Cet article souligne le rôle essentiel des autorisations basées sur les groupes dans AEM Assets pour sécuriser les dossiers de ressources numériques, optimiser l’administration et garantir la cohérence de la marque, la conformité réglementaire et le contrôle opérationnel. Il présente les bonnes pratiques pour la configuration et la maintenance des groupes d’utilisateurs et d’utilisatrices et pour les autorisations afin de garantir la sécurité des données et la stabilité du système.
Commencer à utiliser les groupes d’utilisateurs et d’utilisatrices et les autorisations
Maintenant que vous en savez plus sur les bonnes pratiques et les conseils pour commencer à utiliser AEM Assets et sur la structure et le nommage des dossiers, cet article s’appuie sur ces bonnes pratiques et se concentre sur les utilisateurs, les utilisatrices et les autorisations.
La sécurisation de vos dossiers de ressources numériques avec des autorisations est essentielle dans toute organisation où vous devez gérer différents groupes d’utilisateurs et d’utilisatrices qui doivent disposer d’accès différents aux différentes ressources.
Dans AEM Assets, les utilisateurs et les utilisatrices sont des comptes individuels qui se connectent à l’instance d’AEM Assets, tandis que les groupes sont des ensembles logiques d’utilisateurs et d’utilisatrices, de groupes, ou les deux.
Les groupes tendent à rester stables, alors que les utilisateurs et les utilisatrices varient plus fréquemment.
Pourquoi utiliser des groupes d’utilisateurs et d’utilisatrices et des autorisations
Les autorisations déterminent qui peut afficher, modifier ou gérer des ressources.
Les autorisations basées sur des groupes simplifient l’administration et garantissent un accès sécurisé.
Les groupes simplifient la gestion des autorisations et des accès, étant donné qu’une modification apportée à un groupe est appliquée à toutes les personnes membres du groupe. Les groupes reflètent souvent les éléments suivants :
- Un rôle au sein de l’application - Par exemple, une personne autorisée à afficher le contenu ou à contribuer au contenu.
- Les besoins en matière de contrôle d’accès au contenu de votre entreprise - Cela vous permet de différencier les contributeurs et contributrices issus des différents services, à quoi ils peuvent accéder et ce qu’ils peuvent faire.
Les groupes d’utilisateurs et d’utilisatrices et les autorisations permettent ou fournissent les éléments suivants :
- Sécurité des données - Protection des ressources sensibles et confidentielles.
- Cohérence de la marque - Pour garantir que seuls les utilisateurs et utilisatrices approuvés puissent accéder aux ressources et les publier.
- Conformité réglementaire - Prise en charge des droits d’auteur, des licences, de la gestion des droits numériques et des lois sur la confidentialité (par exemple, le RGPD).
- Contrôle opérationnel - Pour empêcher l’accès, les modifications ou les suppressions non autorisés.
Au sein de chaque groupe, des autorisations ou des privilèges spécifiques sont configurés pour définir qui peut accéder au contenu, le lire et le modifier dans AEM Assets. Les autorisations sont configurées dans AEM à l’aide de listes de contrôle d’accès (ACL), qui ont les caractéristiques suivantes :
- Règles appliquées à un dossier, une ressource ou un nœud.
- Configurées pour chaque groupe afin d’autoriser ou de refuser aux utilisateurs et utilisatrices de ce groupe les accès à différentes fonctionnalités.
- Ordonnées de manière à placer les éléments ayant la priorité la plus élevée en premier.
« AEM Assets utilise des structures de dossiers hiérarchiques, et les autorisations appliquées à un dossier parent s’appliquent automatiquement en cascade à ses dossiers enfant et aux ressources qu’ils contiennent. Cet héritage intégré optimise la gestion des accès et réduit la charge de travail d’administration, garantissant ainsi une application cohérente des autorisations dans les arborescences de contenu volumineuses. »
- Deepak Khetawat, ingénieur logiciel principal chez Palo Alto Networks et champion AEM
Bonnes pratiques relatives à la configuration des groupes et des autorisations
-
Créez des groupes d’utilisateurs et d’utilisatrices basés sur des rôles - Par exemple, les auteurs et autrices, les personnes spécialisées dans le marketing, les personnes chargées de la création, les agences.
-
Attribuez toujours des autorisations aux groupes, et non aux personnes - Pour améliorer l’évolutivité et simplifier les audits.
-
Évitez une complication excessive - Une structure propre et basée sur des autorisations permet une gestion et une résolution des problèmes plus faciles.
-
Utilisez les groupes système ou les groupes par défaut - Par exemple, Auteurs et autrices et Utilisateurs et utilisatrices de DAM, qui sont préconfigurés dans AEM. Au besoin, définissez des groupes personnalisés (par exemple, Approbateurs et approbatrices marketing ou Réviseurs et réviseuses juridiques) pour un accès basé sur les rôles.
-
Accordez le moins de privilèges possible - Accordez aux utilisateurs et aux utilisatrices ou aux groupes uniquement les autorisations nécessaires pour leur rôle, rien de plus.
-
Privilégiez un modèle « centré sur les autorisations » - Par exemple : peut modifier, peut afficher. N’utilisez l’instruction « Refuser » que lorsque cela est absolument nécessaire pour remplacer une instruction « Autoriser » d’un niveau supérieur ou d’une appartenance à un groupe, et assurez-vous que ces instructions « Refuser » sont aussi spécifiques que possible.
-
Définissez les autorisations du haut vers le bas dans les listes de contrôle d’accès (ACL) - Tenez toujours compte de l’ordre des éléments dans la liste. La première correspondance ACL explicite dans l’ordre d’évaluation est appliquée.
« Dans AEM Assets, les autorisations doivent toujours être attribuées au niveau du groupe et non directement à des utilisateurs et utilisatrices individuels. Cette approche basée sur les groupes améliore l’évolutivité, simplifie les audits des autorisations et s’aligne sur les bonnes pratiques en matière de gestion des accès en entreprise. Même si un groupe ne contient initialement qu’une seule personne, l’attribution d’autorisations au groupe facilite la maintenance lorsque des utilisateurs et des utilisatrices le rejoignent, le quittent ou changent de rôle. Il vous suffit de réaffecter la personne au groupe existant sans avoir à modifier les autorisations. »
- Deepak Khetawat, ingénieur logiciel principal chez Palo Alto Networks et champion AEM
Bonnes pratiques opérationnelles de gestion des groupes et des autorisations
La configuration des groupes d’utilisateurs et d’utilisatrices et des autorisations n’est pas une tâche qui ne s’effectue qu’une fois. À mesure que votre organisation change, vous allez modifier et auditer régulièrement vos groupes d’utilisateurs et d’utilisatrices et vos autorisations. Établissez une cadence pour la maintenance et la gouvernance.
- Auditez régulièrement - Vérifiez régulièrement les autorisations, en particulier pour les dossiers sensibles, afin d’assurer la conformité.
- Conservez la parité des environnements - Définissez de manière identique les structures d’autorisations pour les environnements de développement, d’évaluation et de production afin d’éviter les surprises lors du déploiement.
- Tenez à jour une matrice des autorisations - Documentez les rôles des groupes et les niveaux d’accès pour favoriser la transparence, l’intégration et la conformité, et pour partager, le cas échéant, les autorisations avec les parties prenantes en dehors des utilisateurs et des utilisatrices d’AEM Assets.
- Tenez compte de l’impact de la réplication - Assurez-vous que les modifications apportées aux autorisations se propagent aux instances de publication si l’accès aux ressources affecte des sites publics.
Essayez par vous-même.
Maintenant que vous connaissez les bonnes pratiques pour configurer des groupes d’utilisateurs et d’utilisatrices et des autorisations, essayez d’utiliser les groupes et les autorisations dans AEM.
- Créez ou gérez des groupes - Accédez à Ressources → Outils → Sécurité → Utilisateurs et utilisatrices et groupes. Utilisez cette interface pour gérer les utilisateurs et utilisatrices et les affecter aux groupes appropriés en fonction des rôles.
- Définissez des autorisations au niveau du dossier - Accédez au dossier de gestion des ressources numériques de votre choix dans AEM Assets, puis ouvrez l’onglet Propriétés → Autorisations.
- Tirez profit des rapports - Capturez la dernière activité de connexion des utilisateurs et des utilisatrices. Facilitez et exécutez des audits non seulement pour examiner les droits d’accès, mais aussi pour supprimer les utilisateurs et utilisatrices qui ne se sont pas connectés pendant une période déterminée ou qui n’ont plus besoin d’un accès.
Ressources d’apprentissage supplémentaires
Regardez la session Adobe Experience Makers : session d’échange de compétences intitulée AEM Masterclass : workflows des ressources, autorisations et intégration pour plus d’informations. En outre, les ressources ci-dessous peuvent vous aider à établir des groupes d’utilisateurs et d’utilisatrices et des autorisations dans AEM Assets.
- Utilisateurs et utilisatrices et autorisations (documentation d’AEM as a Cloud Service)
- Administration et sécurité des utilisateurs et utilisatrices (documentation d’AEM 6.5)
- Administration des utilisateurs et des utilisatrices, des groupes et des droits d’accès (documentation d’AEM 6.5)
- Générer des rapports sur les utilisateurs et les utilisatrices (publication de la communauté)
Prochaines étapes
Cet article sur les bonnes pratiques relatives aux contrôles d’accès par le biais de groupes d’utilisateurs et d’utilisatrices et des autorisations fait partie d’une série d’articles comprenant des conseils fondamentaux, des bonnes pratiques et des conseils de championnes et champions Adobe pour commencer à utiliser Adobe Experience Manager Assets. Pour continuer dans cette série, nous allons maintenant nous concentrer sur les métadonnées.
Pour explorer tous les articles de cette série concernant les fondamentaux d’AEM Assets, consultez ce qui suit :