvore (conforme indicado por um atributo especial presente com a ECA correspondente que limita o escopo da entrada). Como alternativa, esta é uma entrada cujo efeito foi revogado por outra entrada definida no caminho especificado ou em um nó ancestral.

chlimage_1-112

Observação

Se nenhuma permissão for definida para uma página, todas as ações serão negadas.

Veja a seguir recomendações sobre como gerenciar listas do controle de acesso:

  • Não atribua permissões diretamente aos usuários. Atribua-os somente a grupos.

    Isso simplificará a manutenção, já que o número de grupos é muito menor do que o número de usuários, e também menos volátil.

  • Se você deseja que um grupo/usuário possa apenas modificar páginas, não conceda a ele direitos de criação ou negação. Conceda somente a eles direitos de modificação e leitura.

  • Use Negar com moderação. Na medida do possível, use apenas Permitir.

    O uso de negação pode causar efeitos inesperados se as permissões forem aplicadas em uma ordem diferente da ordem esperada. Se um usuário for membro de mais de um grupo, as declarações Negar de um grupo poderão cancelar a instrução Permitir de outro grupo ou vice-versa. É difícil manter uma visão geral quando isso acontece e pode facilmente levar a resultados imprevistos, enquanto Permitir atribuições não gera tais conflitos.

    A Adobe recomenda que você trabalhe com Permitir em vez de Negar para ver as Práticasrecomendadas.

Antes de modificar qualquer permissão, certifique-se de entender como elas funcionam e se relacionam. Consulte a documentação do CRX para ilustrar como AEM WCM avalia os direitos de acesso e exemplos sobre como configurar listas do controle de acesso.

Permissões

As permissões concedem aos usuários e grupos acesso à funcionalidade AEM em AEM páginas.

Você navega permissões por caminho expandindo/recolhendo os nós e pode rastrear a herança de permissão até o nó raiz.

Você permite ou nega permissões marcando ou desmarcando as caixas de seleção apropriadas.

cqsecuritypermissionstab

Exibindo Informações Detalhadas sobre Permissão

Juntamente com a visualização de grade, AEM fornece uma visualização detalhada de permissões para um usuário/grupo selecionado em um determinado caminho. A visualização de detalhes fornece informações adicionais.

Além de visualizar informações, você também pode incluir ou excluir o usuário ou grupo atual de um grupo. Consulte Adicionar usuários ou grupos ao adicionar permissões. As alterações feitas aqui são refletidas imediatamente na porção superior da visualização detalhada.

Para acessar a visualização de detalhes, na guia Permissões , clique em Detalhes para qualquer grupo/usuário e caminho selecionados.

detalhes da permissão

Os detalhes são divididos em duas partes:

Parte superior

Repete as informações que você vê na grade de árvore. Para cada ação, um ícone mostra se a ação é permitida ou negada:

  • nenhum ícone = nenhuma entrada declarada
  • (tick) = ação declarada (permitir)
  • (-) = ação declarada (negação)
Parte inferior

Mostra a grade de usuários e grupos que faz o seguinte:

  • Declara uma entrada para o caminho especificado E
  • É o autorizável fornecido OU é um grupo

Representando outro usuário

With the Impersonate functionality a user can work on behalf of another user.

Isso significa que uma conta de usuário pode especificar outras contas que podem operar com sua conta. Em outras palavras, se o usuário B estiver autorizado a representar o usuário A, o usuário B poderá realizar ações usando os detalhes completos da conta do usuário A.

Isso permite que as contas do representador completem as tarefas como se estivessem usando a conta que estão representando; por exemplo, durante uma ausência ou para compartilhar uma carga excessiva em curto prazo.

Observação

Para que a representação funcione para usuários que não sejam administradores, o impersonador (no caso acima, user-B) deve ter permissões de LEITURA no /home/users caminho.

Para obter mais informações sobre como fazer isso, consulte Permissões em AEM.

CUIDADO

Se uma conta representa outra é muito difícil de ver. Uma entrada é feita no log de auditoria quando a representação é start e encerrada, mas os outros arquivos de log (como o log de acesso) não contêm informações sobre o fato de que a representação ocorreu nos eventos. Portanto, se o usuário B estiver representando o usuário A, todos os eventos parecerão como se fossem executados pessoalmente pelo usuário A.

CUIDADO

O bloqueio de uma página pode ser executado quando se representa um usuário. No entanto, uma página bloqueada dessa maneira só pode ser desbloqueada como o usuário que foi representado ou como um usuário com privilégios de administrador.

Páginas não podem ser desbloqueadas representando o usuário que as bloqueou.

Práticas recomendadas

A seguir, é apresentada uma descrição das práticas recomendadas ao trabalhar com permissões e privilégios:

Regra Motivo
Usar grupos Evite atribuir direitos de acesso a cada usuário. Há várias razões para isso:
  • Você tem muito mais usuários do que grupos, então os grupos simplificam a estrutura.
  • Os grupos ajudam a fornecer uma visão geral de todas as contas.
  • A herança é mais simples com os grupos.
  • Os usuários vêm e vão. Grupos são de longo prazo.
Seja positivo Use sempre as instruções Permitir para especificar os direitos do grupo (sempre que possível). Evite usar uma declaração Negar. Os grupos são avaliados em ordem e a ordem pode ser definida de forma diferente por usuário. Por outras palavras: Você pode ter pouco controle sobre a ordem em que as declarações são implementadas e avaliadas. Se você usar somente as instruções Permitir, a ordem não importa.
Mantenha simples O investimento em algum tempo e a reflexão ao configurar uma nova instalação serão bem reembolsados. A aplicação de uma estrutura clara simplificará a manutenção e a administração contínuas, garantindo que os seus atuais colegas e/ou futuros sucessores possam compreender facilmente o que está a ser implementado.
Testar Use uma instalação de teste para praticar e garantir que você compreenda as relações entre os vários usuários e grupos.
Usuários/grupos padrão Sempre atualize os Usuários e grupos padrão imediatamente após a instalação para ajudar a evitar problemas de segurança.

Managing Users and Groups

Os usuários incluem pessoas que usam o sistema e sistemas estrangeiros que fazem solicitações ao sistema.

Um grupo é um conjunto de usuários.

Ambos podem ser configurados usando a funcionalidade Administração do usuário no Console de segurança.

Acessar a administração do usuário com o console de segurança

Você acessa todos os usuários, grupos e permissões associadas usando o console Segurança. Todos os procedimentos descritos nesta seção são executados nesta janela.

Para acessar AEM segurança WCM, execute um dos procedimentos a seguir:

  • Na tela Bem-vindo ou em vários locais no AEM, clique no ícone de segurança:

  • Navegue diretamente para https://<server>:<port>/useradmin. Certifique-se de fazer logon no AEM como administrador.

A seguinte janela é exibida:

cqsecuritypage

A árvore esquerda lista todos os usuários e grupos atualmente no sistema. Você pode selecionar as colunas que deseja exibir, classificar o conteúdo das colunas e até mesmo alterar a ordem em que as colunas são exibidas arrastando o cabeçalho da coluna para uma nova posição.

cqsecuritycolumncontext

As guias fornecem acesso a várias configurações:

Guia Descrição
Caixa Filtro Um mecanismo para filtrar os usuários e/ou grupos listados. Consulte Filtrando usuários e grupos.
Ocultar usuários Um switch de alternância que ocultará todos os usuários listados, deixando apenas grupos. Consulte Ocultar usuários e grupos.
Ocultar grupos Um switch de alternância que ocultará todos os grupos listados, deixando apenas os usuários. Consulte Ocultar usuários e grupos.
Editar Um menu que permite criar e excluir, além de ativar e desativar usuários ou grupos. Consulte Criação de usuários e grupos e Exclusão de usuários e grupos.
Propriedades Listas informações sobre o usuário ou grupo que podem incluir informações de email, uma descrição e informações de nome. Também permite alterar a senha de um usuário. Consulte Criação de usuários e grupos, Modificação de propriedades de usuários e grupos e Alteração de uma senhade usuário.
Grupos Lista todos os grupos aos quais o usuário ou grupo selecionado pertence. Você pode atribuir o usuário ou grupos selecionados a grupos adicionais ou removê-los de grupos. Consulte Grupos.
Membros Disponível somente para grupos. Lista os membros de um grupo específico. Consulte Membros.
Permissões Você pode alocar permissões para um usuário ou grupo. Permite controlar o seguinte:
  • Permissões relacionadas a páginas/nós específicos. Consulte Configuração de permissões.
  • Permissões relacionadas à criação e exclusão de páginas e modificação de hierarquia. ??? permite alocar privilégios, como modificação de hierarquia, que permite criar e excluir páginas,
  • Permissões relacionadas a privilégios de replicação (normalmente do autor para a publicação) de acordo com um caminho.
Personificadores Permite que outro usuário personalize a conta. Útil quando você precisa que um usuário atue em nome de outro usuário. Consulte Representando usuários.
Preferências Define preferências para o grupo ou usuário. Por exemplo, preferências de idioma.

Filtering Users and Groups

Você pode filtrar a lista inserindo uma expressão de filtro, que oculta todos os usuários e grupos que não correspondem à expressão. Você também pode ocultar usuários e grupos usando os botões Ocultar usuário e Ocultar grupo .

Para filtrar usuários ou grupos:

  1. Na lista da árvore esquerda, digite a expressão do filtro no espaço fornecido. Por exemplo, inserir admin exibe todos os usuários e grupos que contêm essa string.

  2. Clique na lupa para filtrar a lista.

    cqsecurityfilter

  3. Clique no x quando quiser remover todos os filtros.

Hiding Users and Groups

Ocultar usuários ou grupos é outra forma de filtrar a lista de todos os usuários e grupos em um sistema. Há dois mecanismos de alternância. Clicar em Ocultar usuário oculta todos os usuários da visualização e clicar em Ocultar grupos oculta todos os grupos da visualização (não é possível ocultar os usuários e os grupos ao mesmo tempo). Para filtrar a lista usando uma expressão de filtro, consulte Filtrar usuários e grupos.

Para ocultar usuários e grupos:

  1. No console Segurança , clique em Ocultar usuários ou em Ocultar grupos. O botão selecionado aparece realçado.

    cqsecurityhideusers

  2. Para que os usuários ou grupos reapareçam, clique no botão correspondente novamente.

Creating Users and Groups

Para criar um novo usuário ou grupo:

  1. Na lista da árvore do console de segurança , clique em Editar e em Criar usuário ou Criar grupo.

    cqseruityeditcontextmenu

  2. Insira os detalhes necessários, de acordo com a criação de um usuário ou de um grupo.

    • Se você selecionar Criar usuário, digite a ID de login, o nome e o sobrenome, o endereço de email e a senha. Por padrão, AEM cria um caminho com base na primeira letra do sobrenome, mas você pode selecionar outro caminho.

    createuserdialog

    • Se você selecionar Criar grupo, insira uma ID de grupo e uma descrição opcional.

    creategroupdialog

  3. Clique em Criar. O usuário ou grupo criado é exibido na lista em árvore.

Deleting Users and Groups

Para excluir um usuário ou grupo:

  1. No console Segurança , selecione o usuário ou grupo que deseja excluir. Se desejar excluir vários itens, pressione Shift ou Ctrl e clique para selecioná-los.
  2. Clique em Editar, em seguida, selecione Excluir. AEM WCM pergunta se você deseja excluir o usuário ou grupo.
  3. Clique em OK para confirmar ou em Cancelar para cancelar sua ação.

Modificando propriedades de usuário e grupo

Para modificar as propriedades do usuário e do grupo:

  1. No console Segurança , clique com o duplo no nome do usuário ou grupo que deseja modificar.

  2. Clique na guia Propriedades , faça as alterações necessárias e clique em Salvar.

    cqsecurityuserprops

Observação

O caminho do usuário é exibido na parte inferior das propriedades do usuário. Não pode ser modificada.

Alteração de uma senha de usuário

Use o procedimento a seguir para modificar a senha de um usuário.

Observação

Não é possível usar o console Segurança para alterar a senha do administrador. Para alterar a senha da conta de administrador, use o console Usuários fornecido pelo Granite Operations.

Se você estiver usando o AEM Forms no JEE, não use as instruções abaixo para alterar a senha, em vez de usar o AEM Forms no console de administração do JEE (/adminui?lang=pt-BR) para alterar a senha.

  1. No console Segurança , clique com o duplo no nome de usuário para o qual deseja alterar a senha.

  2. Clique na guia Propriedades (se ainda não estiver ativa).

  3. Clique em Definir senha. A janela Definir senha é aberta onde você pode alterar sua senha.

    cqsecurityuserpassword

  4. Introduza a nova senha duas vezes; como não são exibidos em texto claro, isso é para confirmação - se não corresponderem, o sistema exibe um erro.

  5. Clique em Definir para ativar a nova senha da conta.

Adicionar usuários ou grupos a um grupo

AEM ofertas três maneiras diferentes de adicionar usuários ou grupos a um grupo existente:

  • Quando estiver no grupo, você poderá adicionar membros (usuários ou grupos).
  • Quando você estiver no membro, poderá adicionar membros a grupos.
  • Ao trabalhar em Permissões, você pode adicionar membros a grupos.

Grupos - Adicionar usuários ou grupos a um grupo

A guia Grupos mostra a quais grupos a conta atual pertence. Você pode usá-lo para adicionar a conta selecionada a um grupo:

  1. Clique com o duplo no nome da conta (usuário ou grupo) que você deseja atribuir a um grupo.

  2. Click the Groups tab. Você verá uma lista de grupos aos quais a conta já pertence.

  3. Na lista em árvore, clique no nome do grupo ao qual deseja adicionar a conta e arraste-o para o painel Grupos . (Se você quiser adicionar vários usuários, pressione Shift ou Ctrl e clique nesses nomes e arraste-os.)

    cqsecurityaddusertogroup

  4. Click Save to save your changes.

Membros - Adicionar usuários ou grupos a um grupo

A guia Membros funciona somente para grupos e mostra quais usuários e grupos pertencem ao grupo atual. Você pode usá-lo para adicionar contas a um grupo:

  1. Clique com o duplo no nome do grupo ao qual deseja adicionar membros.

  2. Click the Members tab. Você verá uma lista de membros que já pertencem a esse grupo.

  3. Na lista em árvore, clique no nome do membro que deseja adicionar ao grupo e arraste-o para o painel Membros . (Se você quiser adicionar vários usuários, pressione Shift ou Ctrl e clique nesses nomes e arraste-os.)

    cqsecurityadduserasmembro

  4. Click Save to save your changes.

Adicionar usuários ou grupos ao adicionar permissões

Para adicionar membros a um grupo em um determinado caminho:

  1. Clique com o duplo no nome do grupo ou usuário ao qual deseja adicionar usuários.

  2. Click the Permissions tab.

  3. Navegue até o caminho ao qual deseja adicionar permissões e clique em Detalhes. A parte inferior da janela de detalhes fornece informações sobre quem tem permissões para essa página.

    chlimage_1-113

  4. Marque a caixa de seleção na coluna Membro para os membros que você deseja que tenham permissões para esse caminho. Desmarque a caixa de seleção do membro para o qual deseja remover permissões. Um triângulo vermelho aparece na célula à qual você fez alterações.

  5. Clique em OK para salvar suas alterações.

Removendo usuários ou grupos de grupos

AEM ofertas três maneiras diferentes de remover usuários ou grupos de um grupo:

  • Quando estiver no perfil do grupo, você poderá remover membros (usuários ou grupos).
  • Quando estiver no perfil membro, você poderá remover membros dos grupos.
  • Ao trabalhar em Permissões, você pode remover membros de grupos.

Grupos - Remoção de usuários ou grupos de grupos

Para remover uma conta de usuário ou grupo de um grupo:

  1. Clique com o duplo no nome do grupo ou conta de usuário que deseja remover de um grupo.

  2. Click the Groups tab. Você verá a quais grupos a conta selecionada pertence.

  3. No painel Grupos , clique no nome do usuário ou grupo que deseja remover do grupo e clique em Remover. (Se quiser remover várias contas, pressione Shift ou Ctrl e clique nesses nomes e clique em Remover.)

    cqsecurityremoveuserformgrp

  4. Click Save to save your changes.

Membros - Remoção de usuários ou grupos de grupos

Para remover contas de um grupo:

  1. Clique com o duplo no nome do grupo do qual você deseja remover membros.

  2. Click the Members tab. Você verá uma lista de membros que já pertencem a esse grupo.

  3. No painel Membros , clique no nome do membro que deseja remover do grupo e clique em Remover. (Se quiser remover vários usuários, pressione Shift ou Control e clique nesses nomes e clique em Remover.)

    cqsecurityremovemember

  4. Click Save to save your changes.

Removendo usuários ou grupos ao adicionar permissões

Para remover membros de um grupo em um determinado caminho:

  1. Clique com o duplo no nome do grupo ou usuário do qual você deseja remover usuários.

  2. Click the Permissions tab.

  3. Navegue até o caminho para o qual deseja remover permissões e clique em Detalhes. A parte inferior da janela de detalhes fornece informações sobre quem tem permissões para essa página.

    chlimage_1-114

  4. Marque a caixa de seleção na coluna Membro para os membros que você deseja que tenham permissões para esse caminho. Desmarque a caixa de seleção do membro para o qual deseja remover permissões. Um triângulo vermelho aparece na célula à qual você fez alterações.

  5. Clique em OK para salvar suas alterações.

Sincronização do usuário

Quando a implantação é um farm depublicação, os usuários e grupos precisam ser sincronizados entre todos os nós de publicação.

Para saber mais sobre a sincronização do usuário e como ativá-la, consulte Sincronização dousuário.

Gerenciando permissões

Observação

O Adobe introduziu uma nova visualização principal com base na interface de toque para o gerenciamento de permissões. Para obter mais detalhes sobre como usá-lo, consulte esta página.

Esta seção descreve como definir permissões, incluindo privilégios de replicação.

Definindo permissões

As permissões permitem que os usuários executem determinadas ações em recursos em determinados caminhos. Também inclui a capacidade de criar ou excluir páginas.

Para adicionar, modificar ou excluir permissões:

  1. No console Segurança , clique com o duplo no nome do usuário ou grupo para o qual você deseja definir permissões ou procurar nós.

  2. Click the Permissions tab.

    cquserpermissions

  3. Na grade da árvore, marque uma caixa de seleção para permitir que o usuário ou grupo selecionado execute uma ação ou desmarque uma caixa de seleção para negar que o usuário ou grupo selecionado execute uma ação. Para obter mais informações, clique em Detalhes.

  4. When finished, click Save.

Definindo Privilégios de Replicação

O privilégio de replicação é o direito de publicar conteúdo e pode ser definido para grupos e usuários.

Observação
  • Todos os direitos de replicação aplicados a um grupo se aplicam a todos os usuários nesse grupo.
  • Os privilégios de replicação de um usuário substituem os privilégios de replicação de um grupo.
  • Os direitos de replicação de Permitir têm uma precedência superior aos direitos de replicação de Negar. Consulte Permissões em AEM para obter mais informações.

Para definir privilégios de replicação:

  1. Selecione o usuário ou grupo na lista, clique com o duplo para abrir e clique em Permissões.

  2. Na grade, navegue até o caminho onde deseja que o usuário tenha privilégios de replicação ou procure nós.

  3. Na coluna Replicar no caminho selecionado, marque uma caixa de seleção para adicionar o privilégio de replicação para esse usuário ou grupo, ou desmarque a caixa de seleção para remover o privilégio de replicação. AEM exibe um triângulo vermelho em qualquer lugar em que você tenha feito alterações que ainda não foram salvas.

    cquserreplicatepermissions

  4. Click Save to save your changes.

Procurando nós

Ao adicionar ou remover permissões, você pode procurar ou procurar pelo nó.

Há dois tipos diferentes de pesquisa de caminho:

  • Pesquisa de caminho - Se a sequência de caracteres de pesquisa for start com um "/", a pesquisa pesquisará os subnós diretos do caminho fornecido:

cqsecuritypathsearch

Na caixa de pesquisa, é possível fazer o seguinte:

Ação O que ele faz
Tecla de seta para a direita Seleciona um subnó no resultado da pesquisa
Tecla de seta para baixo Start a pesquisa novamente.
Tecla Enter (Return) Seleciona um subnó e o carrega na árvore
  • Pesquisa FullText - Se a string de pesquisa não for start com "/", uma pesquisa de texto completo será executada em todos os nós sob o caminho "/content".

cqsecurityfulltextsearch

Para executar uma pesquisa em caminhos ou texto completo:

  1. No console Segurança, selecione um usuário ou grupo e clique na guia Permissões .

  2. Na caixa Pesquisar, digite um termo para pesquisar.

Representando usuários

Você pode especificar um ou mais usuários que podem representar o usuário atual. Isso significa que eles podem mudar suas configurações de conta para as do usuário atual e agir em nome desse usuário.

Use essa função com cautela, pois pode permitir que os usuários executem ações que não podem ser executadas por seus próprios usuários. Ao representar um usuário, os usuários são notificados de que não estão conectados como eles mesmos.

Há vários cenários em que você pode usar essa funcionalidade, incluindo:

  • Se você estiver fora do escritório, você pode deixar outra pessoa te representar enquanto você estiver fora. Ao usar esse recurso, você pode garantir que alguém tenha seus direitos de acesso e que não seja necessário modificar um perfil do usuário ou fornecer sua senha.
  • Você pode usá-lo para fins de depuração. Por exemplo, para ver como o site procura um usuário com direitos de acesso restritos. Além disso, se um usuário se queixa de problemas técnicos, você pode representar esse usuário para diagnosticar e corrigir o problema.

Para representar um usuário existente:

  1. Na lista em árvore, selecione o nome da pessoa que você deseja atribuir a outros usuários para representar. Clique com o duplo para abrir.

  2. Click the Impersonators tab.

  3. Clique no usuário que deseja personalizar o usuário selecionado. Arraste o usuário (que representará) da lista para o painel Representar. O nome é exibido na lista.

    chlimage_1-115

  4. Clique em Salvar.

Configuração de preferências de usuário e grupo

Para definir as preferências do usuário e do grupo, incluindo idioma, gerenciamento de janelas e preferências da barra de ferramentas:

  1. Selecione o usuário ou grupo cujas preferências você deseja alterar na árvore à esquerda. Para selecionar vários usuários ou grupos, pressione Ctrl ou Shift e clique nas seleções.

  2. Click the Preferences tab.

    cqsecuritypreferences

  3. Faça alterações, conforme necessário, nas preferências de grupo ou usuário e clique em Salvar ao terminar.

Configurar usuários ou administradores para terem o privilégio de gerenciar outros usuários

Para definir usuários ou administradores com os privilégios para excluir/ativar/desativar outros usuários:

  1. Adicione o usuário ao qual você deseja conceder privilégios para gerenciar outros usuários ao grupo de administradores e salvar suas alterações.

    cqsecurityaddmembertoadmin

  2. Na guia Permissões do usuário, navegue até "/" e, na coluna Replicar, marque a caixa de seleção para permitir a replicação em "/" e clique em Salvar.

    cqsecurityreplicatepermissions

    O usuário selecionado agora tem a capacidade de desativar, ativar, excluir e criar usuários.

Extensão de Privilégios em um Nível de Projeto

Se você planeja implementar privilégios específicos do aplicativo, as seguintes informações descrevem o que você precisa saber para implementar um privilégio personalizado e como aplicá-lo em todo o CQ:

O privilégio de modificação de hierarquia é coberto por uma combinação de privilégios de jcr. O privilégio de replicação é chamado de crx:replicate que é armazenado/avaliado juntamente com outros privilégios no repositório jcr. No entanto, não é aplicada a nível do emprego.

A definição e o registro de privilégios personalizados fazem parte oficialmente da API Jackrabbit a partir da versão 2.4 (consulte também JCR-2887). A gestão de Controles de acesso do JCR abrange outras utilizações, tal como definidas pelo JSR 283 (seção 16). Além disso, a API Jackrabbit define algumas extensões.

O mecanismo de registro de privilégios é refletido na interface do usuário em Configuração ​do repositório.

O registro de novos privilégios (personalizados) é protegido por um privilégio incorporado que deve ser concedido no nível do repositório (no JCR: transmitindo 'null' como parâmetro 'absPath' na api mgt ac, consulte jsr 333 para obter detalhes). Por padrão, o privilégio de administrador e todos os membros dos administradores é concedido.

Observação

Embora a implementação tenha o cuidado de validar e avaliar privilégios personalizados, ela não poderá aplicá-los, a menos que sejam agregações de privilégios incorporados.

Nesta página