AEM as a Cloud Serviceの投稿者グループに自動的に追加されたユーザー
AEM as a Cloud Serviceでは、自動グループメンバーシップが許可されないように設定されている場合でも、Adobe IMSを通じて認証を受け DefaultSyncHandler ユーザーは自動的に寄稿者グループに追加されます。 この動作により、Sites とAssetsに意図しない権限を付与する可能性があります。 これを修正するには、これが発生する理由を理解し、サポートされている戦略を適用してアクセスを管理する必要があります。
説明 description
環境
- AEM as a Cloud Service
- Adobe IMS認証
- 自動グループメンバーシップを無効にするように
DefaultSyncHandler設定を変更しました
問題/症状
- IMS を通じて作成または同期されたユーザーは、引き続き寄稿者グループに含められます。
- ユーザーが受け取るアクセス権限が、組織のアクセス制御モデルと合致しない。
DefaultSyncHandler設定は、IMS 駆動型グループの割り当てを上書きしません。
原因
- IMS 認証により、すべてのユーザーが自動的に投稿者グループに割り当てられます。
DefaultSyncHandler設定は、IMS 駆動型グループの割り当てを制御しません。- この設定は、一貫性と安定した ID 同期のために、AEM as a Cloud Service全体で標準化されます。
- エンジニアリングにより、この自動グループ割り当ての無効化またはカスタマイズがサポートされていないことが確認されました。
解決策 resolution
注 :
- IMS で認証されたユーザーが投稿者グループに自動的に追加されるのを防ぐことはできません。 サポートされる推奨アプローチは、デフォルトの設定を維持することです。
- 投稿者に自動的に追加されるのは、認証が IMS トークンまたは IMS トークンに依存している場合のみです。
- IMS 認証を使用しない環境では、この動作は発生しません。
アクセスを制限する必要がある場合は、制御された方法で拒否ルールを適用します。
- IMS 認証と投稿者グループメンバーシップのデフォルト設定を維持します。
- 制限付きアクセスが必要な領域またはアクションを特定します。
- これらの領域またはアクションの投稿者グループに拒否ルールを適用します。
- 拒否ルールを主な認証戦略として使用することは避けます。拒否ルールは、特定のシナリオにのみ使用してください。
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f