ユーザー管理とセキュリティ user-administration-and-security
ここでは、ユーザー認証を設定および維持管理する方法について説明し、AEM における認証機能と承認機能の背景にある理論についても説明します。
AEM のユーザーとグループ users-and-groups-in-aem
この節では、維持管理しやすいユーザー管理の概念の設定に役立つ様々なエンティティと、関連する概念について詳しく説明します。
ユーザー users
ユーザーは、自分のアカウントを使用して AEM にログオンします。各ユーザーアカウントは一意であり、アカウントの基本的な詳細と、割り当てられた権限を保持します。
多くの場合、ユーザーはグループのメンバーであり、グループ化することでこれらの権限の割り当てが簡略化されます。
グループ groups
グループは、ユーザー、その他のグループ、またはその両方のコレクションです。このようなコレクションはすべて、グループのメンバーと呼ばれます。
グループの主な目的は、更新するエンティティの数を減らしてメンテナンスプロセスを簡略化することです。グループに対する変更がそのグループのすべてのメンバーに適用されるからです。多くの場合、グループには次の項目が反映されています。
- アプリケーション内の役割:コンテンツの閲覧を許可されているユーザー、コンテンツの投稿を許可されているユーザーなどです。
- 自分の組織:投稿者がコンテンツツリー内の別のブランチに制限されている場合は、役割を拡張して、別の部門の投稿者を区別することができます。
したがって、グループは固定される傾向にありますが、ユーザーはより頻繁に追加または削除されます。
計画を立て構造を整理しておくことで、構造に合わせてグループを使用できるようになります。その結果、概要を把握しやすくなるだけでなく、効率的なメカニズムで更新できるようになります。
組み込みのユーザーとグループ built-in-users-and-groups
AEM WCM では複数のユーザーとグループがインストールされます。これらが表示されるのは、インストール後に初めてセキュリティコンソールにアクセスしたときです。
各ユーザーおよびグループと、それぞれの次の情報を以下の表に示します。
- 簡単な説明
- 必要な変更に関するレコメンデーション
デフォルトのパスワードはすべて変更してください(特定の状況下でアカウント自体を削除しない場合)。
AEM の権限 permissions-in-aem
AEM では、ACL を使用して、ユーザーまたはグループが実行できるアクションとそのアクションを実行できる場所を決定します。
権限と ACL permissions-and-acls
権限では、リソースに対してどのユーザーがどのようなアクションを実行できるかを定義します。権限は、アクセス制御の評価の結果です。
AEM の個々のアクションのチェックボックスをオン/オフにすることで、特定のユーザーに対して付与/拒否された権限を変更できます。チェックマークありは、アクションが許可されていることを示します。チェックマークなしは、アクションが拒否されていることを示します。
また、グリッド内のチェックマークは、AEM 内のどの場所(パス)でどのような権限がユーザーに付与されているかを示します。
アクション actions
アクションは、ページ(リソース)で実行できます。階層内の各ページで、ユーザーがそのページに対して実行できるアクションを指定できます。権限を使用してアクションを許可または拒否できます。
アクセス制御リストとその評価方法 access-control-lists-and-how-they-are-evaluated
AEM WCM は、アクセス制御リスト(ACL)を使用して、様々なページに適用される権限を整理します。
アクセス制御リストは、個々の権限で構成され、これらの権限の適用順を決定するために使用されます。リストは、検討中のページの階層に従って作成されます。次に、ページに適用する最初の適切な権限が見つかるまで、このリストが下から順にスキャンされます。
/etc/cloudservices
/home/users/we-retail
*/social/relationships/friend/*
- または
*/social/relationships/pending-following/*
。
/content/we-retail/us/en/community
でユーザーがコミュニティに参加する場合です。権限の状態 permission-states
この権限は子ページにも適用されます。
親ノードから権限が継承されず、その権限の対象となるローカルエントリが 1 つ以上ある場合は、次の記号がチェックボックスに表示されます。ローカルエントリは CRX 2.2 インターフェイスで作成されたものです(現時点では、ワイルドカード ACL は CRX でのみ作成できます)。
特定のパスにおけるアクションには次の記号が表示されます。
アスタリスクまたは感嘆符の上にポインタを合わせると、宣言されたエントリの詳細を示すツールチップが表示されます。ツールチップは 2 つの部分に分割されています。
アクセス制御リストの管理に関するレコメンデーションを次に示します。
-
権限を直接ユーザーに割り当てないでください。権限を割り当てるのはグループのみです。
これにより、グループ数がユーザー数よりはるかに少なくなり、変動も少なくなるので、メンテナンスが簡素化されます。
-
グループまたはユーザーがページの変更のみを行えるようにする場合は、作成または拒否の権限を付与しないでください。変更および読み取りの権限のみを付与します。
-
拒否は慎重に使用してください。可能な限り、許可のみを使用します。
拒否を使用すると、想定した順序とは異なる順序で権限が適用された場合に、予想外の影響が及ぶ可能性があります。ユーザーが複数のグループのメンバーである場合、あるグループからの拒否ステートメントによって、別のグループからの許可ステートメントが取り消されたり、その逆の事象が発生したりする可能性があります。このような問題が発生した場合、概要を把握するのは難しく、予想外の結果になりかねません。しかし、許可を割り当てることで、このような矛盾は回避できます。
アドビでは、ベストプラクティスを参照して、拒否ではなく許可を割り当てることをお勧めします。
いずれの権限を変更する場合でも、事前にその権限の仕組みと相互関係を理解しておく必要があります。AEM WCM におけるアクセス権限の評価方法とアクセス制御リストの設定例については、CRX のドキュメントを参照してください。
権限 permissions
権限を付与されたユーザーやグループは、AEM ページの AEM 機能にアクセスできます。
パス別の権限を参照するには、ノードを展開したり折りたたんだりします。権限の継承はルートノードまで追跡できます。
権限を許可または拒否するには、対応するチェックボックスをオンまたはオフにします。
権限の詳細情報の表示 viewing-detailed-permission-information
AEM には、グリッドビューだけでなく、特定のパスで選択されたユーザー/グループの権限の詳細ビューが用意されています。詳細ビューには、追加情報が表示されます。
情報の表示だけでなく、ユーザー/グループをグループに追加したり、グループから除外したりすることもできます。詳しくは、権限を追加する際のユーザーまたはグループの追加を参照してください。ここで行った変更は、詳細表示の上部にすぐに反映されます。
詳細表示にアクセスするには、「権限」タブで、選択したグループ/ユーザーおよびパスの「詳細」をクリックします。
詳細は 2 つの部分に分かれています。
他のユーザーへのなりすまし impersonating-another-user
別のユーザーとして実行する機能では、ユーザーは別のユーザーに成り代わって作業を行うことができます。
つまり、ユーザーアカウントは、自分のアカウントで操作できる他のアカウントを指定できます。例えば、ユーザー B がユーザー A としての実行を許可されている場合、ユーザー B はユーザー A のアカウントの詳細をすべて使用してアクションを実行できます。
この機能を使用すると、偽装アカウントは、別のユーザーのアカウントを使用しているかのようにタスクを完了できます。例えば、ユーザーの不在時や過剰な量の作業を短期間だけ分担する場合などに便利です。
/home/users
パスの読み取り権限が必要です。ベストプラクティス best-practices
次に権限と特権を使用する場合のベストプラクティスを説明しています。
アクセス権限をユーザーごとに割り当てないようにします。このアドバイスには、次のようないくつかの理由があります。
- グループ数よりもユーザー数の方がはるかに多く、グループを使用すると構造が簡素化されます。
- グループはアカウント全体の概要を確認するのに役立ちます。
- グループを使用すると、継承が簡単になります。
- ユーザーは頻繁に追加および削除されます。グループは長期的です。
ユーザーとグループの管理 managing-users-and-groups
ユーザーには、システムを使用する人々と、そのシステムに対する要求を行う外部システムを使用する人々が含まれます。
グループはユーザーの集合です。
どちらも、セキュリティコンソール内のユーザー管理機能を使用して設定できます。
セキュリティコンソールを使用したユーザー管理へのアクセス accessing-user-administration-with-the-security-console
すべてのユーザー、グループおよび関連付けられている権限にアクセスするには、セキュリティコンソールを使用します。ここで説明する手順はすべて、このウィンドウで実行されます。
AEM WCM セキュリティにアクセスするには、次のいずれかの操作を行います。
- ようこそ画面または AEM の様々な場所で、セキュリティアイコンをクリックします。
https://<server>:<port>/useradmin
に直接アクセスします。管理者として AEM にログインします。
次のウィンドウが表示されます。
左側のツリーには、現在システムに存在するすべてのユーザーとグループが一覧表示されます。表示する列を選択したり、列の内容を並べ替えたりできます。また、列ヘッダーを新しい位置にドラッグして列の表示順序を変更することもできます。
タブを使用すると、様々な設定にアクセスできます。
ユーザーまたはグループに権限を割り当てることができます。次の権限を制御できます。
- 特定のページ/ノードに関連する権限。権限の設定を参照してください。
- ページの作成と削除および階層の変更に関連する権限。??? を使用すると、ページを作成および削除するための権限を割り当てることができます(階層の変更など)。
- (通常は作成者から公開への)パスに従ったレプリケーション権限に関連する権限。
ユーザーとグループのフィルタリング filtering-users-and-groups
フィルター式を入力してリストをフィルタリングできます。これにより、式に一致しないすべてのユーザーとグループが非表示になります。また、ユーザー非表示とグループ非表示の各ボタンを使用してユーザーとグループを非表示にすることもできます。
ユーザーまたはグループをフィルターするには、次の手順に従います。
-
左側のツリーリストの指定されたスペースにフィルター式を入力します。例えば、admin と入力すると、この文字列を含むすべてのユーザーとグループが表示されます。
-
虫眼鏡をクリックしてリストをフィルタリングします。
-
すべてのフィルターを削除する場合は、x をクリックします。
ユーザーとグループの非表示 hiding-users-and-groups
ユーザーやグループを非表示にする方法も、システム内のすべてのユーザーやグループのリストをフィルタリングする方法の 1 つです。切り替えメカニズムは 2 つあります。「ユーザーを非表示」をクリックすると、すべてのユーザーが表示から非表示になり、「グループを非表示」をクリックすると、すべてのグループが表示から非表示になります(ユーザーとグループの両方を同時に非表示にすることはできません)。フィルター式を使用してリストをフィルターする方法について詳しくは、ユーザーとグループのフィルタリングを参照してください。
ユーザーおよびグループを非表示にするには、次の手順に従います。
-
セキュリティ コンソールで、「ユーザー非表示」または「グループ非表示」をクリックします。選択したボタンがハイライト表示されます。
-
ユーザーまたはグループを再度表示するには、対応するボタンをもう一度クリックします。
ユーザーとグループの作成 creating-users-and-groups
ユーザーまたはグループを作成するには、次の手順に従ってください。
-
セキュリティ コンソールのツリーリストで、「編集」をクリックし、「ユーザーを作成」または「グループを作成」をクリックします。
-
ユーザーまたはグループのどちらを作成するかに従って、必要な詳細を入力します。
- 「ユーザーを作成」を選択した場合は、ログイン ID、姓名、メールアドレスおよびパスワードを入力します。デフォルトでは、AEM は姓の最初の文字に基づいてパスを作成しますが、別のパスを選択することもできます。
- 「グループを作成」を選択した場合は、グループ ID と説明(オプション)を入力します。
-
「作成」をクリックします。作成したユーザーまたはグループがツリーリストに表示されます。
ユーザーとグループの削除 deleting-users-and-groups
ユーザーまたはグループを削除するには、次の手順に従ってください。
- セキュリティ コンソールで、削除するユーザーまたはグループを選択します。複数の項目を削除する場合は、Shift キーまたは Ctrl キーを押しながらクリックして選択します。
- 「編集」をクリックして、「削除」を選択します。ユーザーまたはグループを削除するかどうかを確認するメッセージが AEM WCM に表示されます。
- 「OK」をクリックして確定またはキャンセルします。
ユーザーおよびグループのプロパティの変更 modifying-user-and-group-properties
ユーザーおよびグループのプロパティを変更するには、次の手順に従います。
-
セキュリティ コンソールで、変更するユーザーまたはグループの名前をダブルクリックします。
-
「プロパティ」タブをクリックし、必要な変更を行なって「保存」をクリックします。
ユーザーパスワードの変更 changing-a-user-password
以下の手順を使用して、ユーザーのパスワードを変更します。
-
セキュリティ コンソールで、パスワードを変更するユーザーの名前をダブルクリックします。
-
「プロパティ」タブをクリックします(まだアクティブでない場合)。
-
「パスワードを設定」をクリックします。パスワードを設定ウィンドウが開きます。このウィンドウでパスワードを変更できます。
-
新しいパスワードを 2 回入力します。これらはクリアテキストで表示されないので、確認用です。一致しない場合は、エラーが表示されます。
-
「設定」をクリックして、アカウントの新しいパスワードを有効にします。
グループへのユーザーまたはグループの追加 adding-users-or-groups-to-a-group
AEM では、次の 3 つの方法で既存のグループにユーザーまたはグループを追加できます。
- グループ内にいる場合、メンバー(ユーザーまたはグループ)を追加できます。
- メンバーの中にいる場合は、メンバーをグループに追加できます。
- 権限を操作する際に、グループにメンバーを追加できます。
グループ - グループへのユーザーまたはグループの追加 groups-adding-users-or-groups-to-a-group
「グループ」タブには、現在のアカウントが属するグループが表示されます。これを使用して、選択したアカウントをグループに追加できます。
-
グループに割り当てるアカウント(ユーザーまたはグループ)の名前をダブルクリックします。
-
「グループ」タブをクリックします。アカウントが既に属しているグループのリストが表示されます。
-
ツリーリストで、アカウントに追加するグループの名前をクリックし、グループ ウィンドウにドラッグします。(複数のユーザーを追加する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックしてドラッグします)。
-
「保存」をクリックして変更を保存します。
メンバー - グループへのユーザーまたはグループを追加 members-adding-users-or-groups-to-a-group
「メンバー」タブはグループに対してのみ機能し、現在のグループに属するユーザーおよびグループが表示されます。これを使用して、アカウントをグループに追加できます。
-
メンバーを追加するグループの名前をダブルクリックします。
-
「メンバー」タブをクリックします。このグループに既に属するメンバーのリストが表示されます。
-
ツリーリストで、グループに追加するメンバーの名前をクリックし、メンバー ウィンドウにドラッグします。(複数のユーザーを追加する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックしてドラッグします)。
-
「保存」をクリックして変更を保存します。
権限を追加する際のユーザーまたはグループの追加 adding-users-or-groups-while-adding-permissions
特定のパスにあるグループにメンバーを追加するには:
-
ユーザーを追加するグループまたはユーザーの名前をダブルクリックします。
-
「権限」タブをクリックします。
-
権限を追加するパスに移動し、「詳細」をクリックします。詳細ウィンドウの下部に、そのページに対する権限を持つユーザーに関する情報が表示されます。
-
対象のパスに対する権限を追加するメンバーの メンバー 列のチェックボックスをオンにします。権限を削除するメンバーのチェックボックスをオフにします。変更したセルに赤い三角形が表示されます。
-
「OK」をクリックして、変更を保存します。
グループからのユーザーまたはグループの削除 removing-users-or-groups-from-groups
AEM では、次の 3 つの方法でユーザーまたはグループをグループから削除します。
- グループプロファイルで、メンバー(ユーザーまたはグループ)を削除できます。
- メンバープロファイルで、グループからメンバーを削除できます。
- 権限を操作している際に、グループからメンバーを削除できます。
グループ - グループからのユーザーまたはグループの削除 groups-removing-users-or-groups-from-groups
グループからユーザーまたはグループアカウントを削除するには:
-
グループから削除するグループまたはユーザーの名前をダブルクリックします。
-
「グループ」タブをクリックします。選択したアカウントが属するグループが表示されます。
-
グループ ペインで、グループから削除するユーザーまたはグループの名前をクリックして、「削除」をクリックします。(複数のアカウントを削除する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックして、「削除」をクリックします)。
-
「保存」をクリックして変更を保存します。
メンバー - グループからのユーザーまたはグループの削除 members-removing-users-or-groups-from-groups
グループからアカウントを削除するには:
-
メンバーを削除するグループの名前をダブルクリックします。
-
「メンバー」タブをクリックします。このグループに既に属するメンバーのリストが表示されます。
-
メンバー ウィンドウで、グループから削除するメンバーの名前をクリックし、「削除」をクリックします。(複数のユーザーを削除する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックし、「削除」をクリックします。)
-
「保存」をクリックして変更を保存します。
権限を追加する際のユーザーまたはグループの削除 removing-users-or-groups-while-adding-permissions
特定のパスにあるグループからメンバーを削除するには:
-
ユーザーを削除するグループまたはユーザーの名前をダブルクリックします。
-
「権限」タブをクリックします。
-
権限を削除するパスに移動し、「詳細」をクリックします。詳細ウィンドウの下部に、そのページに対する権限を持つユーザーに関する情報が表示されます。
-
対象のパスに対する権限を追加するメンバーの メンバー 列のチェックボックスをオンにします。権限を削除するメンバーのチェックボックスをオフにします。変更したセルに赤い三角形が表示されます。
-
「OK」をクリックして、変更を保存します。
ユーザー同期 user-synchronization
デプロイメントがパブリッシュファームであるとき、ユーザーとグループをすべてのパブリッシュノード間で同期する必要があります。
ユーザー同期と有効化の方法について詳しくは、ユーザーの同期を参照してください。
権限の管理 managing-permissions
ここでは、権限(レプリケーション権限を含む)を設定する方法について説明します。
権限の設定 setting-permissions
ユーザーは権限を使用して、特定のパスにあるリソースに対して特定のアクションを実行できます。権限にはページを作成または削除する機能も含まれます。
権限を追加、変更または削除するには:
-
セキュリティ コンソールで、権限を設定するユーザーまたはグループの名前をダブルクリックするか、ノードを検索します。
-
「権限」タブをクリックします。
-
ツリーグリッドで、チェックボックスをオンにして、選択したユーザーまたはグループによるアクションの実行を許可します。または、チェックボックスをオフにして、選択したユーザーまたはグループによるアクションの実行を拒否します。詳しくは、「詳細」をクリックしてください。
-
完了したら、「保存」をクリックします。
レプリケーション権限の設定 setting-replication-privileges
レプリケーション権限は、コンテンツを公開する権利で、グループとユーザーに対して設定できます。
- グループに適用されるレプリケーション権限は、そのグループ内のすべてのユーザーに適用されます。
- ユーザーのレプリケーション権限は、グループのレプリケーション権限よりも優先されます。
- 「許可」レプリケーション権限の優先順位は「拒否」レプリケーション権限よりも高くなります。詳しくは、AEM の権限を参照してください。
レプリケーション権限を設定するには、次の手順に従います。
-
リストからユーザーまたはグループを選択し、ダブルクリックして開き、「権限」をクリックします。
-
グリッドで、ユーザーにレプリケーション権限を設定するパスに移動するか、ノードを検索します。
-
選択したパスの「レプリケーション」列で、チェックボックスをオンにして、対象のユーザーまたはグループのレプリケーション権限を追加します。または、チェックボックスをオフにして、レプリケーション権限を削除します。AEM では、変更を行った(未保存の)項目に赤い三角形が表示されます。
-
「保存」をクリックして変更を保存します。
ノードの検索 searching-for-nodes
権限を追加または削除する際に、ノードを参照または検索できます。
パス検索には、次の 2 つの異なるタイプがあります。
- パス検索 - 検索文字列が「/」で始まる場合、指定されたパスの直接サブノードを検索します。
検索ボックスでは以下の操作を行うことができます。
- フルテキスト検索 - 検索文字列が「/」で始まらない場合は、パス「/content」の下にあるすべてのノードに対してフルテキスト検索が実行されます。
パス検索またはフルテキスト検索を実行するには:
-
セキュリティコンソールで、ユーザーまたはグループを選択して、「権限」タブをクリックします。
-
「検索」ボックスに検索する用語を入力します。
別のユーザーとして実行 impersonating-users
現在のユーザーとしての実行を許可する 1 人以上のユーザーを指定できます。つまり、指定されたユーザーは現在のユーザーのアカウント設定に切り替えて、そのユーザーの代理として操作を行うことができます。
元のユーザーが実行できないアクションが許可される可能性があるので、この機能を使用する際は注意が必要です。別のユーザーとして実行する場合は、元のユーザーとしてログインしていないと通知されます。
以下に示す様々なシナリオでこの機能を使用できます。
- あなたがオフィスにいない場合に、別の担当者があなたの代理として操作を行うことができます。この機能を使用すると、別の担当者があなたのアクセス権限を引き継ぐことができます。ユーザープロファイルを変更したり、パスワードを公開したりする必要はありません。
- デバッグの目的でこの機能を使用できます。例えば、アクセス権限が制限されているユーザーを Web サイトで検索する方法を確認できます。また、あるユーザーが技術的な問題に関して不満を持っている場合は、そのユーザーとして実行し、問題を診断して修正できます。
既存のユーザーとして実行するには:
-
ツリーリストで、他のユーザーが操作を代理するユーザーの名前を選択します。ダブルクリックして開きます。
-
「実行」タブをクリックします。
-
選択したユーザーとして実行することのできるユーザーをクリックします。ユーザーをリストから実行ウィンドウにドラッグします。リストに名前が表示されます。
-
「保存」をクリックします。
ユーザーとグループの環境設定の指定 setting-user-and-group-preferences
ユーザーとグループの環境設定(言語、ウィンドウ管理、ツールバーの環境設定を含む)を指定するには:
-
環境設定を変更するユーザーまたはグループを左側のツリーで選択します。複数のユーザーまたはグループを選択するには、Ctrl キーまたは Shift キーを押しながら選択項目をクリックします。
-
「環境設定」タブをクリックします。
-
必要に応じて、グループまたはユーザーの環境設定を変更し、完了したら「保存」をクリックします。
ユーザーまたは管理者に他のユーザーの管理権限を付与するための設定 setting-users-or-administrators-to-have-the-privilege-to-manage-other-users
ユーザーまたは管理者が他のユーザーを削除/アクティベート/アクティベート解除する権限を付与するための設定を行うには:
-
他のユーザーを管理する権限を付与するユーザーを administrators グループに追加して、変更を保存します。
-
ユーザーの「権限」タブで、「/」に移動します。「レプリケーション」列で、チェックボックスをオンにして「/」におけるレプリケーションを許可し、「保存」をクリックします。
これで、選択したユーザーがユーザーのアクティベート解除、アクティベート、削除および作成を行うことができます。
プロジェクトレベルでの権限の拡張 extending-privileges-on-a-project-level
アプリケーション専用の権限を実装する場合に、カスタム権限を実装するために確認しておく必要のある情報および CQ 全体でその権限を適用する方法を以下に示します。
階層の変更権限は JCR 権限の組み合わせによってカバーされます。レプリケーション権限の名前は crx:replicate です。この権限は、他の権限と共に JCR リポジトリに保存され、評価されます。ただし、この権限は JCR レベルでは適用されません。
カスタム権限の定義と登録は、公式には Jackrabbit API(バージョン 2.4 以降)の一部です(JCR-2887 も参照)。その他の使用方法は、JSR 283(Section 16)で定義されているとおり、JCR アクセス制御管理によってカバーされます。また、Jackrabbit API では複数の拡張機能を定義します。
権限の登録メカニズムは、リポジトリ設定 の下の UI に反映されます。
新しい(カスタム)権限の登録は、リポジトリレベルで付与する必要のある組み込みの権限によって保護されます(JCR の場合、AC MGT API で「absPath」パラメーターとして「null」を渡します。詳しくは、JSR 333 を参照してください)。デフォルトでは、admin と administrators のすべてのメンバーにこの権限が付与されています。