使用者管理與安全性 user-administration-and-security

Last update: Thu Aug 15 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

主題：

建立對象：

管理員

本章說明如何設定和維護使用者授權，同時也說明在AEM中驗證和授權如何運作的理論。

AEM中的使用者和群組 users-and-groups-in-aem

本節將更詳細地討論各種實體和相關概念，以幫助您設定易於維護的使用者管理概念。

使用者 users

使用者使用其帳戶登入AEM。每個使用者帳戶都是獨一無二的，其中包含基本帳戶詳細資料以及指派的許可權。

使用者通常是「群組」的成員，這可以簡化這些許可權和/或許可權的配置。

群組 groups

群組是使用者的集合、其他群組或兩者。這些集合全稱為群組的成員。

它們的主要目的是透過減少要更新的實體數目來簡化維護流程，因為對群組所做的變更會套用到群組的所有成員。群組通常會反映：

應用程式內的角色；例如允許瀏覽內容的人，或允許貢獻內容的人。
您自己的組織；您可能想要擴充角色，以便在來自不同部門的貢獻者限制在內容樹狀結構中的不同分支時，加以區分。

因此，群組通常保持穩定，而使用者更頻繁地來來往。

透過規劃和乾淨的結構，群組的使用可反映您的結構，為您提供清楚的概觀和有效率的更新機制。

內建使用者和群組 built-in-users-and-groups

AEM WCM會安裝數個使用者和群組。在安裝後第一次存取「安全性主控台」時，這些集合就會顯示。

下表列出每個專案及：

簡短說明
有關必要變更的任何建議

變更所有預設密碼 （如果您在某些情況下不刪除帳戶本身）。

使用者 ID

類型

說明

AEM中的許可權 permissions-in-aem

AEM會使用ACL來決定使用者或群組可以採取的動作以及執行這些動作的位置。

許可權和ACL permissions-and-acls

許可權定義誰可以對資源執行哪些動作。許可權是存取控制評估的結果。

您可以選取或清除個別AEM 動作的核取方塊，變更授予/拒絕給特定使用者的許可權。核取記號表示允許動作。沒有核取記號表示動作被拒絕。

格線中的核取記號位置也指出使用者在AEM內的哪些位置有哪些許可權（即哪些路徑）。

動作 actions

您可以在頁面（資源）上執行動作。您可以針對階層中的每個頁面，指定允許使用者在該頁面上採取的動作。許可權可讓您允許或拒絕動作。

動作

說明

讀取

允許使用者讀取頁面及其任何子頁面。

修改

使用者可以：

修改頁面及任何子頁面上的現有內容。
在頁面或任何子頁面上建立段落。

在JCR層級，使用者可以編輯資源，方法是編輯其屬性、鎖定、建立版本和nt-modifications，並且他們對定義jcr：content子節點的節點具有完整的寫入許可權。例如cq：Page、nt：file、cq：Asset。

建立

使用者可以：

建立頁面或子頁面。

如果拒絕 modify，則會排除jcr：content下的子樹狀結構，因為建立jcr：content及其子節點會視為頁面修改。此規則僅適用於定義jcr：content子節點的節點。

刪除

使用者可以：

從頁面或任何子頁面刪除現有段落。
刪除頁面或子頁面。

如果 modify 被拒絕，則會將jcr：content下的任何子樹狀結構排除為移除jcr：content，並將其子節點視為頁面修改。此規則僅適用於定義jcr：content子節點的節點。

讀取 ACL

使用者可以讀取頁面或子頁面的存取控制清單。

編輯 ACL

使用者可以修改頁面或任何子頁面的存取控制清單。

複寫

使用者可以將內容復寫至其他環境(例如Publish環境)。此許可權也會套用至任何子頁面。

NOTE

AEM會自動為集合中的角色指派（擁有者、編輯者、檢視者）產生使用者群組。然而，手動為這類群組新增ACL可能會在AEM中帶來安全漏洞。 Adobe建議您避免手動新增ACL。

存取控制清單及其評估方式 access-control-lists-and-how-they-are-evaluated

AEM WCM使用存取控制清單(ACL)來組織套用至不同頁面的許可權。

存取控制清單由個別許可權組成，用於決定套用這些許可權的順序。清單會根據所考慮頁面的階層而形成。然後會由下而上掃描此清單，直到找到可套用至頁面的第一個適當許可權為止。

NOTE

範例中包含ACL。建議您檢閱並確定適合您應用程式的專案。若要檢閱包含的ACL，請移至 CRXDE 並選取下列節點的 存取控制 標籤：

/etc/cloudservices
/home/users/we-retail

您的自訂應用程式可以設定其他關係的存取權，例如：

*/social/relationships/friend/*
或*/social/relationships/pending-following/*。

當您建立社群專屬的ACL時，加入這些社群的成員可能會獲得額外的許可權。例如，當使用者加入社群時： /content/we-retail/us/en/community

許可權狀態 permission-states

NOTE

若為CQ 5.3使用者：

相較於舊版CQ，如果使用者必須僅修改頁面，則不應再授予 create 和 delete。請改為僅在您希望使用者能夠在現有頁面上建立、修改或刪除元件時，才授予修改動作。

由於回溯相容性的原因，動作測試未考慮定義 jcr：content 的節點的特殊處理。

動作

說明

允許（核取記號）

AEM WCM可讓使用者在此頁面或任何子頁面上執行動作。

拒絕（無核取標籤）

AEM WCM不允許使用者在此頁面或任何子頁面上執行動作。

這些許可權也會套用至任何子頁面。

如果許可權不是從父節點繼承，但至少有一個本機專案用於它，則下列符號會附加至核取方塊。本機專案是在CRX 2.2介面中建立的專案(目前只能在CRX中建立萬用字元ACL)。

對於指定路徑上的動作：

* （星號）

至少有一個本機專案（有效或無效）。這些萬用字元ACL是在CRX中定義。

！（驚歎號）

至少有一個專案目前沒有效果。

當您將滑鼠游標停留在星號或驚歎號上時，工具提示會提供更多有關宣告專案的詳細資訊。工具提示分為兩個部分：

上半部分

列出有效專案。

下方

列出可以在樹狀結構中的其他位置產生效果的非有效專案（由具有限制專案範圍之對應ACE的特殊屬性所指示）。或者，它是一個條目，其效果被在給定路徑或祖先節點定義的另一個條目撤銷。

chlimage_1-112

NOTE

如果沒有為頁面定義許可權，則會拒絕所有動作。

以下是有關管理存取控制清單的建議：

請勿直接指派許可權給使用者。僅將其指派給群組。

這麼做可簡化維護作業，因為群組數量遠低於使用者數量，且波動性也較低。
如果您希望群組/使用者只能修改頁面，請勿授予他們建立或拒絕許可權。僅授予他們修改和讀取許可權。
請謹慎使用「拒絕」。儘可能只使用「允許」。

如果許可權套用的順序與預期順序不同，則使用deny可能會造成非預期的效果。如果使用者是一個以上群組的成員，則來自一個群組的Deny陳述式可能會取消來自另一個群組的Allow陳述式，反之亦然。發生這類事情時，很難保持總覽，並容易導致無法預見的結果，而「允許」指派不會導致這類衝突。

Adobe建議您使用「允許」而非「拒絕」，以檢視最佳實務。

在修改任一許可權之前，請確定您瞭解其運作方式以及相互關聯。請參閱說明AEM WCM 如何評估存取權的CRX檔案，以及有關設定存取控制清單的範例。

權限 permissions

許可權可讓使用者和群組存取AEM頁面上的AEM功能。

您可以展開/收合節點，依路徑瀏覽許可權，並可追蹤許可權繼承直到根節點。

選取或清除適當的核取方塊，即可允許或拒絕許可權。

cqsecuritypermissionstab

檢視詳細的許可權資訊 viewing-detailed-permission-information

AEM除了格線檢視外，也提供指定路徑所選使用者/群組的許可權詳細檢視。詳細資料檢視提供額外資訊。

除了檢視資訊之外，您也可以在群組中包含或排除目前的使用者或群組。請參閱新增許可權時新增使用者或群組。此處所做的變更會立即反映在詳細檢視的上半部分。

若要存取「詳細資訊」檢視，請在 許可權 索引標籤中，針對任何選取的群組/使用者和路徑，按一下 詳細資訊。

許可權詳細資料

詳細資訊分為兩個部分：

上半部分

重複您在樹狀格線中看到的資訊。對於每個動作，圖示都會顯示允許還是拒絕動作：

無圖示=無宣告專案
（勾號） =宣告的動作（允許）
(-) =宣告的動作（拒絕）

下方

顯示執行下列作業的使用者和群組格線：

為給定路徑宣告一個專案AND
指定的可授權專案或是否為群組

模擬其他使用者 impersonating-another-user

透過模擬功能，使用者可以代表其他使用者工作。

也就是說，使用者帳戶可以指定可以與其帳戶一起操作的其他帳戶。例如，如果允許使用者B模擬使用者A，則使用者B可以使用使用者A的完整帳戶詳細資料進行動作。

此功能可讓模擬者帳戶完成工作，就像他們使用所模擬的帳戶一樣。例如，在缺勤期間，或短期共用過量的負載。

NOTE

為了模擬非管理員使用者才能運作，模擬者（在上述案例中為user-B）必須在/home/users路徑中具有「讀取」許可權。

檢視AEM🔗中的許可權。

CAUTION

如果一個帳戶模擬另一個帳戶，就很難看清。當模擬開始和結束時，會在稽核記錄中建立一個專案，但其他記錄檔（例如存取記錄）不會保留事件上已發生模擬的資訊。因此，如果user-B模擬user-A，則所有事件看起來都像user-A已執行。

CAUTION

模擬使用者身份時可以執行鎖定頁面。不過，以這種方式鎖定的頁面只能以模擬的使用者或具有管理員許可權的使用者身分解除鎖定。

無法透過模擬鎖定頁面的使用者來解鎖頁面。

最佳做法 best-practices

以下說明使用許可權和許可權時的最佳實務：

規則

原因

使用群組

避免依個別使用者指派存取許可權。提出此建議有幾個原因：

您擁有的使用者比群組多，因此群組可簡化結構。
群組有助於提供所有帳戶的概觀。
使用群組可簡化繼承作業。
使用者來了又走。群組是長期的。

為正數

一律使用Allow陳述式指定群組權利（儘可能使用）。避免使用Deny陳述式。系統會依順序評估群組，且各使用者的順序可能會有不同的定義。換言之，您對陳述式的實作和評估順序可能沒有多少控制權。如果您只使用Allow陳述式，則順序無關緊要。

保持簡單

在設定新安裝時投入一些時間和思考，是值得的。套用清晰的結構可簡化持續的維護和管理，確保您目前的同事和未來的後續人員都能輕鬆瞭解實作的內容。

測試

使用測試安裝來練習並確保您瞭解各種使用者和群組之間的關係。

預設使用者/群組

務必在安裝後立即更新「預設使用者與群組」，以防止任何安全性問題。

管理使用者和群組 managing-users-and-groups

使用者包括使用系統的人員和向系統提出要求的外部系統。

群組是一組使用者。

兩者都可以使用安全性控制檯中的使用者管理功能進行設定。

使用安全性主控台存取使用者管理 accessing-user-administration-with-the-security-console

您可以使用「安全性」主控台存取所有使用者、群組和關聯的許可權。本節中說明的所有程式都會在此視窗中執行。

若要存取AEM WCM安全性，請執行下列任一項作業：

從「歡迎」畫面或AEM中的各種位置，按一下安全性圖示：

直接導覽至https://<server>:<port>/useradmin。請確定您以管理員身分登入AEM。

下列視窗隨即顯示：

cqsecuritypage

左邊的樹狀結構列出目前系統中所有的使用者和群組。您可以選取要顯示的欄，對欄的內容進行排序，甚至通過將欄標題拖到新位置來變更欄的顯示順序。

cqsecuritycolumncontext

標籤可讓您存取各種設定：

標籤

說明

篩選方塊

篩選列出的使用者、群組或兩者的機制。請參閱篩選使用者和群組。

隱藏使用者

切換開關，隱藏所有列出的使用者，僅留下群組。請參閱隱藏使用者和群組。

隱藏群組

切換開關，可隱藏列出的所有群組，僅留下使用者。請參閱隱藏使用者和群組。

編輯

功能表可讓您建立和刪除，以及啟動和停用使用者或群組。請參閱建立使用者和群組和刪除使用者和群組。

屬性

列出使用者或群組的相關資訊，包括電子郵件資訊、說明和名稱資訊。也可讓您變更使用者的密碼。請參閱建立使用者和群組、修改使用者和群組內容以及變更使用者密碼。

群組

列出選取的使用者或群組所屬的所有群組。您可以將選取的一或多個使用者指派給其他群組，或從群組中移除這些群組。檢視群組。

成員

僅適用於群組。列出特定群組的成員。檢視成員。

權限

您可以將許可權配置給使用者或群組。可讓您控制下列專案：

與特定頁面/節點相關的許可權。請參閱設定許可權。
與建立和刪除頁面及階層修改相關的許可權。???可讓您配置許可權，例如階層修改，可讓您建立和刪除頁面。
根據路徑與復寫許可權相關的許可權（通常從作者到發佈）。

Impersonator

允許其他使用者模擬帳戶。當您需要使用者代表另一個使用者進行操作時非常有用。請參閱模擬使用者。

偏好設定

設定群組或使用者🔗的偏好設定。例如，語言偏好設定。

篩選使用者和群組 filtering-users-and-groups

您可以輸入篩選運算式來篩選清單，這會隱藏不符合運算式的所有使用者和群組。您也可以使用隱藏使用者和隱藏群組按鈕來隱藏使用者和群組。

若要篩選使用者或群組：

在左邊的樹狀結構清單中，在提供的空白處輸入您的篩選運算式。例如，輸入 admin 會顯示包含此字串的所有使用者和群組。
按一下放大鏡以篩選清單。
當您想要移除所有篩選器時，請按一下 x。

隱藏使用者和群組 hiding-users-and-groups

隱藏使用者或群組是另一種篩選系統中所有使用者和群組清單的方法。有兩個切換機制。按一下「隱藏使用者」可將所有使用者隱藏在檢視中，按一下「隱藏群組」可將所有群組隱藏在檢視中（您無法同時隱藏使用者和群組）。若要使用篩選運算式來篩選清單，請參閱篩選使用者和群組。

若要隱藏使用者和群組：

在 安全性 主控台中，按一下 隱藏使用者 或 隱藏群組。選取的按鈕會反白顯示。
若要讓使用者或群組重新出現，請再次按一下對應的按鈕。

建立使用者和群組 creating-users-and-groups

若要建立使用者或群組：

在 安全性 主控台樹狀結構清單中，按一下編輯，然後按一下 建立使用者 或 建立群組。
根據您是要建立使用者還是群組，輸入必要的詳細資訊。
- 如果您選取 建立使用者，，請輸入登入識別碼、名字和姓氏、電子郵件地址和密碼。依預設，AEM會根據姓氏的第一個字母建立路徑，但您可以選取其他路徑。
- 如果您選取 建立群組，請輸入群組ID和選擇性說明。
按一下「建立」。您建立的使用者或群組會出現在樹狀結構清單中。

刪除使用者和群組 deleting-users-and-groups

若要刪除使用者或群組：

在 安全性 主控台中，選取您要刪除的使用者或群組。如果要刪除多個專案，請按住Shift或Control鍵並按一下以選取它們。
按一下「編輯」、「」，然後選取「刪除」。 AEM WCM會詢問您是否要刪除使用者或群組。
按一下確定以確認或取消。

修改使用者和群組特性 modifying-user-and-group-properties

若要修改使用者和群組特性：

在 安全性 主控台中，連按兩下您要修改的使用者或群組名稱。
按一下屬性標籤，進行必要的變更，然後按一下儲存。

NOTE

使用者的路徑會顯示在使用者屬性的底部。無法修改。

變更使用者密碼 changing-a-user-password

使用以下程式來修改使用者的密碼。

NOTE

您無法使用「安全性」主控台來變更管理員密碼。若要變更Admin帳戶的密碼，請使用Granite作業提供的使用者主控台。

如果您在JEE上使用AEM Forms，請勿使用以下指示變更密碼，而改用JEEAdmin Console上的AEM Forms (https://experienceleague.adobe.com/adminui?lang=zh-Hant)變更密碼。

在 安全性 主控台中，連按兩下您要變更密碼的使用者名稱。
按一下屬性標籤（如果尚未啟用）。
按一下 設定密碼。「設定密碼」視窗會開啟，您可以在其中變更密碼。
輸入新密碼兩次；由於密碼未以純文字顯示，此動作用於確認 — 如果密碼不符，系統會顯示錯誤。
按一下設定以啟用帳戶的新密碼。

新增使用者或群組至群組 adding-users-or-groups-to-a-group

AEM提供三種將使用者或群組新增至現有群組的不同方式：

當您在群組中時，您可以新增成員（使用者或群組）。
當您在成員中時，您可以將成員新增至群組。
處理許可權時，您可以將成員新增至群組。

群組 — 新增使用者或群組至群組 groups-adding-users-or-groups-to-a-group

群組索引標籤會顯示目前帳戶所屬的群組。您可以使用它來將選取的帳戶新增至群組：

連按兩下您要指派給群組的帳戶（使用者或群組）名稱。
按一下「群組」標籤。您會看到該帳戶已經屬於的群組清單。
在樹狀結構清單中，按一下您要新增至帳戶的群組名稱，並將其拖曳至群組窗格。（如果您想要新增多個使用者，請按住Shift +按一下或Ctrl +按一下這些名稱，然後拖曳它們。）
按一下[儲存]儲存變更。

成員 — 新增使用者或群組至群組 members-adding-users-or-groups-to-a-group

成員標籤僅適用於群組，並顯示哪些使用者和群組屬於目前群組。您可以使用它來新增帳戶至群組：

連按兩下您要新增成員的群組名稱。
按一下「成員」標籤。您會看到已屬於此群組的成員清單。
在樹狀結構清單中，按一下您要新增至群組的成員名稱，然後將其拖曳至成員窗格。（如果您想要新增多個使用者，請按住Shift +按一下或Ctrl +按一下這些名稱，然後拖曳它們。）
按一下[儲存]儲存變更。

新增許可權時新增使用者或群組 adding-users-or-groups-while-adding-permissions

若要將成員新增至位於特定路徑的群組：

連按兩下您要新增使用者的群組或使用者的名稱。
按一下「許可權」標籤。
瀏覽至您要新增許可權的路徑，然後按一下 詳細資料。詳細資訊視窗的下方會提供有關誰擁有該頁面許可權的資訊。
針對您想要擁有該路徑許可權的成員，在成員欄中選取核取方塊。清除您要移除其許可權之成員的核取方塊。紅色三角形會出現在您變更的儲存格中。
按一下確定以儲存變更。

從群組中移除使用者或群組 removing-users-or-groups-from-groups

AEM提供三種不同的方式，讓您從群組移除使用者或群組：

當您在群組設定檔中時，您可以移除成員（使用者或群組）。
當您在成員設定檔中時，可以從群組中移除成員。
處理許可權時，您可以從群組移除成員。

群組 — 從群組移除使用者或群組 groups-removing-users-or-groups-from-groups

若要從群組移除使用者或群組帳戶：

連按兩下您要從群組移除的群組或使用者帳戶名稱。
按一下「群組」標籤。您可以看到所選帳戶屬於哪些群組。
在群組窗格中，按一下您要從群組移除的使用者或群組名稱，然後按一下移除。（如果您想要移除多個帳戶，請按住Shift +按一下或Control +按一下這些名稱，然後按一下移除。）
按一下[儲存]儲存變更。

成員 — 從群組移除使用者或群組 members-removing-users-or-groups-from-groups

若要從群組移除帳號：

連按兩下您要移除成員的群組名稱。
按一下「成員」標籤。您會看到已屬於此群組的成員清單。
在成員窗格中，按一下您要從群組移除的成員名稱，然後按一下移除。（如果您想要移除多個使用者，請按住Shift +按一下或Control +按一下這些名稱，然後按一下移除。）
按一下[儲存]儲存變更。

新增許可權時移除使用者或群組 removing-users-or-groups-while-adding-permissions

若要從特定路徑的群組中移除成員：

連按兩下您要移除使用者的群組或使用者名稱。
按一下「許可權」標籤。
瀏覽至您要移除許可權的路徑，然後按一下 詳細資料。詳細資訊視窗的下方會提供有關誰擁有該頁面許可權的資訊。
針對您想要擁有該路徑許可權的成員，在成員欄中選取核取方塊。清除您要移除其許可權之成員的核取方塊。紅色三角形會出現在您變更的儲存格中。
按一下確定以儲存變更。

使用者同步 user-synchronization

當部署是發佈伺服器陣列時，必須在所有發佈節點之間同步使用者和群組。

若要瞭解使用者同步以及如何啟用它，請參閱使用者同步。

管理許可權 managing-permissions

NOTE

Adobe已推出新的觸控式UI型許可權管理主體檢視。如需有關如何使用它的詳細資訊，請參閱許可權管理的主體檢視。

本節說明如何設定許可權，包括復寫許可權。

設定許可權 setting-permissions

許可權可讓使用者在特定路徑的資源上執行某些動作。其中也包含建立或刪除頁面的功能。

若要新增、修改或刪除許可權：

在 安全性 主控台中，連按兩下您要設定許可權的使用者或群組名稱，或搜尋節點。
按一下「許可權」標籤。
在樹狀格線中，選取核取方塊以允許選取的使用者或群組執行動作，或清除核取方塊以拒絕選取的使用者或群組執行動作。如需詳細資訊，請按一下 詳細資料。
完成時，按一下儲存。

設定復寫許可權 setting-replication-privileges

復寫許可權是發佈內容的許可權，可為群組和使用者設定。

NOTE

套用至群組的任何復寫許可權都會套用至該群組中的所有使用者。
使用者的復寫許可權會取代群組的復寫許可權。
允許復寫許可權的優先順序高於拒絕復寫許可權。如需詳細資訊，請參閱AEM🔗中的許可權。

若要設定復寫許可權：

從清單中選取使用者或群組，按兩下以開啟，然後按一下 許可權。
在網格中，瀏覽至您希望使用者擁有復寫許可權的路徑，或搜尋節點。
在所選路徑的復寫資料行中，選取核取方塊以新增該使用者或群組的復寫許可權，或清除核取方塊以移除復寫許可權。 AEM會在您進行變更但尚未儲存的任何地方顯示紅色三角形。
按一下[儲存]儲存變更。