ユーザー管理とセキュリティ user-administration-and-security

ここでは、ユーザー認証を設定および維持管理する方法について説明し、AEM における認証機能と承認機能の背景にある理論についても説明します。

AEM のユーザーとグループ users-and-groups-in-aem

この節では、維持管理しやすいユーザー管理の概念の設定に役立つ様々なエンティティと、関連する概念について詳しく説明します。

ユーザー users

ユーザーは、自分のアカウントを使用して AEM にログオンします。各ユーザーアカウントは一意であり、アカウントの基本的な詳細と、割り当てられた権限を保持します。

多くの場合、ユーザーはグループのメンバーであり、グループ化することでこれらの権限の割り当てが簡略化されます。

グループ groups

グループは、ユーザー、その他のグループ、またはその両方のコレクションです。このようなコレクションはすべて、グループのメンバーと呼ばれます。

グループの主な目的は、更新するエンティティの数を減らしてメンテナンスプロセスを簡略化することです。グループに対する変更がそのグループのすべてのメンバーに適用されるからです。多くの場合、グループには次の項目が反映されています。

  • アプリケーション内の役割:コンテンツの閲覧を許可されているユーザー、コンテンツの投稿を許可されているユーザーなどです。
  • 自分の組織:投稿者がコンテンツツリー内の別のブランチに制限されている場合は、役割を拡張して、別の部門の投稿者を区別することができます。

したがって、グループは固定される傾向にありますが、ユーザーはより頻繁に追加または削除されます。

計画を立て構造を整理しておくことで、構造に合わせてグループを使用できるようになります。その結果、概要を把握しやすくなるだけでなく、効率的なメカニズムで更新できるようになります。

組み込みのユーザーとグループ built-in-users-and-groups

AEM WCM では複数のユーザーとグループがインストールされます。これらが表示されるのは、インストール後に初めてセキュリティコンソールにアクセスしたときです。

各ユーザーおよびグループと、それぞれの次の情報を以下の表に示します。

  • 簡単な説明
  • 必要な変更に関するレコメンデーション

デフォルトのパスワードはすべて変更してください(特定の状況下でアカウント自体を削除しない場合)。

ユーザー ID
タイプ
説明
レコメンデーション

admin

デフォルトのパスワード:admin

User

フルアクセス権を持つシステム管理者アカウント。

このアカウントは、AEM WCM と CRX 間の接続に使用されます。

このアカウントを誤って削除した場合は、リポジトリの再起動時に(デフォルト設定で)再作成されます。

admin アカウントは AEM プラットフォームに必須です。つまり、このアカウントは削除できません。

このユーザーアカウントのデフォルトのパスワードを変更することをお勧めします。

後で変更することもできますが、できればインストール時に変更してください。

メモ:このアカウントを CQ Servlet Engine の admin アカウントと混同しないでください。

anonymous
User

インスタンスに対する非認証アクセスのデフォルトの権限を保持します。このアカウントには、デフォルトで最小限のアクセス権が付与されます。

このアカウントを誤って削除した場合は、起動時に再作成されます。このアカウントを完全に削除することはできませんが、無効にすることは可能です。

オーサーインスタンスの機能に悪影響を及ぼすので、このアカウントを削除したり無効にしたりしないでください。セキュリティ要件によりアカウントを削除しなければならない場合は、まず、システムに与える影響を正しくテストしてください。

作成者

デフォルトのパスワード:author

ユーザー

/content への書き込みが許可されている作成者アカウント。投稿者と閲覧者の権限が含まれます。

/content ツリー全体へのアクセスが可能なので、web マスターとして使用できます。

このアカウントは組み込みユーザーではなく、別の Geometrixx デモユーザーです

このアカウントを完全に削除するか、デフォルトのパスワードを変更することをお勧めします。

後で変更することもできますが、できればインストール時に変更してください。

administrators
グループ

すべてのメンバーに管理者権限が付与されているグループ。このグループを編集できるのは admin だけです。

フルアクセス権限が割り当てられています。

ノードに「deny-everyone」を設定しても、管理者はそのノードにアクセスできます
content-authors
グループ
コンテンツ編集を担当するグループ。読み取り、変更、作成および削除の権限が必要です。
読み取り、変更、作成および削除の権限を追加すると、プロジェクト専用のアクセス権限を持つ独自の content-author グループを作成できます。
contributor
グループ

ユーザーがコンテンツを書き込むための基本的な権限(基本機能に必要な権限のみ)。

/content ツリー自体へのアクセス権は割り当てません。これらは、個々のグループまたはユーザーに対して特に割り当てる必要があります。

dam-users
グループ
一般的な AEM Assets ユーザーのための標準提供の参照グループ。このグループのメンバーは、アセットやコレクションのアップロードまたは共有を有効にするための適切な権限を持っています。
everyone
グループ

すべてのツールでグループつまりメンバーシップの関係が使用されるとは限りませんが、AEM の各ユーザーは everyone グループのメンバーになっています。

このグループはすべてのユーザー(今後作成されるユーザーも含む)に権限を適用するために使用できるので、デフォルトの権限と見なすことができます。

このグループを変更または削除しないでください。

このアカウントを変更すると、セキュリティに影響が生じる可能性があります。

tag-administrators
グループ
タグの編集が許可されているグループ。
user-administrators
グループ
ユーザー管理をおこなうことができます。つまり、ユーザーとグループを作成する権限が与えられます。
ワークフロー編集者
グループ
ワークフローモデルの作成と変更が許可されているグループ。
ワークフローユーザー
グループ

ワークフローに参加するユーザーは、workflow-users グループのメンバーになっている必要があります。ユーザーには、ワークフローインスタンスを更新できるように、/etc/workflow/instances への完全なアクセス権限が付与されます。

このグループは標準インストールに含まれていますが、ユーザーを手動でグループに追加する必要があります。

AEM の権限 permissions-in-aem

AEM では、ACL を使用して、ユーザーまたはグループが実行できるアクションとそのアクションを実行できる場所を決定します。

権限と ACL permissions-and-acls

権限では、リソースに対してどのユーザーがどのようなアクションを実行できるかを定義します。権限は、アクセス制御の評価の結果です。

AEM の個々のアクションのチェックボックスをオン/オフにすることで、特定のユーザーに対して付与/拒否された権限を変更できます。チェックマークありは、アクションが許可されていることを示します。チェックマークなしは、アクションが拒否されていることを示します。

また、グリッド内のチェックマークは、AEM 内のどの場所(パス)でどのような権限がユーザーに付与されているかを示します。

アクション actions

アクションは、ページ(リソース)で実行できます。階層内の各ページで、ユーザーがそのページに対して実行できるアクションを指定できます。権限を使用してアクションを許可または拒否できます。

アクション
説明
読み取り
ユーザーは、ページおよびその子ページを読み取ることが許可されます。
変更

ユーザーは次の操作を実行できます。

  • ページ上および任意の子ページ上の既存のコンテンツを変更します。
  • ページ上または任意の子ページ上に段落を作成します。

JCR レベルでは、ユーザーは、プロパティの編集、ロック、バージョン管理、nt-modifications を行うことでリソースを編集でき、jcr:content 子ノードを定義するノードに対する完全な書き込み権限を持ちます。例えば、cq:Page、nt:file、cq:Asset などです。

作成

ユーザーは次の操作を実行できます。

  • ページまたは子ページを作成します。

変更 が拒否された場合、jcr:content とその子ノードの作成はページの変更と見なされるので、jcr:content の下のサブツリーは除外されます。これは、jcr:content 子ノードを定義するノードにのみ適用されます。

削除

ユーザーは次の操作を実行できます。

  • 既存の段落をページまたは子ページから削除します。
  • ページまたは子ページを削除します。

変更 が拒否されると、jcr:content およびその子ノードの削除がページの変更と見なされるので、jcr:content の下のサブツリーが除外されます。これは、jcr:content 子ノードを定義するノードにのみ適用されます。

ACL 読み取り
ユーザーは、ページまたは子ページのアクセス制御リストを読み取ることができます。
ACL 編集
ユーザーは、ページまたは子ページのアクセス制御リストを変更できます。
レプリケーション
ユーザーはコンテンツを別の環境(パブリッシュ環境など)にレプリケーションできます。この権限は子ページにも適用されます。
NOTE
AEM はコレクションで role-assignment のユーザーグループ(所有者、編集者、閲覧者)を自動的に生成します。ただし、このようなグループに ACL を手動で追加すると、AEM 内にセキュリティの脆弱性が生じる可能性があります。アドビでは、ACL を手動で追加しないことをお勧めします。

アクセス制御リストとその評価方法 access-control-lists-and-how-they-are-evaluated

AEM WCM は、アクセス制御リスト(ACL)を使用して、様々なページに適用される権限を整理します。

アクセス制御リストは、個々の権限で構成され、これらの権限の適用順を決定するために使用されます。リストは、検討中のページの階層に従って作成されます。次に、ページに適用する最初の適切な権限が見つかるまで、このリストが下から順にスキャンされます。

NOTE
サンプルと共に含まれる ACL があります。アプリケーションに適した内容を検討、判断されることをお勧めします。付属の ACL を確認するには、CRXDE にアクセスし、以下のノードの「アクセス制御」タブを選択します。
  • /etc/cloudservices
  • /home/users/we-retail
カスタムアプリケーションは、次のような他の関係へのアクセスを設定できます。
  • */social/relationships/friend/*
  • または */social/relationships/pending-following/*
コミュニティ特有の ACL を作成する場合は、そのコミュニティに参加するメンバーに追加の権限を付与できます。例えば、/content/we-retail/us/en/community でユーザーがコミュニティに参加する場合です。

権限の状態 permission-states

NOTE
CQ 5.3 ユーザーの場合:
以前の CQ バージョンとは異なり、ユーザーがページの変更のみを行う必要がある場合は、作成 ​と​ 削除 ​は許可されません。代わりに、ユーザーが既存のページでコンポーネントを作成、変更、削除できるようにする場合にのみ、変更 ​アクションを許可します。
後方互換性を確保するために、アクションのテストでは、jcr:content を定義するノードの特別な処理は考慮されません。
アクション
説明
許可(チェックマーク)
AEM WCM では、ユーザーはこのページまたは任意の子ページでアクションを実行できます。
拒否(チェックマークなし)
AEM WCM において、ユーザーはこのページまたは任意の子ページでアクションを実行できません。

この権限は子ページにも適用されます。

親ノードから権限が継承されず、その権限の対象となるローカルエントリが 1 つ以上ある場合は、次の記号がチェックボックスに表示されます。ローカルエントリは CRX 2.2 インターフェイスで作成されたものです(現時点では、ワイルドカード ACL は CRX でのみ作成できます)。

特定のパスにおけるアクションには次の記号が表示されます。

*(アスタリスク)
1 つ以上の(有効または無効な)ローカルエントリがあります。このようなワイルドカード ACL は CRX で定義されます。
! (感嘆符)
現在、1 つ以上の無効なエントリがあります。

アスタリスクまたは感嘆符の上にポインタを合わせると、宣言されたエントリの詳細を示すツールチップが表示されます。ツールチップは 2 つの部分に分割されています。

上部
有効なエントリがリストされます。
下部
ツリー内の別の場所に影響を与える可能性がある無効なエントリがリストされます(エントリの範囲を制限する対応する ACE を含む、特別なフィールド名で示されます)。または、指定されたパスや上位ノードで定義された別のエントリによって無効化されたエントリがリストされます。

chlimage_1-112

NOTE
ページに対する権限が定義されていない場合、すべてのアクションが拒否されます。

アクセス制御リストの管理に関するレコメンデーションを次に示します。

  • 権限を直接ユーザーに割り当てないでください。権限を割り当てるのはグループのみです。

    これにより、グループ数がユーザー数よりはるかに少なくなり、変動も少なくなるので、メンテナンスが簡素化されます。

  • グループまたはユーザーがページの変更のみを行えるようにする場合は、作成または拒否の権限を付与しないでください。変更および読み取りの権限のみを付与します。

  • 拒否は慎重に使用してください。可能な限り、許可のみを使用します。

    拒否を使用すると、想定した順序とは異なる順序で権限が適用された場合に、予想外の影響が及ぶ可能性があります。ユーザーが複数のグループのメンバーである場合、あるグループからの拒否ステートメントによって、別のグループからの許可ステートメントが取り消されたり、その逆の事象が発生したりする可能性があります。このような問題が発生した場合、概要を把握するのは難しく、予想外の結果になりかねません。しかし、許可を割り当てることで、このような矛盾は回避できます。

    アドビでは、ベストプラクティスを参照して、拒否ではなく許可を割り当てることをお勧めします。

いずれの権限を変更する場合でも、事前にその権限の仕組みと相互関係を理解しておく必要があります。AEM WCM におけるアクセス権限の評価方法とアクセス制御リストの設定例については、CRX のドキュメントを参照してください。

権限 permissions

権限を付与されたユーザーやグループは、AEM ページの AEM 機能にアクセスできます。

パス別の権限を参照するには、ノードを展開したり折りたたんだりします。権限の継承はルートノードまで追跡できます。

権限を許可または拒否するには、対応するチェックボックスをオンまたはオフにします。

cqsecuritypermissionstab

権限の詳細情報の表示 viewing-detailed-permission-information

AEM には、グリッドビューだけでなく、特定のパスで選択されたユーザー/グループの権限の詳細ビューが用意されています。詳細ビューには、追加情報が表示されます。

情報の表示だけでなく、ユーザー/グループをグループに追加したり、グループから除外したりすることもできます。詳しくは、権限を追加する際のユーザーまたはグループの追加を参照してください。ここで行った変更は、詳細表示の上部にすぐに反映されます。

詳細表示にアクセスするには、「権限」タブで、選択したグループ/ユーザーおよびパスの「詳細」をクリックします。

permissiondetails

詳細は 2 つの部分に分かれています。

上部

ツリーグリッドに表示される情報を繰り返します。アクションごとに、そのアクションが許可されているか拒否されているかを示すアイコンが表示されます。

  • アイコンなし = 宣言されたエントリなし
  • (チェックマーク) = 宣言されたアクション(許可)
  • (マイナス記号) = 宣言されたアクション(拒否)
下部

次の操作を行うユーザーとグループのグリッドが表示されます。

  • 特定のパスのエントリを宣言する
  • 特定の許可可能なものまたはグループ

他のユーザーへのなりすまし impersonating-another-user

別のユーザーとして実行する機能では、ユーザーは別のユーザーに成り代わって作業を行うことができます。

つまり、ユーザーアカウントは、自分のアカウントで操作できる他のアカウントを指定できます。例えば、ユーザー B がユーザー A としての実行を許可されている場合、ユーザー B はユーザー A のアカウントの詳細をすべて使用してアクションを実行できます。

この機能を使用すると、偽装アカウントは、別のユーザーのアカウントを使用しているかのようにタスクを完了できます。例えば、ユーザーの不在時や過剰な量の作業を短期間だけ分担する場合などに便利です。

NOTE
管理者以外のユーザーが別のユーザーとして実行するには、そのユーザー(上記の場合はユーザー B)に /home/users パスの読み取り権限が必要です。
詳しくは、AEM の権限を参照してください。
CAUTION
あるアカウントが別のアカウントとして実行する場合、その判別は非常に困難です。別のユーザーとして実行する機能の開始時と終了時には監査ログにエントリが記録されますが、その他のログファイル(アクセスログなど)には、その機能がイベントに対して実行されたという事実に関する情報が保持されません。そのため、ユーザー B がユーザー A として実行した場合、ユーザー A がすべてのイベントを実行しているように見えます。
CAUTION
ページのロックは、別のユーザーとして実行している場合にも実行できます。ただし、この方法でロックされたページをロック解除できるのは、成り代わられたユーザーまたは管理者権限を持つユーザーのみです。
実際にページのロック作業を行なったユーザーに成り代わっても、ページをロック解除できません。

ベストプラクティス best-practices

次に権限と特権を使用する場合のベストプラクティスを説明しています。

ルール
理由
グループを使用する

アクセス権限をユーザーごとに割り当てないようにします。このアドバイスには、次のようないくつかの理由があります。

  • グループ数よりもユーザー数の方がはるかに多く、グループを使用すると構造が簡素化されます。
  • グループはアカウント全体の概要を確認するのに役立ちます。
  • グループを使用すると、継承が簡単になります。
  • ユーザーは頻繁に追加および削除されます。グループは長期的です。
ポジティブに
常に「許可」ステートメントを使用してグループの権限を指定します(可能な限り)。「拒否」ステートメントの使用は避けてください。グループは順番に評価されます。この順番はユーザーごとに異なる方法で定義される可能性があります。つまり、ステートメントが実装および評価される順序は、ほとんど制御できない可能性があります。「許可」ステートメントのみを使用する場合、順序は関係ありません。
シンプルに
新しいインストールの設定時に時間を費やし、入念な検討を行うと、効果が期待できます。わかりやすい構造を適用することで、継続的なメンテナンスや管理が簡略化され、現在の担当者と今後の後任の担当者が実装されている内容を容易に把握できます。
テスト
練習のためのテストインストールを利用して、様々なユーザーとグループ間の関係を把握してください。
デフォルトのユーザー/グループ
セキュリティ上の問題を防ぐために、必ずインストール直後にデフォルトのユーザーとグループを更新してください。

ユーザーとグループの管理 managing-users-and-groups

ユーザーには、システムを使用する人々と、そのシステムに対する要求を行う外部システムを使用する人々が含まれます。

グループはユーザーの集合です。

どちらも、セキュリティコンソール内のユーザー管理機能を使用して設定できます。

セキュリティコンソールを使用したユーザー管理へのアクセス accessing-user-administration-with-the-security-console

すべてのユーザー、グループおよび関連付けられている権限にアクセスするには、セキュリティコンソールを使用します。ここで説明する手順はすべて、このウィンドウで実行されます。

AEM WCM セキュリティにアクセスするには、次のいずれかの操作を行います。

  • ようこそ画面または AEM の様々な場所で、セキュリティアイコンをクリックします。

「AEM WCM セキュリティ」タブ

  • https://<server>:<port>/useradmin に直接アクセスします。管理者として AEM にログインします。

次のウィンドウが表示されます。

cqsecuritypage

左側のツリーには、現在システムに存在するすべてのユーザーとグループが一覧表示されます。表示する列を選択したり、列の内容を並べ替えたりできます。また、列ヘッダーを新しい位置にドラッグして列の表示順序を変更することもできます。

cqsecuritycolumncontext

タブを使用すると、様々な設定にアクセスできます。

タブ
説明
フィルターボックス
一覧表示されたユーザーやグループまたはその両方をフィルタリングするためのメカニズム。詳しくは、ユーザーとグループのフィルタリングを参照してください。
ユーザー非表示
一覧表示されているすべてのユーザーを非表示にして、グループだけを残すための切り替えスイッチです。詳しくは、ユーザーとグループの非表示を参照してください。
グループ非表示
一覧表示されているすべてのグループを非表示にして、ユーザーだけを残すための切り替えスイッチです。詳しくは、ユーザーとグループの非表示を参照してください。
編集
ユーザーまたはグループの作成、削除、アクティベートおよびアクティベート解除を行うメニューです。詳しくは、ユーザーとグループの作成およびユーザーとグループの削除を参照してください。
プロパティ
メール情報、説明および名前情報を含めることができるユーザーまたはグループの情報が一覧表示されます。また、ユーザーのパスワードを変更することもできます。ユーザーとグループの作成ユーザーとグループのプロパティの変更およびユーザーパスワードの変更を参照してください。
グループ
選択したユーザーまたはグループが属するすべてのグループが一覧表示されます。選択したユーザーまたはグループを追加のグループに割り当てたり、グループから削除したりできます。詳しくは、グループを参照してください。
メンバー
グループについてのみ使用できます。特定のグループのメンバーが一覧表示されます。詳しくは、メンバーを参照してください。
権限

ユーザーまたはグループに権限を割り当てることができます。次の権限を制御できます。

  • 特定のページ/ノードに関連する権限。権限の設定を参照してください。
  • ページの作成と削除および階層の変更に関連する権限。??? を使用すると、ページを作成および削除するための権限を割り当てることができます(階層の変更など)。
  • (通常は作成者から公開への)パスに従ったレプリケーション権限に関連する権限。
実行
別のユーザーとしてアカウントを実行できます。あるユーザーが別のユーザーの代理として操作を行う必要がある場合に役立ちます。詳しくは、 別のユーザーとして実行を参照してください。
環境設定
グループまたはユーザーの環境設定を指定します。例えば、言語の環境設定などです。

ユーザーとグループのフィルタリング filtering-users-and-groups

フィルター式を入力してリストをフィルタリングできます。これにより、式に一致しないすべてのユーザーとグループが非表示になります。また、ユーザー非表示とグループ非表示の各ボタンを使用してユーザーとグループを非表示にすることもできます。

ユーザーまたはグループをフィルターするには、次の手順に従います。

  1. 左側のツリーリストの指定されたスペースにフィルター式を入力します。例えば、admin と入力すると、この文字列を含むすべてのユーザーとグループが表示されます。

  2. 虫眼鏡をクリックしてリストをフィルタリングします。

    cqsecurityfilter

  3. すべてのフィルターを削除する場合は、x をクリックします。

ユーザーとグループの非表示 hiding-users-and-groups

ユーザーやグループを非表示にする方法も、システム内のすべてのユーザーやグループのリストをフィルタリングする方法の 1 つです。切り替えメカニズムは 2 つあります。「ユーザーを非表示」をクリックすると、すべてのユーザーが表示から非表示になり、「グループを非表示」をクリックすると、すべてのグループが表示から非表示になります(ユーザーとグループの両方を同時に非表示にすることはできません)。フィルター式を使用してリストをフィルターする方法について詳しくは、ユーザーとグループのフィルタリングを参照してください。

ユーザーおよびグループを非表示にするには、次の手順に従います。

  1. セキュリティ ​コンソールで、「ユーザー非表示」または「グループ非表示」をクリックします。選択したボタンがハイライト表示されます。

    cqsecurityhideusers

  2. ユーザーまたはグループを再度表示するには、対応するボタンをもう一度クリックします。

ユーザーとグループの作成 creating-users-and-groups

ユーザーまたはグループを作成するには、次の手順に従ってください。

  1. セキュリティ ​コンソールのツリーリストで、「編集」をクリックし、「ユーザーを作成」または「グループを作成」をクリックします。

    cqseruityeditcontextmenu

  2. ユーザーまたはグループのどちらを作成するかに従って、必要な詳細を入力します。

    • ユーザーを作成」を選択した場合は、ログイン ID、姓名、メールアドレスおよびパスワードを入力します。デフォルトでは、AEM は姓の最初の文字に基づいてパスを作成しますが、別のパスを選択することもできます。

    createuserdialog

    • グループを作成」を選択した場合は、グループ ID と説明(オプション)を入力します。

    creategroupdialog

  3. 作成」をクリックします。作成したユーザーまたはグループがツリーリストに表示されます。

ユーザーとグループの削除 deleting-users-and-groups

ユーザーまたはグループを削除するには、次の手順に従ってください。

  1. セキュリティ ​コンソールで、削除するユーザーまたはグループを選択します。複数の項目を削除する場合は、Shift キーまたは Ctrl キーを押しながらクリックして選択します。
  2. 編集」をクリックして、「削除」を選択します。ユーザーまたはグループを削除するかどうかを確認するメッセージが AEM WCM に表示されます。
  3. OK」をクリックして確定またはキャンセルします。

ユーザーおよびグループのプロパティの変更 modifying-user-and-group-properties

ユーザーおよびグループのプロパティを変更するには、次の手順に従います。

  1. セキュリティ ​コンソールで、変更するユーザーまたはグループの名前をダブルクリックします。

  2. プロパティ」タブをクリックし、必要な変更を行なって「保存」をクリックします。

    cqsecurityuserprops

NOTE
ユーザーのプロパティの一番下にユーザーのパスが表示されます。このパスは変更できません。

ユーザーパスワードの変更 changing-a-user-password

以下の手順を使用して、ユーザーのパスワードを変更します。

NOTE
セキュリティコンソールを使用して管理者パスワードを変更できません。管理者アカウントのパスワードを変更するには、Granite の操作で提供されるユーザーコンソールを使用します。
JEE 上で AEM Forms を使用している場合は、以下の手順を使用してパスワードを変更しないでください。JEE 上の AEM Forms Admin Console(/adminui)を使用してパスワードを変更します。
  1. セキュリティ ​コンソールで、パスワードを変更するユーザーの名前をダブルクリックします。

  2. プロパティ」タブをクリックします(まだアクティブでない場合)。

  3. パスワードを設定」をクリックします。パスワードを設定ウィンドウが開きます。このウィンドウでパスワードを変更できます。

    cqsecurityuserpassword

  4. 新しいパスワードを 2 回入力します。これらはクリアテキストで表示されないので、確認用です。一致しない場合は、エラーが表示されます。

  5. 設定」をクリックして、アカウントの新しいパスワードを有効にします。

グループへのユーザーまたはグループの追加 adding-users-or-groups-to-a-group

AEM では、次の 3 つの方法で既存のグループにユーザーまたはグループを追加できます。

  • グループ内にいる場合、メンバー(ユーザーまたはグループ)を追加できます。
  • メンバーの中にいる場合は、メンバーをグループに追加できます。
  • 権限を操作する際に、グループにメンバーを追加できます。

グループ - グループへのユーザーまたはグループの追加 groups-adding-users-or-groups-to-a-group

グループ」タブには、現在のアカウントが属するグループが表示されます。これを使用して、選択したアカウントをグループに追加できます。

  1. グループに割り当てるアカウント(ユーザーまたはグループ)の名前をダブルクリックします。

  2. グループ」タブをクリックします。アカウントが既に属しているグループのリストが表示されます。

  3. ツリーリストで、アカウントに追加するグループの名前をクリックし、グループ ​ウィンドウにドラッグします。(複数のユーザーを追加する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックしてドラッグします)。

    cqsecurityaddusertogroup

  4. 保存」をクリックして変更を保存します。

メンバー - グループへのユーザーまたはグループを追加 members-adding-users-or-groups-to-a-group

メンバー」タブはグループに対してのみ機能し、現在のグループに属するユーザーおよびグループが表示されます。これを使用して、アカウントをグループに追加できます。

  1. メンバーを追加するグループの名前をダブルクリックします。

  2. メンバー」タブをクリックします。このグループに既に属するメンバーのリストが表示されます。

  3. ツリーリストで、グループに追加するメンバーの名前をクリックし、メンバー ​ウィンドウにドラッグします。(複数のユーザーを追加する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックしてドラッグします)。

    cqsecurityadduserasmember

  4. 保存」をクリックして変更を保存します。

権限を追加する際のユーザーまたはグループの追加 adding-users-or-groups-while-adding-permissions

特定のパスにあるグループにメンバーを追加するには:

  1. ユーザーを追加するグループまたはユーザーの名前をダブルクリックします。

  2. 権限」タブをクリックします。

  3. 権限を追加するパスに移動し、「詳細」をクリックします。詳細ウィンドウの下部に、そのページに対する権限を持つユーザーに関する情報が表示されます。

    chlimage_1-113

  4. 対象のパスに対する権限を追加するメンバーの​ メンバー ​列のチェックボックスをオンにします。権限を削除するメンバーのチェックボックスをオフにします。変更したセルに赤い三角形が表示されます。

  5. OK」をクリックして、変更を保存します。

グループからのユーザーまたはグループの削除 removing-users-or-groups-from-groups

AEM では、次の 3 つの方法でユーザーまたはグループをグループから削除します。

  • グループプロファイルで、メンバー(ユーザーまたはグループ)を削除できます。
  • メンバープロファイルで、グループからメンバーを削除できます。
  • 権限を操作している際に、グループからメンバーを削除できます。

グループ - グループからのユーザーまたはグループの削除 groups-removing-users-or-groups-from-groups

グループからユーザーまたはグループアカウントを削除するには:

  1. グループから削除するグループまたはユーザーの名前をダブルクリックします。

  2. グループ」タブをクリックします。選択したアカウントが属するグループが表示されます。

  3. グループ ​ペインで、グループから削除するユーザーまたはグループの名前をクリックして、「削除」をクリックします。(複数のアカウントを削除する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックして、「削除」をクリックします)。

    cqsecurityremoveuserfromgrp

  4. 保存」をクリックして変更を保存します。

メンバー - グループからのユーザーまたはグループの削除 members-removing-users-or-groups-from-groups

グループからアカウントを削除するには:

  1. メンバーを削除するグループの名前をダブルクリックします。

  2. メンバー」タブをクリックします。このグループに既に属するメンバーのリストが表示されます。

  3. メンバー ​ウィンドウで、グループから削除するメンバーの名前をクリックし、「削除」をクリックします。(複数のユーザーを削除する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックし、「削除」をクリックします。)

    cqsecurityremovemember

  4. 保存」をクリックして変更を保存します。

権限を追加する際のユーザーまたはグループの削除 removing-users-or-groups-while-adding-permissions

特定のパスにあるグループからメンバーを削除するには:

  1. ユーザーを削除するグループまたはユーザーの名前をダブルクリックします。

  2. 権限」タブをクリックします。

  3. 権限を削除するパスに移動し、「詳細」をクリックします。詳細ウィンドウの下部に、そのページに対する権限を持つユーザーに関する情報が表示されます。

    chlimage_1-114

  4. 対象のパスに対する権限を追加するメンバーの​ メンバー ​列のチェックボックスをオンにします。権限を削除するメンバーのチェックボックスをオフにします。変更したセルに赤い三角形が表示されます。

  5. OK」をクリックして、変更を保存します。

ユーザー同期 user-synchronization

デプロイメントがパブリッシュファームであるとき、ユーザーとグループをすべてのパブリッシュノード間で同期する必要があります。

ユーザー同期と有効化の方法について詳しくは、ユーザーの同期を参照してください。

権限の管理 managing-permissions

NOTE
アドビでは、権限管理のための新しいタッチ UI ベースのプリンシパルビューが導入されました。使用方法について詳しくは、権限管理のプリンシパルビューを参照してください。

ここでは、権限(レプリケーション権限を含む)を設定する方法について説明します。

権限の設定 setting-permissions

ユーザーは権限を使用して、特定のパスにあるリソースに対して特定のアクションを実行できます。権限にはページを作成または削除する機能も含まれます。

権限を追加、変更または削除するには:

  1. セキュリティ ​コンソールで、権限を設定するユーザーまたはグループの名前をダブルクリックするか、ノードを検索します。

  2. 権限」タブをクリックします。

    cquserpermissions

  3. ツリーグリッドで、チェックボックスをオンにして、選択したユーザーまたはグループによるアクションの実行を許可します。または、チェックボックスをオフにして、選択したユーザーまたはグループによるアクションの実行を拒否します。詳しくは、「詳細」をクリックしてください。

  4. 完了したら、「保存」をクリックします。

レプリケーション権限の設定 setting-replication-privileges

レプリケーション権限は、コンテンツを公開する権利で、グループとユーザーに対して設定できます。

NOTE
  • グループに適用されるレプリケーション権限は、そのグループ内のすべてのユーザーに適用されます。
  • ユーザーのレプリケーション権限は、グループのレプリケーション権限よりも優先されます。
  • 「許可」レプリケーション権限の優先順位は「拒否」レプリケーション権限よりも高くなります。詳しくは、AEM の権限を参照してください。

レプリケーション権限を設定するには、次の手順に従います。

  1. リストからユーザーまたはグループを選択し、ダブルクリックして開き、「権限」をクリックします。

  2. グリッドで、ユーザーにレプリケーション権限を設定するパスに移動するか、ノードを検索します。

  3. 選択したパスの「レプリケーション」列で、チェックボックスをオンにして、対象のユーザーまたはグループのレプリケーション権限を追加します。または、チェックボックスをオフにして、レプリケーション権限を削除します。AEM では、変更を行った(未保存の)項目に赤い三角形が表示されます。

    cquserreplicatepermissions

  4. 保存」をクリックして変更を保存します。

ノードの検索 searching-for-nodes

権限を追加または削除する際に、ノードを参照または検索できます。

パス検索には、次の 2 つの異なるタイプがあります。

  • パス検索 - 検索文字列が「/」で始まる場合、指定されたパスの直接サブノードを検索します。

cqsecuritypathsearch

検索ボックスでは以下の操作を行うことができます。

アクション
動作
右向き矢印キー
検索結果内のサブノードを選択します
下向き矢印キー
検索を再開します。
Enter(Return)キー
サブノードを選択し、ツリーグリッドに読み込みます
  • フルテキスト検索 - 検索文字列が「/」で始まらない場合は、パス「/content」の下にあるすべてのノードに対してフルテキスト検索が実行されます。

cqsecurityfulltextsearch

パス検索またはフルテキスト検索を実行するには:

  1. セキュリティコンソールで、ユーザーまたはグループを選択して、「権限」タブをクリックします。

  2. 「検索」ボックスに検索する用語を入力します。

別のユーザーとして実行 impersonating-users

現在のユーザーとしての実行を許可する 1 人以上のユーザーを指定できます。つまり、指定されたユーザーは現在のユーザーのアカウント設定に切り替えて、そのユーザーの代理として操作を行うことができます。

元のユーザーが実行できないアクションが許可される可能性があるので、この機能を使用する際は注意が必要です。別のユーザーとして実行する場合は、元のユーザーとしてログインしていないと通知されます。

以下に示す様々なシナリオでこの機能を使用できます。

  • あなたがオフィスにいない場合に、別の担当者があなたの代理として操作を行うことができます。この機能を使用すると、別の担当者があなたのアクセス権限を引き継ぐことができます。ユーザープロファイルを変更したり、パスワードを公開したりする必要はありません。
  • デバッグの目的でこの機能を使用できます。例えば、アクセス権限が制限されているユーザーを Web サイトで検索する方法を確認できます。また、あるユーザーが技術的な問題に関して不満を持っている場合は、そのユーザーとして実行し、問題を診断して修正できます。

既存のユーザーとして実行するには:

  1. ツリーリストで、他のユーザーが操作を代理するユーザーの名前を選択します。ダブルクリックして開きます。

  2. 実行」タブをクリックします。

  3. 選択したユーザーとして実行することのできるユーザーをクリックします。ユーザーをリストから実行ウィンドウにドラッグします。リストに名前が表示されます。

    chlimage_1-115

  4. 保存」をクリックします。

ユーザーとグループの環境設定の指定 setting-user-and-group-preferences

ユーザーとグループの環境設定(言語、ウィンドウ管理、ツールバーの環境設定を含む)を指定するには:

  1. 環境設定を変更するユーザーまたはグループを左側のツリーで選択します。複数のユーザーまたはグループを選択するには、Ctrl キーまたは Shift キーを押しながら選択項目をクリックします。

  2. 環境設定」タブをクリックします。

    cqsecuritypreferences

  3. 必要に応じて、グループまたはユーザーの環境設定を変更し、完了したら「保存」をクリックします。

ユーザーまたは管理者に他のユーザーの管理権限を付与するための設定 setting-users-or-administrators-to-have-the-privilege-to-manage-other-users

ユーザーまたは管理者が他のユーザーを削除/アクティベート/アクティベート解除する権限を付与するための設定を行うには:

  1. 他のユーザーを管理する権限を付与するユーザーを administrators グループに追加して、変更を保存します。

    cqsecurityaddmembertoadmin

  2. ユーザーの「権限」タブで、「/」に移動します。「レプリケーション」列で、チェックボックスをオンにして「/」におけるレプリケーションを許可し、「保存」をクリックします。

    cqsecurityreplicatepermissions

    これで、選択したユーザーがユーザーのアクティベート解除、アクティベート、削除および作成を行うことができます。

プロジェクトレベルでの権限の拡張 extending-privileges-on-a-project-level

アプリケーション専用の権限を実装する場合に、カスタム権限を実装するために確認しておく必要のある情報および CQ 全体でその権限を適用する方法を以下に示します。

階層の変更権限は JCR 権限の組み合わせによってカバーされます。レプリケーション権限の名前は crx:replicate です。この権限は、他の権限と共に JCR リポジトリに保存され、評価されます。ただし、この権限は JCR レベルでは適用されません。

カスタム権限の定義と登録は、公式には Jackrabbit API(バージョン 2.4 以降)の一部です(JCR-2887 も参照)。その他の使用方法は、JSR 283(Section 16)で定義されているとおり、JCR アクセス制御管理によってカバーされます。また、Jackrabbit API では複数の拡張機能を定義します。

権限の登録メカニズムは、リポジトリ設定 ​の下の UI に反映されます。

新しい(カスタム)権限の登録は、リポジトリレベルで付与する必要のある組み込みの権限によって保護されます(JCR の場合、AC MGT API で「absPath」パラメーターとして「null」を渡します。詳しくは、JSR 333 を参照してください)。デフォルトでは、admin と administrators のすべてのメンバーにこの権限が付与されています。

NOTE
カスタム権限の検証と評価を実装で行う場合は、その権限が組み込みの権限の集合でない限り適用できません。
recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2