Amministrazione di diritti di accesso, gruppi e utenti user-group-and-access-rights-administration
L'abilitazione dell'accesso a un archivio CRX prevede diversi argomenti:
-
Diritti di accesso - i concetti di definizione e valutazione
-
Amministrazione utente - gestione dei singoli account utilizzati per l'accesso
-
Amministrazione dei gruppi - semplificare la gestione degli utenti tramite la creazione di gruppi
-
Accesso alla gestione dei diritti - definizione di criteri che controllano il modo in cui gli utenti e i gruppi possono accedere alle risorse
Gli elementi di base sono i seguenti:
Account utente CRX autentica l'accesso identificando e verificando un utente (da quella persona o un'altra applicazione) in base ai dettagli contenuti nell'account utente.
In CRX ogni account utente è un nodo nell'area di lavoro. Un account utente CRX ha le seguenti proprietà:
-
Rappresenta un utente di CRX.
-
Contiene un nome utente e una password.
-
È applicabile per quell’area di lavoro.
-
Non può avere utenti secondari. Per i diritti di accesso gerarchici, utilizzare i gruppi.
-
Puoi specificare i diritti di accesso per l’account utente.
Tuttavia, per semplificare la gestione, consigliamo (nella maggior parte dei casi) di assegnare diritti di accesso agli account di gruppo. L’assegnazione di diritti di accesso per ogni singolo utente diventa rapidamente molto difficile da gestire (le eccezioni sono determinati utenti di sistema quando esistono solo una o due istanze).
Account di gruppo Gli account di gruppo sono raccolte di utenti e/o di altri gruppi. Questi vengono utilizzati per semplificare la gestione in quanto una modifica dei diritti di accesso assegnati a un gruppo viene applicata automaticamente a tutti gli utenti di quel gruppo. Un utente non deve appartenere ad alcun gruppo, ma spesso appartiene a diversi.
In CRX un gruppo ha le seguenti proprietà:
-
Rappresenta un gruppo di utenti con diritti di accesso comuni. Ad esempio, autori o sviluppatori.
-
È applicabile per quell’area di lavoro.
-
può avere membri; possono essere singoli utenti o altri gruppi.
-
Il raggruppamento gerarchico può essere ottenuto con le relazioni tra membri. Non puoi posizionare un gruppo direttamente sotto un altro gruppo nell’archivio.
-
È possibile definire i diritti di accesso per tutti i membri del gruppo.
Diritti di accesso CRX utilizza i diritti di accesso per controllare l'accesso a specifiche aree dell'archivio.
Questo viene fatto assegnando privilegi per consentire o negare l’accesso a una risorsa (nodo o percorso) nell’archivio. Poiché è possibile assegnare vari privilegi, questi devono essere valutati per determinare quale combinazione è applicabile alla richiesta corrente.
CRX ti consente di configurare i diritti di accesso per gli account utente e per i gruppi. Gli stessi principi di valutazione di base sono poi applicati a entrambi.
Valutazione dei diritti di accesso how-access-rights-are-evaluated
Argomenti e Principali subjects-and-principals
CRX utilizza due concetti chiave durante la valutazione dei diritti di accesso:
-
A principale è un'entità che detiene diritti di accesso. I principali includono:
-
Un account utente.
-
Un account di gruppo
Se un account utente appartiene a uno o più gruppi, lo raggruppa anche con ciascuno di questi gruppi principali.
-
-
A soggetto viene utilizzato per rappresentare l’origine di una richiesta.
Viene utilizzato per consolidare i diritti di accesso applicabili a tale richiesta. Questi sono tratti da:
-
Entità utente principale
I diritti che assegni direttamente all’account utente.
-
Tutti i gruppi principali associati a tale utente
Tutti i diritti assegnati a uno qualsiasi dei gruppi a cui appartiene l'utente.
Il risultato viene quindi utilizzato per consentire o negare l’accesso alla risorsa richiesta.
-
Compilazione dell'elenco dei diritti di accesso per un soggetto compiling-the-list-of-access-rights-for-a-subject
In CRX il soggetto dipende da:
- entità utente
- tutte le entità gruppo associate a tale utente
L'elenco dei diritti di accesso applicabili all'oggetto è costituito da:
- i diritti che assegni direttamente all’account utente
- più tutti i diritti assegnati a uno qualsiasi dei gruppi a cui appartiene l'utente
- CRX non prende in considerazione alcuna gerarchia di utenti quando compila l’elenco.
- CRX utilizza una gerarchia di gruppi solo quando includi un gruppo come membro di un altro gruppo. Non esiste un'ereditarietà automatica delle autorizzazioni di gruppo.
- L’ordine in cui si specificano i gruppi non influisce sui diritti di accesso.
Risoluzione dei diritti di richiesta e di accesso resolving-request-and-access-rights
Quando CRX gestisce la richiesta confronta la richiesta di accesso dall'oggetto con l'elenco di controllo accessi sul nodo del repository:
Quindi se Linda richiede di aggiornare la /features
nodo nella seguente struttura del repository:
Ordine di precedenza order-of-precedence
I diritti di accesso in CRX sono valutati come segue:
-
Le entità utente hanno sempre la precedenza sui gruppi principali indipendentemente da:
- ordine nell'elenco dei controlli di accesso
- la loro posizione nella gerarchia dei nodi
-
Per un dato entità principale esiste (al massimo) 1 negazione e 1 permette l'ingresso su un dato nodo. L'implementazione cancella sempre le voci ridondanti e si assicura che lo stesso privilegio non sia elencato sia nelle voci allow che deny.
Due esempi in cui l’utente aUser
è membro del gruppo aGroup
:
+ parentNode
+ acl
+ ace: aUser - deny - write
+ childNode
+ acl
+ ace: aGroup - allow - write
+ grandChildNode
Nel caso di cui sopra:
aUser
non viene concessa l'autorizzazione di scrittura sugrandChildNode
.
+ parentNode
+ acl
+ ace: aUser - deny - write
+ childNode
+ acl
+ ace: aGroup - allow - write
+ ace: aUser - deny - write
+ grandChildNode
In questo caso:
-
aUser
non viene concessa l'autorizzazione di scrittura sugrandChildNode
. -
Il secondo ACE per
aUser
è ridondante.
I diritti di accesso da più entità di gruppo vengono valutati in base al loro ordine, sia all'interno della gerarchia che all'interno di un unico elenco di controllo di accesso.
Best practice best-practices
Nella tabella seguente sono elencati alcuni consigli e best practice:
Amministrazione utente user-administration
Viene utilizzata una finestra di dialogo standard per Amministrazione utente.
Devi aver effettuato l’accesso all’area di lavoro appropriata, quindi puoi accedere alla finestra di dialogo da entrambi:
- la Amministrazione utente link sulla Console principale di CRX
- la Sicurezza menu di CRX Explorer
Proprietà
-
UserID
Nome breve per l'account, utilizzato quando si accede a CRX. -
Nome principale
Nome completo dell'account. -
Password
Necessario quando si accede a CRX con questo account. -
ntlmhash
Assegnato automaticamente per ogni nuovo account e aggiornato quando la password viene modificata. -
È possibile aggiungere nuove proprietà definendo un nome, un tipo e un valore. Fai clic su Salva (simbolo di spunta verde) per ciascuna nuova proprietà.
Iscrizione al gruppo Vengono visualizzati tutti i gruppi a cui appartiene l’account. La colonna Ereditato indica l'appartenenza ereditata a seguito dell'appartenenza di un altro gruppo.
Facendo clic su un GroupID (se disponibile) si aprirà la Amministrazione dei gruppi per quel gruppo.
Impersonatori La funzionalità Impersona permette a un utente di lavorare a nome di un altro utente.
Ciò significa che un account utente può specificare altri account (utente o gruppo) che possono funzionare con il proprio account. In altre parole, se l’utente-B può rappresentare l’utente-A, l’utente-B può intraprendere azioni utilizzando i dettagli account completi dell’utente-A (inclusi ID, nome e diritti di accesso).
Ciò consente agli account dell’impersonatore di completare le attività come se utilizzassero l’account che stanno impersonando; ad esempio, durante un'assenza o per condividere un carico eccessivo a breve termine.
Se un account ne impersona un altro è molto difficile da vedere. I file di registro non contengono informazioni sul fatto che si è verificata una rappresentazione sugli eventi. Quindi, se l’utente-B rappresenta l’utente-A, tutti gli eventi avranno l’aspetto di come se fossero stati eseguiti personalmente dall’utente-A.
Creazione di un account utente creating-a-user-account
-
Apri Amministrazione utente finestra di dialogo.
-
Fai clic su Crea utente.
-
Puoi quindi immettere le Proprietà :
- UserID utilizzato come nome dell'account.
- Password necessario per l'accesso.
- Nome principale per fornire un nome di testo completo.
- Percorso intermedio che può essere utilizzato per formare una struttura ad albero.
-
Fare clic sul simbolo di spunta verde Salva.
-
La finestra di dialogo viene espansa per consentire di:
- Configura Proprietà.
- Vedi Iscrizione al gruppo.
- Definisci Impersonatori.
- utenti
- gruppi con molti membri
Aggiornamento di un account utente updating-a-user-account
-
Con la Amministrazione utente aprire la vista a elenco di tutti gli account.
-
Spostarsi nella struttura ad albero.
-
Fai clic sull’account necessario per aprire per la modifica.
-
Apporta una modifica, quindi fai clic su Salva (simbolo di spunta verde) per quella voce.
-
Fai clic su Chiudi per finire, oppure Elenco… per tornare all'elenco di tutti gli account utente.
Rimozione di un account utente removing-a-user-account
-
Con la Amministrazione utente aprire la vista a elenco di tutti gli account.
-
Spostarsi nella struttura ad albero.
-
Seleziona l’account richiesto e fai clic su Rimuovi utente; l’account verrà eliminato immediatamente.
Definizione delle proprietà defining-properties
Puoi definire Proprietà per i conti nuovi o esistenti:
- Apri Amministrazione utente finestra di dialogo per l’account appropriato.
- Definire un Proprietà nome.
- Seleziona la Tipo dall’elenco a discesa.
- Definisci la Valore.
- Fai clic su Salva (simbolo di clic verde) per la nuova proprietà.
Le proprietà esistenti possono essere eliminate con il simbolo del cestino.
Ad eccezione della password, le proprietà non possono essere modificate, devono essere eliminate e ricreati.
Modifica della password changing-the-password
La Password è una proprietà speciale che può essere modificata facendo clic sul pulsante Modifica password link.
Puoi anche modificare la password del tuo account utente dal Sicurezza in CRX Explorer.
Definizione di un impersonatore defining-an-impersonator
Puoi definire gli utenti impersonatori per account nuovi o esistenti:
-
Apri Amministrazione utente finestra di dialogo per l’account appropriato.
-
Specifica l'account da consentire per rappresentare tale account.
Puoi utilizzare Sfoglia per selezionare un account esistente.
-
Fai clic su Salva (simbolo di spunta verde) per la nuova proprietà.
Amministrazione dei gruppi group-administration
Viene utilizzata una finestra di dialogo standard per Amministrazione dei gruppi.
Devi aver effettuato l’accesso all’area di lavoro appropriata, quindi puoi accedere alla finestra di dialogo da entrambi:
- la Amministrazione dei gruppi link sulla Console principale di CRX
- la Sicurezza menu di CRX Explorer
Proprietà
-
GroupID
Nome breve per l'account del gruppo. -
Nome principale
Nome completo dell'account del gruppo. -
È possibile aggiungere nuove proprietà definendo un nome, un tipo e un valore. Fai clic su Salva (simbolo di spunta verde) per ciascuna nuova proprietà.
-
Membri
È possibile aggiungere utenti o altri gruppi come membri di questo gruppo.
Iscrizione al gruppo Vengono visualizzati tutti i gruppi a cui appartiene l'account del gruppo corrente. La colonna Ereditato indica l'appartenenza ereditata a seguito dell'appartenenza di un altro gruppo.
Facendo clic su un GroupID si aprirà la finestra di dialogo relativa a tale gruppo.
Membri Elenca tutti gli account (utenti e/o gruppi) che sono membri del gruppo corrente.
La Ereditato colonna indica l'appartenenza ereditata a seguito dell'appartenenza di un altro gruppo.
mac-default-<foldername>
per ogni cartella in cui sono definiti i ruoli.Creazione di un account di gruppo creating-a-group-account
-
Apri Amministrazione dei gruppi finestra di dialogo.
-
Fai clic su Crea gruppo.
-
Puoi quindi immettere le Proprietà :
- Nome principale per fornire un nome di testo completo.
- Percorso intermedio che può essere utilizzato per formare una struttura ad albero.
-
Fare clic sul simbolo di spunta verde Salva.
-
La finestra di dialogo viene espansa per consentire di:
- Configura Proprietà.
- Vedi Iscrizione al gruppo.
- Gestisci Membri.
Aggiornamento di un account di gruppo updating-a-group-account
-
Con la Amministrazione dei gruppi aprire la vista a elenco di tutti gli account.
-
Spostarsi nella struttura ad albero.
-
Fai clic sull’account necessario per aprire per la modifica.
-
Apporta una modifica, quindi fai clic su Salva (simbolo di spunta verde) per quella voce.
-
Fai clic su Chiudi per finire, oppure Elenco… per tornare all'elenco di tutti i conti del gruppo.
Rimozione di un account di gruppo removing-a-group-account
-
Con la Amministrazione dei gruppi aprire la vista a elenco di tutti gli account.
-
Spostarsi nella struttura ad albero.
-
Seleziona l’account richiesto e fai clic su Rimuovi gruppo; l’account verrà eliminato immediatamente.
Definizione delle proprietà defining-properties-1
Puoi definire le Proprietà per account nuovi o esistenti:
- Apri Amministrazione dei gruppi finestra di dialogo per l’account appropriato.
- Definire un Proprietà nome.
- Seleziona la Tipo dall’elenco a discesa.
- Definisci la Valore.
- Fai clic su Salva (simbolo di spunta verde) per la nuova proprietà.
Le proprietà esistenti possono essere eliminate con il simbolo del cestino.
Membri members
È possibile aggiungere membri al gruppo corrente:
-
Apri Amministrazione dei gruppi finestra di dialogo per l’account appropriato.
-
Effettua una delle seguenti operazioni:
- Immettere il nome del membro richiesto (account utente o gruppo).
- O utilizzare Sfoglia… per cercare e selezionare l'entità (account utente o gruppo) che si desidera aggiungere.
-
Fai clic su Salva (simbolo di spunta verde) per la nuova proprietà.
Oppure eliminare un membro esistente con il simbolo del cestino.
Accesso alla gestione dei diritti access-right-management
Con la Controllo degli accessi è possibile definire i criteri di controllo accessi e assegnare i relativi privilegi tramite la scheda di CRXDE Lite.
Ad esempio, Percorso corrente seleziona la risorsa richiesta nel riquadro a sinistra, nella scheda Controllo accesso del riquadro in basso a destra:
Le politiche sono classificate in base a:
-
Criteri applicabili per il controllo degli accessi
Questi criteri possono essere applicati.Si tratta di criteri disponibili per la creazione di un criterio locale. Una volta selezionato e aggiunto un criterio applicabile, diventa un criterio locale.
-
Criteri di controllo accessi locali
Si tratta dei criteri di controllo accessi applicati. È quindi possibile aggiornarli, ordinarli o rimuoverli.I criteri locali sostituiranno i criteri ereditati dall'elemento padre.
-
Politiche di controllo dell'accesso efficaci
Si tratta dei criteri di controllo accessi che sono ora in vigore per qualsiasi richiesta di accesso. Essi mostrano i criteri aggregati derivati sia dai criteri locali sia da quelli ereditati dall'elemento padre.
Selezione criteri policy-selection
I criteri possono essere selezionati per:
-
Percorso corrente
Come nell’esempio precedente, seleziona una risorsa all’interno dell’archivio. Verranno mostrate le politiche per questo "percorso attuale". -
Archivio
Seleziona il controllo di accesso a livello di archivio. Ad esempio, quando si imposta iljcr:namespaceManagement
privilegio, che è rilevante solo per l'archivio, non un nodo. -
Principale
Entità registrata nell'archivio.Puoi digitare nella Principale nome o fai clic sull’icona a destra del campo per aprire il Seleziona entità finestra di dialogo.
Questo consente di: Ricerca per Utente o Gruppo. Seleziona l'entità richiesta dall'elenco risultante, quindi fai clic su OK per riportare il valore alla finestra di dialogo precedente.
Privilegi privileges
Sono disponibili i seguenti privilegi per la selezione quando si aggiunge una voce di controllo di accesso (consulta la sezione API di sicurezza per maggiori dettagli):
Registrazione di nuovi privilegi registering-new-privileges
È inoltre possibile registrare nuovi privilegi:
-
Dalla barra degli strumenti seleziona Strumenti, quindi Privilegi per visualizzare i privilegi attualmente registrati.
-
Utilizza la Privilegio di registrazione icona (+) per aprire la finestra di dialogo e definire un nuovo privilegio:
-
Fai clic su OK da salvare. Il privilegio sarà ora disponibile per la selezione.
Aggiunta di una voce di controllo di accesso adding-an-access-control-entry
-
Seleziona la risorsa e apri la Controllo degli accessi scheda .
-
Per aggiungere una nuova Criteri di controllo accessi locali, fai clic su + a destra del Criteri applicabili per il controllo degli accessi elenco:
-
Viene visualizzata una nuova voce in Criteri di controllo accessi locali:
-
Fai clic sul pulsante + per aggiungere una nuova voce:
note note NOTE Al momento è necessaria una soluzione alternativa per specificare una stringa vuota. A questo scopo è necessario utilizzare "". -
Definisci il criterio di controllo accessi e fai clic su OK da salvare. Il nuovo criterio:
- sono elencati in Criteri di controllo accesso locale
- le modifiche si rifletteranno nel Politiche di controllo dell'accesso efficaci.
CRX convalida la tua selezione; per un dato entità principale esiste (al massimo) 1 negazione e 1 permette l'ingresso su un dato nodo. L'implementazione cancella sempre le voci ridondanti e si assicura che lo stesso privilegio non sia elencato sia nelle voci allow che deny.
Ordinamento dei criteri di controllo accessi locali ordering-local-access-control-policies
L'ordine nell'elenco indica l'ordine in cui vengono applicati i criteri.
-
Nella tabella di Criteri di controllo accessi locali seleziona la voce desiderata e trascinala nella nuova posizione nella tabella.
-
Le modifiche saranno visualizzate in entrambe le tabelle per Locale e Politiche di controllo dell'accesso efficaci.
Rimozione di un criterio di controllo degli accessi removing-an-access-control-policy
-
Nella tabella di Criteri di controllo accessi locali fai clic sull’icona rossa (-) a destra della voce.
-
La voce verrà rimossa da entrambe le tabelle per Locale e Politiche di controllo dell'accesso efficaci.
Verifica di un criterio di controllo degli accessi testing-an-access-control-policy
-
Dalla barra degli strumenti di CRXDE Lite, seleziona Strumenti, quindi Controllo accesso test….
-
Viene visualizzata una nuova finestra di dialogo nel riquadro in alto a destra. Seleziona la Percorso e/o Principale che vuoi testare.
-
Fai clic su Test per visualizzare i risultati della selezione: