Administración de usuarios y seguridad user-administration-and-security
AEM En este capítulo se describe cómo configurar y mantener la autorización de los usuarios, así como la teoría en la que se basa la autenticación y la autorización para trabajar en los entornos de trabajo de los usuarios de la red de área de trabajo de la.
AEM Usuarios y grupos en la users-and-groups-in-aem
Esta sección trata con más detalle las distintas entidades y conceptos relacionados para ayudarle a configurar un concepto de administración de usuarios fácil de mantener.
Usuarios users
AEM Los usuarios inician sesión en la cuenta de para acceder a la sesión de la cuenta de. Cada cuenta de usuario es única y contiene los detalles básicos de la cuenta, junto con los privilegios asignados.
Los usuarios suelen ser miembros de Grupos, lo que simplifica la asignación de estos permisos o privilegios.
Grupos groups
Los grupos son colecciones de usuarios, otros grupos o ambos. Todas estas colecciones se denominan Miembros de un grupo.
Su objetivo principal es simplificar el proceso de mantenimiento reduciendo el número de entidades que se van a actualizar, ya que los cambios realizados en un grupo se aplican a todos los miembros del grupo. Los grupos suelen reflejar:
- una función dentro de la aplicación; por ejemplo, alguien a quien se permite navegar por el contenido o alguien a quien se permite contribuir con contenido.
- su propia organización; puede que desee ampliar las funciones para diferenciar entre colaboradores de distintos departamentos cuando estén restringidos a distintas ramas del árbol de contenido.
Por lo tanto, los grupos tienden a permanecer estables, mientras que los usuarios van y vienen con más frecuencia.
Con una planificación y una estructura limpia, el uso de grupos puede reflejar su estructura, lo que le ofrece una visión general clara y un mecanismo eficaz para las actualizaciones.
Usuarios y grupos integrados built-in-users-and-groups
AEM WCM instala varios usuarios y grupos. Estas colecciones se ven al acceder por primera vez a la consola de seguridad después de la instalación.
Las siguientes tablas enumeran cada elemento junto con:
- una descripción breve
- cualquier recomendación sobre los cambios necesarios
Cambiar todas las contraseñas predeterminadas (si no elimina la cuenta en determinadas circunstancias).
AEM Permisos en la permissions-in-aem
AEM Utiliza ACL de para determinar qué acciones puede realizar un usuario o grupo y dónde puede realizar esas acciones.
Permisos y ACL permissions-and-acls
Los permisos definen quién puede realizar qué acciones en un recurso. Los permisos son el resultado de evaluaciones de control de acceso.
AEM Puede cambiar los permisos concedidos o denegados a un usuario determinado activando o desactivando las casillas de verificación de las acciones del usuario en cuestión. Una marca de verificación indica que se permite una acción. Ninguna marca de verificación indica que se haya denegado una acción.
AEM La posición de la marca de verificación en la cuadrícula también indica qué permisos tienen los usuarios en qué ubicaciones dentro de la cuadrícula (es decir, en qué rutas de acceso).
Acciones actions
Las acciones se pueden realizar en una página (recurso). Para cada página de la jerarquía, puede especificar qué acción puede realizar el usuario en esa página. Permisos le permiten permitir o denegar una acción.
Listas de control de acceso y cómo se evalúan access-control-lists-and-how-they-are-evaluated
AEM WCM utiliza Listas de control de acceso (ACL) para organizar los permisos que se aplican a las distintas páginas.
Las listas de control de acceso están formadas por los permisos individuales y se utilizan para determinar el orden en que se aplican estos permisos. La lista se forma según la jerarquía de las páginas que se consideren. A continuación, esta lista se analiza de abajo hacia arriba hasta que se encuentre el primer permiso apropiado para aplicar a una página.
/etc/cloudservices
/home/users/we-retail
*/social/relationships/friend/*
- o
*/social/relationships/pending-following/*
.
/content/we-retail/us/en/community
Estados de permisos permission-states
Los permisos también se aplican a cualquier página secundaria.
Si un permiso no se hereda del nodo principal pero tiene al menos una entrada local para él, los siguientes símbolos se anexan a la casilla de verificación. Una entrada local es la que se crea en la interfaz de CRX 2.2 (actualmente, las ACL comodín solo se pueden crear en CRX).
Para una acción en una ruta determinada:
Cuando pasa el ratón sobre el asterisco o el signo de exclamación, la información sobre herramientas proporciona más detalles sobre las entradas declaradas. La información del objeto se divide en dos partes:
A continuación se ofrecen recomendaciones acerca de la administración de listas de control de acceso:
-
No asigne permisos directamente a los usuarios. Asígnelos únicamente a grupos.
Esto simplifica el mantenimiento, ya que el número de grupos es mucho menor que el número de usuarios y también menos volátil.
-
Si desea que un grupo o usuario solo pueda modificar páginas, no le conceda derechos de creación ni de denegación. Conceda solo derechos de modificación y lectura.
-
Utilice Denegar con moderación. En la medida de lo posible, utilice Permitir solamente.
El uso de denegar puede producir efectos inesperados si los permisos se aplican en un orden diferente al esperado. Si un usuario es miembro de más de un grupo, las instrucciones Denegar de un grupo pueden cancelar la instrucción Permitir de otro grupo o viceversa. Es difícil mantener una visión general cuando sucede algo así y puede llevar fácilmente a resultados imprevistos, mientras que Permitir asignaciones no causa tales conflictos.
El Adobe recomienda trabajar con Permitir en lugar de Denegar para ver las Prácticas recomendadas.
Antes de modificar cualquiera de los permisos, asegúrese de comprender cómo funcionan y cómo se relacionan entre sí. Consulte la documentación de CRX AEM que ilustra cómo WCM evalúa los derechos de acceso y ejemplos sobre la configuración de listas de control de acceso.
Permisos permissions
AEM AEM Los permisos otorgan a los usuarios y grupos acceso a la funcionalidad de la en páginas de informes.
Para examinar los permisos por ruta, expanda o contraiga los nodos y puede realizar un seguimiento de la herencia de permisos hasta el nodo raíz.
Para permitir o denegar permisos, active o desactive las casillas de verificación correspondientes.
Visualización de información detallada de permisos viewing-detailed-permission-information
AEM Junto con la vista de cuadrícula, proporciona una vista detallada de los permisos para un usuario/grupo seleccionado en una ruta determinada. La vista de detalles proporciona información adicional.
Además de ver la información, también puede incluir o excluir al usuario o grupo actual de un grupo. Consulte Agregar usuarios o grupos mientras agrega permisos. Los cambios realizados aquí se reflejan inmediatamente en la parte superior de la vista detallada.
Para obtener acceso a la vista de detalles, en la ficha Permisos, haga clic en Detalles para cualquier grupo/usuario y ruta seleccionados.
Los detalles se dividen en dos partes:
Suplantar a otro usuario impersonating-another-user
Con la funcionalidad Suplantar, un usuario puede trabajar en nombre de otro usuario.
Es decir, una cuenta de usuario puede especificar otras cuentas que pueden funcionar con su cuenta. Por ejemplo, si el usuario B puede suplantar al usuario A, el usuario B puede actuar utilizando los detalles completos de la cuenta del usuario A.
Esta funcionalidad permite que las cuentas de suplantación completen tareas como si estuvieran utilizando la cuenta que están suplantando. Por ejemplo, durante una ausencia o para compartir una carga excesiva a corto plazo.
/home/users
.Prácticas recomendadas best-practices
A continuación se describen las prácticas recomendadas al trabajar con permisos y privilegios:
Evite asignar derechos de acceso usuario por usuario. Existen varias razones para este consejo:
- Hay muchos más usuarios que grupos, por lo que los grupos simplifican la estructura.
- Los grupos ayudan a proporcionar una visión general de todas las cuentas.
- La herencia es más sencilla con los grupos.
- Los usuarios van y vienen. Los grupos son a largo plazo.
Administración de usuarios y grupos managing-users-and-groups
Los usuarios incluyen a las personas que utilizan el sistema y a los sistemas extranjeros que realizan solicitudes al sistema.
Un grupo es un conjunto de usuarios.
Ambos se pueden configurar mediante la funcionalidad Administración de usuarios de la consola de seguridad.
Acceso a la administración de usuarios con la consola de seguridad accessing-user-administration-with-the-security-console
Puede acceder a todos los usuarios, grupos y permisos asociados mediante la consola de seguridad. Todos los procedimientos descritos en esta sección se realizan en esta ventana.
AEM Para tener acceso a la seguridad de WCM de la, siga uno de estos procedimientos:
- AEM En la pantalla de bienvenida de o en varias ubicaciones de, haga clic en el icono de seguridad:
AEM
- Vaya directamente a
https://<server>:<port>/useradmin
. AEM Asegúrese de iniciar sesión en el servicio de administración de.
Se muestra la siguiente ventana:
El árbol izquierdo enumera todos los usuarios y grupos que hay actualmente en el sistema. Puede seleccionar las columnas que desea mostrar, ordenar su contenido e incluso cambiar el orden en que se muestran arrastrando el encabezado de columna a una nueva posición.
Las pestañas proporcionan acceso a varias configuraciones:
Puede asignar permisos a un usuario o grupo. Permite controlar lo siguiente:
- Permisos relacionados con páginas o nodos concretos. Consulte Configuración de permisos.
- Permisos relacionados con la creación y eliminación de páginas y la modificación de la jerarquía. ??? permite asignar privilegios, como la modificación de la jerarquía, que permite crear y eliminar páginas,
- Permisos relacionados con privilegios de replicación (normalmente de autor a publicación) según una ruta.
Filtrado de usuarios y grupos filtering-users-and-groups
Puede filtrar la lista introduciendo una expresión de filtro, que oculta todos los usuarios y grupos que no coinciden con la expresión. También puede ocultar usuarios y grupos mediante los botones Ocultar usuario y Ocultar grupo.
Para filtrar usuarios o grupos:
-
En la lista del árbol izquierdo, escriba la expresión de filtro en el espacio proporcionado. Por ejemplo, al escribir admin se muestran todos los usuarios y grupos que contienen esta cadena.
-
Haga clic en la lupa para filtrar la lista.
-
Haga clic en x cuando quiera eliminar todos los filtros.
Ocultar usuarios y grupos hiding-users-and-groups
Ocultar usuarios o grupos es otra forma de filtrar la lista de todos los usuarios y grupos de un sistema. Existen dos mecanismos de alternancia. Al hacer clic en Ocultar usuario, se ocultan todos los usuarios de la vista y al hacer clic en Ocultar grupos, se ocultan todos los grupos de la vista (no se pueden ocultar tanto los usuarios como los grupos al mismo tiempo). Para filtrar la lista mediante una expresión de filtro, vea Filtrado de usuarios y grupos.
Para ocultar usuarios y grupos:
-
En la consola Seguridad, haga clic en Ocultar usuarios o en Ocultar grupos. El botón seleccionado aparece resaltado.
-
Para que vuelvan a aparecer usuarios o grupos, haga clic de nuevo en el botón correspondiente.
Creación de usuarios y grupos creating-users-and-groups
Para crear un usuario o un grupo:
-
En la lista de árbol de la consola Security, haga clic en Editar y, a continuación, en Crear usuario o en Crear grupo.
-
Introduzca los detalles necesarios, en función de si está creando un usuario o un grupo.
- Si selecciona Crear usuario,, debe ingresar el identificador de inicio de sesión, el nombre y los apellidos, la dirección de correo electrónico y una contraseña. AEM De forma predeterminada, crea una ruta basada en la primera letra del apellido, pero puede seleccionar otra ruta.
- Si selecciona Crear grupo, debe introducir un identificador de grupo y una descripción opcional.
-
Haga clic en Crear. El usuario o grupo que ha creado aparece en la lista de árbol.
Eliminación de usuarios y grupos deleting-users-and-groups
Para eliminar un usuario o un grupo:
- En la consola Seguridad, seleccione el usuario o grupo que desee eliminar. Si desea eliminar varios elementos, pulse Mayús + clic o Control + clic para seleccionarlos.
- Haga clic en Editar, y luego seleccione Eliminar. AEM WCM pregunta si desea eliminar el usuario o el grupo.
- Haga clic en Aceptar para confirmar o cancelar.
Modificación de las propiedades de usuario y grupo modifying-user-and-group-properties
Para modificar las propiedades de usuario y grupo:
-
En la consola Seguridad, haga doble clic en el nombre de usuario o de grupo que desee modificar.
-
Haga clic en la ficha Propiedades, realice los cambios necesarios y haga clic en Guardar.
Cambiar una contraseña de usuario changing-a-user-password
Utilice el siguiente procedimiento para modificar la contraseña de un usuario.
-
En la consola Security, haga doble clic en el nombre de usuario cuya contraseña desea cambiar.
-
Haga clic en la ficha Propiedades (si no está activa).
-
Haga clic en Establecer contraseña. Se abrirá la ventana Establecer contraseña, donde podrá cambiarla.
-
Introduzca la nueva contraseña dos veces; ya que no se muestran en texto no cifrado, esta acción es para confirmación: si no coinciden, el sistema muestra un error.
-
Haga clic en Establecer para activar la nueva contraseña de la cuenta.
Adición de usuarios o grupos a un grupo adding-users-or-groups-to-a-group
AEM Ofrece tres formas diferentes de agregar usuarios o grupos a un grupo existente:
- Cuando esté en el grupo, puede agregar miembros (usuarios o grupos).
- Cuando esté en el miembro, puede agregar miembros a grupos.
- Cuando esté trabajando en Permisos, puede agregar miembros a grupos.
Grupos: agregar usuarios o grupos a un grupo groups-adding-users-or-groups-to-a-group
La ficha Grupos le muestra a qué grupos pertenece la cuenta actual. Puede utilizarlo para agregar la cuenta seleccionada a un grupo:
-
Haga doble clic en el nombre de la cuenta (usuario o grupo) que desee asignar a un grupo.
-
Haga clic en la ficha Grupos. Verá una lista de grupos a los que ya pertenece la cuenta.
-
En la lista de árbol, haga clic en el nombre del grupo al que desee agregar la cuenta y arrástrelo al panel Grupos. (Si desea agregar varios usuarios, pulse Mayús + clic o Control + clic en esos nombres y arrástrelos).
-
Haga clic en Guardar para guardar los cambios.
Miembros: agregar usuarios o grupos a un grupo members-adding-users-or-groups-to-a-group
La ficha Miembros solo funciona para grupos y muestra los usuarios y grupos que pertenecen al grupo actual. Puede utilizarlo para agregar cuentas a un grupo:
-
Haga doble clic en el nombre del grupo al que desea agregar miembros.
-
Haga clic en la ficha Miembros. Verá una lista de miembros que ya pertenecen a este grupo.
-
En la lista de árbol, haga clic en el nombre del miembro que desee agregar al grupo y arrástrelo al panel Miembros. (Si desea agregar varios usuarios, pulse Mayús + clic o Control + clic en esos nombres y arrástrelos).
-
Haga clic en Guardar para guardar los cambios.
Agregar usuarios o grupos al agregar permisos adding-users-or-groups-while-adding-permissions
Para agregar miembros a un grupo en en una ruta determinada:
-
Haga doble clic en el nombre del grupo o usuario al que desee agregar usuarios.
-
Haga clic en la ficha Permisos.
-
Vaya a la ruta a la que desee agregar permisos y haga clic en Detalles. La parte inferior de la ventana de detalles proporciona información sobre quién tiene permisos para esa página.
-
Active la casilla de verificación de la columna Miembro para los miembros para los que desea tener permisos en esa ruta. Desactive la casilla de verificación del miembro para el que desea quitar permisos. Aparece un triángulo rojo en la celda que ha cambiado.
-
Haga clic en Aceptar para guardar los cambios.
Quitar usuarios o grupos de grupos removing-users-or-groups-from-groups
AEM Ofrece tres formas diferentes de eliminar usuarios o grupos de un grupo:
- Cuando se encuentra en el perfil de grupo, puede quitar miembros (usuarios o grupos).
- Cuando se encuentra en el perfil de miembro, puede quitar miembros de los grupos.
- Cuando esté trabajando en Permisos, puede quitar miembros de los grupos.
Grupos: quitar usuarios o grupos de grupos groups-removing-users-or-groups-from-groups
Para quitar una cuenta de usuario o de grupo de un grupo:
-
Haga doble clic en el nombre del grupo o cuenta de usuario que desea quitar de un grupo.
-
Haga clic en la ficha Grupos. Verá a qué grupos pertenece la cuenta seleccionada.
-
En el panel Grupos, haga clic en el nombre del usuario o grupo que desee quitar del grupo y, a continuación, haga clic en Quitar. (Si desea quitar varias cuentas, presione Mayús+clic o Control+clic en esos nombres y haga clic en Quitar).
-
Haga clic en Guardar para guardar los cambios.
Miembros - Quitar usuarios o grupos de grupos members-removing-users-or-groups-from-groups
Para quitar cuentas de un grupo:
-
Haga doble clic en el nombre del grupo del que desea quitar miembros.
-
Haga clic en la ficha Miembros. Verá una lista de miembros que ya pertenecen a este grupo.
-
En el panel Miembros, haga clic en el nombre del miembro que desea quitar del grupo y, a continuación, haga clic en Quitar. (Si desea quitar varios usuarios, presione Mayús+clic o Control+clic en esos nombres y haga clic en Quitar).
-
Haga clic en Guardar para guardar los cambios.
Quitar usuarios o grupos al agregar permisos removing-users-or-groups-while-adding-permissions
Para eliminar miembros de un grupo en una ruta determinada:
-
Haga doble clic en el nombre del grupo o usuario del que desee quitar usuarios.
-
Haga clic en la ficha Permisos.
-
Vaya a la ruta a la que desee quitar los permisos y haga clic en Detalles. La parte inferior de la ventana de detalles proporciona información sobre quién tiene permisos para esa página.
-
Active la casilla de verificación de la columna Miembro para los miembros para los que desea tener permisos en esa ruta. Desactive la casilla de verificación del miembro para el que desea quitar permisos. Aparece un triángulo rojo en la celda que ha cambiado.
-
Haga clic en Aceptar para guardar los cambios.
Sincronización de usuarios user-synchronization
Cuando la implementación es una granja de servidores de publicación, los usuarios y grupos deben sincronizarse entre todos los nodos de publicación.
Para obtener más información acerca de la sincronización de usuarios y cómo habilitarla, consulte Sincronización de usuarios.
Administración de permisos managing-permissions
En esta sección se describe cómo definir permisos, incluidos los privilegios de replicación.
Configuración de permisos setting-permissions
Los permisos permiten a los usuarios realizar determinadas acciones en los recursos en determinadas rutas. También incluye la capacidad de crear o eliminar páginas.
Para agregar, modificar o eliminar permisos:
-
En la consola Seguridad, haga doble clic en el nombre del usuario o grupo para el que desea establecer permisos o busque nodos.
-
Haga clic en la ficha Permisos.
-
En la cuadrícula del árbol, active una casilla de verificación para permitir que el usuario o grupo seleccionado realice una acción o desactive una casilla de verificación para denegar al usuario o grupo seleccionado la realización de una acción. Para obtener más información, haga clic en Detalles.
-
Cuando termine, haga clic en Guardar.
Configuración de Privilegios de Replicación setting-replication-privileges
El privilegio de replicación es el derecho para publicar contenido y se puede establecer para grupos y usuarios.
- Cualquier derecho de replicación aplicado a un grupo se aplica a todos los usuarios de ese grupo.
- Los privilegios de replicación de un usuario reemplazan a los de un grupo.
- Los derechos Permitir replicación tienen una prioridad mayor que Denegar derechos de replicación. AEM Consulte Permisos en el código de tiempo de trabajo para obtener más información.
Para establecer privilegios de replicación:
-
Seleccione el usuario o grupo de la lista, haga doble clic para abrir y haga clic en Permisos.
-
En la cuadrícula, vaya a la ruta de acceso en la que desea que el usuario tenga privilegios de replicación o busque nodos.
-
En la columna Replicar de la ruta seleccionada, active una casilla de verificación para agregar el privilegio de replicación para ese usuario o grupo, o bien desactive la casilla de verificación para quitar el privilegio de replicación. AEM muestra un triángulo rojo en cualquier lugar donde haya realizado cambios que aún no se hayan guardado.
-
Haga clic en Guardar para guardar los cambios.
Búsqueda de nodos searching-for-nodes
Al agregar o quitar permisos, puede examinar o buscar el nodo.
Existen dos tipos diferentes de búsqueda de ruta:
- Búsqueda de ruta: si la cadena de búsqueda comienza con "/", busca los subnodos directos de la ruta dada:
En el cuadro de búsqueda, puede hacer lo siguiente:
- Búsqueda de texto completo: si la cadena de búsqueda no comienza con "/", se ejecuta una búsqueda de texto completo en todos los nodos de la ruta "/content".
Para realizar una búsqueda de rutas o texto completo:
-
En la consola de seguridad, seleccione un usuario o grupo y, a continuación, haga clic en la ficha Permisos.
-
En el cuadro Buscar, escriba el término que desea buscar.
Suplantación de usuarios impersonating-users
Puede especificar uno o varios usuarios que pueden suplantar al usuario actual. Esta capacidad significa que pueden cambiar la configuración de su cuenta a la del usuario actual y actuar en nombre de este usuario.
Utilice esta función con precaución, ya que puede permitir a los usuarios realizar acciones que su propio usuario no puede. Al suplantar a un usuario, se notifica a los usuarios que no han iniciado sesión como ellos mismos.
Hay varios escenarios en los que puede que desee utilizar esta funcionalidad, incluidos los siguientes:
- Si está fuera de la oficina, puede dejar que otra persona le suplante mientras está fuera. Al utilizar esta función, puede asegurarse de que alguien tenga sus derechos de acceso y de que no necesite modificar un perfil de usuario ni proporcionar su contraseña.
- Puede utilizarlo con fines de depuración. Por ejemplo, para ver cómo el sitio Web busca un usuario con derechos de acceso restringidos. Además, si un usuario se queja de problemas técnicos, puede suplantar a ese usuario para diagnosticar y solucionar el problema.
Para suplantar a un usuario existente:
-
En la lista de árbol, seleccione el nombre de la persona a la que desea asignar otros usuarios para que suplanten. Haga doble clic para abrir.
-
Haga clic en la ficha Suplantadores.
-
Haga clic en el usuario que desea que pueda suplantar al usuario seleccionado. Arrastre el usuario (el suplantador) de la lista al panel Suplantar. El nombre aparece en la lista.
-
Haga clic en Guardar.
Estableciendo preferencias de usuario y grupo setting-user-and-group-preferences
Para establecer las preferencias de usuario y grupo, incluidos el idioma, la administración de ventanas y las preferencias de la barra de herramientas:
-
Seleccione el usuario o grupo cuyas preferencias desee cambiar en el árbol de la izquierda. Para seleccionar varios usuarios o grupos, pulse Ctrl+clic o Mayús+clic en sus selecciones.
-
Haga clic en la ficha Preferencias.
-
Realice los cambios necesarios en las preferencias de grupo o usuario y haga clic en Guardar cuando termine.
Configuración de usuarios o administradores para que tengan el privilegio de administrar otros usuarios setting-users-or-administrators-to-have-the-privilege-to-manage-other-users
Para configurar usuarios o administradores para que tengan privilegios de eliminación, activación o desactivación de otros usuarios:
-
Agregue el usuario al que desea otorgar privilegios para administrar otros usuarios al grupo de administradores y guarde los cambios.
-
En la ficha Permisos del usuario, vaya a "/" y en la columna Replicar, active la casilla de verificación para permitir la replicación en "/" y haga clic en Guardar.
El usuario seleccionado ahora puede desactivar, activar, eliminar y crear usuarios.
Ampliación de Privilegios en un Nivel de Proyecto extending-privileges-on-a-project-level
Si planea implementar privilegios específicos de la aplicación, la siguiente información describe lo que debe saber para implementar un privilegio personalizado y cómo aplicarlo a través de CQ:
El privilegio de modificación de jerarquía está cubierto por una combinación de privilegios jcr. El privilegio de replicación se denomina crx:replicate y se almacena/evalúa junto con otros privilegios en el repositorio jcr. Sin embargo, no se aplica en el nivel jcr.
La definición y el registro de privilegios personalizados forman parte oficialmente de la API de Jackrabbit a partir de la versión 2.4 (véase también JCR-2887). La administración de control de acceso JCR, tal como se define en JSR 283 (sección 16), cubre el uso adicional. Además, la API de Jackrabbit define un par de extensiones.
El mecanismo de registro de privilegios se refleja en la interfaz de usuario en Configuración del repositorio.
El registro de nuevos privilegios (personalizados) está protegido por un privilegio integrado que debe otorgarse en el nivel de repositorio. En JCR: pasar "null" como parámetro "absPath" en la API de ac mgt, consulte jsr 333 para obtener más información. De manera predeterminada, admin y todos los miembros de administradores tienen concedido ese privilegio.