Användaradministration och -säkerhet user-administration-and-security
I det här kapitlet beskrivs hur du konfigurerar och upprätthåller användarauktorisering och även teorin bakom hur autentisering och auktorisering fungerar i AEM.
Användare och grupper i AEM users-and-groups-in-aem
I det här avsnittet behandlas de olika enheterna och relaterade begreppen mer ingående, så att du kan konfigurera ett enkelt sätt att underhålla användarhanteringskoncept.
Användare users
Användare loggar in på AEM med sitt konto. Varje användarkonto är unikt och innehåller grundläggande kontoinformation tillsammans med de behörigheter som tilldelats.
Användare är ofta medlemmar i grupper, vilket förenklar tilldelningen av dessa behörigheter och/eller behörigheter.
Grupper groups
Grupper är samlingar med användare, andra grupper eller båda. Alla dessa samlingar kallas medlemmar i en grupp.
Deras främsta syfte är att förenkla underhållsprocessen genom att minska antalet enheter som ska uppdateras, eftersom en ändring görs i en grupp tillämpas på alla medlemmar i gruppen. Grupper återspeglar ofta:
- en roll i programmet, t.ex. någon som har rätt att surfa innehållet eller någon som har rätt att bidra med innehåll.
- din egen organisation. Du kanske vill utöka rollerna för att skilja på medverkande från olika avdelningar när de är begränsade till olika grenar i innehållsträdet.
Därför tenderar grupperna att förbli stabila, medan användarna kommer och går oftare.
Med planering och en ren struktur kan användningen av grupper återspegla din struktur, vilket ger dig en tydlig översikt och en effektiv mekanism för uppdateringar.
Inbyggda användare och grupper built-in-users-and-groups
AEM WCM installerar flera användare och grupper. Dessa samlingar visas när du först öppnar säkerhetskonsolen efter installationen.
I följande tabeller visas varje objekt tillsammans med:
- en kort beskrivning
- rekommendationer om nödvändiga ändringar
Ändra alla standardlösenord (om du inte tar bort själva kontot under vissa omständigheter).
Behörigheter i AEM permissions-in-aem
AEM använder åtkomstkontrollistor för att avgöra vilka åtgärder en användare eller grupp kan vidta och var den kan utföra dessa åtgärder.
Behörigheter och åtkomstkontrollistor permissions-and-acls
Behörigheter definierar vem som kan utföra vilka åtgärder på en resurs. Behörigheterna är resultatet av åtkomstkontrollsutvärderingar.
Du kan ändra behörigheter som beviljats/nekats till en viss användare genom att markera eller avmarkera kryssrutorna för de enskilda AEM åtgärderna. En bock anger att en åtgärd är tillåten. Ingen bock indikerar att en åtgärd nekas.
Där bockmarkeringen är i rutnätet visas även vilka behörigheter användarna har på vilka platser i AEM (d.v.s. vilka sökvägar).
Åtgärder actions
Åtgärder kan utföras på en sida (resurs). För varje sida i hierarkin kan du ange vilken åtgärd användaren får utföra på sidan. Behörigheter gör att du kan tillåta eller neka en åtgärd.
Åtkomstkontrollistor och hur de utvärderas access-control-lists-and-how-they-are-evaluated
AEM WCM använder ACL-listor (Access Control Lists) för att organisera de behörigheter som tillämpas på de olika sidorna.
Åtkomstkontrollistor består av de enskilda behörigheterna och används för att avgöra i vilken ordning dessa behörigheter tillämpas. Listan är uppbyggd enligt hierarkin för de aktuella sidorna. Listan skannas sedan nedifrån och upp tills den första behörigheten som krävs för att tillämpa på en sida hittas.
/etc/cloudservices
/home/users/we-retail
*/social/relationships/friend/*
- eller
*/social/relationships/pending-following/*
.
/content/we-retail/us/en/community
Behörighetsstater permission-states
Behörigheterna tillämpas även på underordnade sidor.
Om en behörighet inte ärvs från den överordnade noden men har minst en lokal post läggs följande symboler till i kryssrutan. En lokal post skapas i CRX 2.2-gränssnittet (jokertecken-ACL:er kan för närvarande bara skapas i CRX.)
För en åtgärd vid en angiven sökväg:
När du hovrar över asterisken eller utropstecknet visas ett verktygstips med mer information om de deklarerade posterna. Verktygstipset är uppdelat i två delar:
Nedan följer några rekommendationer om hur du hanterar åtkomstkontrollistor:
-
Tilldela inte behörigheter direkt till användare. Tilldela dem endast till grupper.
Det förenklar underhållet eftersom antalet grupper är mycket mindre än antalet användare och också mindre flyktigt.
-
Om du vill att en grupp/användare bara ska kunna ändra sidor, ska du inte ge dem behörighet att skapa eller neka. Ge dem endast behörighet att ändra och läsa.
-
Använd Neka sparsamt. Använd bara Tillåt i största möjliga utsträckning.
Om du använder Neka kan det orsaka oväntade effekter om behörigheterna tillämpas i en annan ordning än den förväntade. Om en användare är medlem i mer än en grupp kan programsatserna Neka från en grupp avbryta programsatsen Tillåt från en annan grupp eller tvärtom. Det är svårt att behålla en översikt när något sådant händer och det kan enkelt leda till oförutsedda resultat, medan Tillåt tilldelningar inte orsakar sådana konflikter.
Adobe rekommenderar att du arbetar med Tillåt i stället för Neka. Se Bästa praxis.
Innan du ändrar någon av behörigheterna måste du se till att du förstår hur de fungerar och fungerar tillsammans. Se CRX-dokumentationen som illustrerar hur AEM WCM utvärderar åtkomsträttigheter och exempel på hur du konfigurerar åtkomstkontrollistor.
Behörigheter permissions
Behörigheter ger användare och grupper åtkomst till AEM på AEM sidor.
Du bläddrar bland behörigheter genom att utöka/komprimera noderna och du kan spåra behörighetsarvet upp till rotnoden.
Du tillåter eller nekar behörigheter genom att markera eller avmarkera lämpliga kryssrutor.
Visa detaljerad behörighetsinformation viewing-detailed-permission-information
Tillsammans med stödrastervyn AEM en detaljerad vy över behörigheter för en markerad användare/grupp på en viss sökväg. Detaljvyn innehåller ytterligare information.
Förutom att visa information kan du även inkludera eller exkludera den aktuella användaren eller gruppen från en grupp. Se Lägga till användare eller grupper medan behörigheter läggs till. Ändringarna som görs här visas omedelbart i den övre delen av den detaljerade vyn.
Du öppnar detaljvyn genom att klicka på Information på fliken Behörigheter för en markerad grupp/användare och sökväg.
Detaljerna delas upp i två delar:
Personifiera en annan användare impersonating-another-user
Med funktionen Personifiera kan en användare arbeta för en annan användares räkning.
Det innebär att ett användarkonto kan ange andra konton som kan fungera med deras konto. Om till exempel användare-B tillåts personifiera användare-A kan användare-B agera med hjälp av den fullständiga kontoinformationen för användare-A.
Med den här funktionen kan persondatorkonton slutföra uppgifter som om de använde det konto de personifierar. Exempel: under frånvaro eller för att dela en för stor belastning på kort sikt.
/home/users
.Bästa praxis best-practices
Nedan beskrivs de bästa sätten att arbeta med behörigheter och behörigheter:
Undvik att tilldela behörigheter per användare. Det finns flera skäl till detta råd:
- Du har många fler användare än grupper, så grupper förenklar strukturen.
- Grupper ger en översikt över alla konton.
- Arv är enklare med grupper.
- Användarna kommer och går. Grupper är långsiktiga.
Hantera användare och grupper managing-users-and-groups
Användare kan vara personer som använder systemet och utländska system som gör förfrågningar till systemet.
En grupp är en uppsättning användare.
Båda kan konfigureras med funktionen för användaradministration i säkerhetskonsolen.
Åtkomst till användaradministration med säkerhetskonsolen accessing-user-administration-with-the-security-console
Du får åtkomst till alla användare, grupper och tillhörande behörigheter med hjälp av säkerhetskonsolen. Alla procedurer som beskrivs i det här avsnittet utförs i det här fönstret.
Gör något av följande om du vill få åtkomst AEM WCM-säkerhet:
- Klicka på säkerhetsikonen på välkomstskärmen eller olika platser i AEM:
- Navigera direkt till
https://<server>:<port>/useradmin
. Se till att du loggar in AEM som administratör.
Följande fönster visas:
I det vänstra trädet visas alla användare och grupper som finns i systemet. Du kan markera de kolumner som du vill visa, sortera innehållet i kolumnerna och till och med ändra ordningen som kolumnerna visas i genom att dra kolumnrubriken till en ny position.
Flikarna ger åtkomst till olika konfigurationer:
Du kan tilldela behörigheter till en användare eller grupp. Här kan du styra följande:
- Behörigheter för särskilda sidor/noder. Se Ange behörigheter.
- Behörigheter för att skapa och ta bort sidor och ändra hierarkin. ??? låter dig tilldela behörigheter, t.ex. ändrad hierarki, som gör att du kan skapa och ta bort sidor,
- Behörigheter som är relaterade till replikeringsbehörigheter (vanligtvis från författare till publicering) enligt en sökväg.
Filtrera användare och grupper filtering-users-and-groups
Du kan filtrera listan genom att ange ett filteruttryck som döljer alla användare och grupper som inte matchar uttrycket. Du kan också dölja användare och grupper med knapparna Dölj användare och Dölj grupp.
Så här filtrerar du användare eller grupper:
-
I den vänstra trädlistan skriver du filteruttrycket i det angivna utrymmet. Om du till exempel anger admin visas alla användare och grupper som innehåller den här strängen.
-
Klicka på förstoringsglaset för att filtrera listan.
-
Klicka på x när du vill ta bort alla filter.
Dölja användare och grupper hiding-users-and-groups
Att dölja användare eller grupper är ett annat sätt att filtrera listan över alla användare och grupper i ett system. Det finns två växlingsmekanismer. Om du klickar på Dölj användare döljs alla användare och om du klickar på Dölj grupper döljs alla grupper (du kan inte dölja både användare och grupper samtidigt). Information om hur du filtrerar listan med hjälp av ett filteruttryck finns i Filtrera användare och grupper.
Dölj användare och grupper:
-
Klicka på Dölj användare eller Dölj grupper i säkerhetskonsolen. Den valda knappen visas markerad.
-
Om du vill visa användare eller grupper igen klickar du på motsvarande knapp igen.
Skapa användare och grupper creating-users-and-groups
Så här skapar du en användare eller grupp:
-
Klicka på Redigera i trädlistan för konsolen Säkerhet och sedan på Skapa användare eller Skapa grupp.
-
Ange nödvändig information beroende på om du skapar en användare eller en grupp.
- Om du väljer Skapa användare anger du inloggnings-ID, för- och efternamn, e-postadress och lösenord. Som standard skapar AEM en bana som baseras på den första bokstaven i efternamnet, men du kan välja en annan bana.
- Om du väljer Skapa grupp anger du ett grupp-ID och en valfri beskrivning.
-
Klicka på Skapa. Användaren eller gruppen som du skapade visas i trädlistan.
Ta bort användare och grupper deleting-users-and-groups
Så här tar du bort en användare eller grupp:
- Markera den användare eller grupp som du vill ta bort i säkerhetskonsolen. Om du vill ta bort flera objekt Skift-klickar eller Ctrl-klickar du för att markera dem.
- Klicka på Redigera och välj sedan Ta bort. AEM frågar om du vill ta bort användaren eller gruppen.
- Klicka på OK för att bekräfta eller avbryta.
Ändra användar- och gruppegenskaper modifying-user-and-group-properties
Så här ändrar du användar- och gruppegenskaper:
-
Dubbelklicka på det användar- eller gruppnamn som du vill ändra i säkerhetskonsolen.
-
Klicka på fliken Egenskaper, gör önskade ändringar och klicka sedan på Spara.
Ändra ett användarlösenord changing-a-user-password
Använd följande procedur för att ändra en användares lösenord.
-
Dubbelklicka på det användarnamn du vill ändra lösenordet för i säkerhetskonsolen.
-
Klicka på fliken Egenskaper (om den inte redan är aktiv).
-
Klicka på Ange lösenord. Fönstret Ange lösenord öppnas där du kan ändra ditt lösenord.
-
Ange det nya lösenordet två gånger. Eftersom de inte visas i klartext är den här åtgärden en bekräftelse - om de inte matchar visas ett fel i systemet.
-
Klicka på Ange för att aktivera det nya lösenordet för kontot.
Lägga till användare eller grupper i en grupp adding-users-or-groups-to-a-group
AEM erbjuder tre olika sätt att lägga till användare eller grupper i en befintlig grupp:
- När du är i gruppen kan du lägga till medlemmar (antingen användare eller grupper).
- När du är medlem kan du lägga till medlemmar i grupper.
- När du arbetar med behörigheter kan du lägga till medlemmar i grupper.
Grupper - lägga till användare eller grupper i en grupp groups-adding-users-or-groups-to-a-group
Fliken Grupper visar vilka grupper det aktuella kontot tillhör. Du kan använda den för att lägga till det valda kontot i en grupp:
-
Dubbelklicka på namnet på kontot (användaren eller gruppen) som du vill tilldela en grupp.
-
Klicka på fliken Grupper. Du ser en lista över grupper som kontot redan tillhör.
-
I trädlistan klickar du på namnet på gruppen som du vill lägga till i kontot och drar den till rutan Grupper . (Om du vill lägga till flera användare Skift-klickar eller Ctrl-klickar du på namnen och drar dem.)
-
Klicka på Spara för att spara ändringarna.
Medlemmar - Lägga till användare eller grupper i en grupp members-adding-users-or-groups-to-a-group
Fliken Medlemmar fungerar bara för grupper och visar vilka användare och grupper som tillhör den aktuella gruppen. Du kan använda den för att lägga till konton i en grupp:
-
Dubbelklicka på namnet på gruppen som du vill lägga till medlemmar i.
-
Klicka på fliken Medlemmar. En lista över medlemmar som redan tillhör den här gruppen visas.
-
Klicka på namnet på den medlem du vill lägga till i gruppen i trädlistan och dra det till rutan Medlemmar . (Om du vill lägga till flera användare Skift-klickar eller Ctrl-klickar du på namnen och drar dem.)
-
Klicka på Spara för att spara ändringarna.
Lägga till användare eller grupper när behörigheter läggs till adding-users-or-groups-while-adding-permissions
Så här lägger du till medlemmar i en grupp på en viss sökväg:
-
Dubbelklicka på namnet på gruppen eller användaren som du vill lägga till användare i.
-
Klicka på fliken Behörigheter.
-
Navigera till sökvägen som du vill lägga till behörigheter i och klicka på Information. Den nedre delen av informationsfönstret innehåller information om vem som har behörighet för den sidan.
-
Markera kryssrutan i kolumnen Medlem för de medlemmar som du vill ska ha behörighet till den sökvägen. Avmarkera kryssrutan för den medlem som du vill ta bort behörigheter för. En röd triangel visas i cellen som du har ändrat.
-
Klicka på OK om du vill spara ändringarna.
Ta bort användare eller grupper från grupper removing-users-or-groups-from-groups
AEM erbjuder tre olika sätt att ta bort användare eller grupper från en grupp:
- När du är i gruppprofilen kan du ta bort medlemmar (antingen användare eller grupper).
- När du är i medlemsprofilen kan du ta bort medlemmar från grupper.
- När du arbetar med behörigheter kan du ta bort medlemmar från grupper.
Grupper - Tar bort användare eller grupper från grupper groups-removing-users-or-groups-from-groups
Så här tar du bort en användare eller ett gruppkonto från en grupp:
-
Dubbelklicka på namnet på gruppen eller användarkontot som du vill ta bort från en grupp.
-
Klicka på fliken Grupper. Du ser vilka grupper det valda kontot tillhör.
-
I rutan Grupper klickar du på namnet på den användare eller grupp som du vill ta bort från gruppen och sedan på Ta bort. (Om du vill ta bort flera konton Skift-klickar eller Ctrl-klickar du på namnen och klickar på Ta bort.)
-
Klicka på Spara för att spara ändringarna.
Medlemmar - Tar bort användare eller grupper från grupper members-removing-users-or-groups-from-groups
Så här tar du bort konton från en grupp:
-
Dubbelklicka på namnet på gruppen som du vill ta bort medlemmar från.
-
Klicka på fliken Medlemmar. En lista över medlemmar som redan tillhör den här gruppen visas.
-
I rutan Medlemmar klickar du på namnet på den medlem du vill ta bort från gruppen och sedan på Ta bort. (Om du vill ta bort flera användare Skift-klickar eller Ctrl-klickar du på namnen och klickar på Ta bort.)
-
Klicka på Spara för att spara ändringarna.
Ta bort användare eller grupper när behörigheter läggs till removing-users-or-groups-while-adding-permissions
Så här tar du bort medlemmar från en grupp på en viss sökväg:
-
Dubbelklicka på namnet på gruppen eller användaren som du vill ta bort användare från.
-
Klicka på fliken Behörigheter.
-
Navigera till sökvägen som du vill ta bort behörigheter till och klicka på Information. Den nedre delen av informationsfönstret innehåller information om vem som har behörighet för den sidan.
-
Markera kryssrutan i kolumnen Medlem för de medlemmar som du vill ska ha behörighet till den sökvägen. Avmarkera kryssrutan för den medlem som du vill ta bort behörigheter för. En röd triangel visas i cellen som du har ändrat.
-
Klicka på OK om du vill spara ändringarna.
Användarsynkronisering user-synchronization
När distributionen är en publiceringsgrupp måste användare och grupper synkroniseras mellan alla publiceringsnoder.
Mer information om användarsynkronisering och hur du aktiverar den finns i Användarsynkronisering.
Hantera behörigheter managing-permissions
I det här avsnittet beskrivs hur du anger behörigheter, inklusive replikeringsbehörigheter.
Ange behörigheter setting-permissions
Med behörigheter kan användare utföra vissa åtgärder på resurser på vissa sökvägar. Den innehåller även funktioner för att skapa eller ta bort sidor.
Så här lägger du till, ändrar eller tar bort behörigheter:
-
Dubbelklicka på namnet på den användare eller grupp som du vill ange behörigheter för i säkerhetskonsolen eller sök efter noder.
-
Klicka på fliken Behörigheter.
-
Markera en kryssruta i trädstödrastret om du vill att den markerade användaren eller gruppen ska kunna utföra en åtgärd, eller avmarkera en kryssruta om du vill neka användaren eller gruppen att utföra en åtgärd. Mer information får du om du klickar på Information.
-
När du är klar klickar du på Spara.
Ange replikeringsbehörighet setting-replication-privileges
Replikeringsprivilegium är rätten att publicera innehåll, och det kan anges för grupper och användare.
- Alla replikeringsrättigheter som tillämpas på en grupp gäller för alla användare i gruppen.
- En användares replikeringsbehörighet åsidosätter en grupps replikeringsbehörighet.
- Tillåt replikeringsrättigheter har en högre prioritet än Neka-replikeringsrättigheter. Mer information finns i Behörigheter i AEM.
Så här anger du replikeringsbehörighet:
-
Markera användaren eller gruppen i listan, dubbelklicka för att öppna och klicka på Behörigheter.
-
Navigera till den sökväg där du vill att användaren ska ha replikeringsbehörighet eller sök efter noder i rutnätet.
-
Markera en kryssruta i kolumnen Replikera på den valda sökvägen om du vill lägga till replikeringsprivilegiet för den användaren eller gruppen, eller avmarkera kryssrutan om du vill ta bort replikeringsprivilegiet. AEM visar en röd triangel var som helst där du har gjort ändringar som ännu inte har sparats.
-
Klicka på Spara för att spara ändringarna.
Söker efter noder searching-for-nodes
När du lägger till eller tar bort behörigheter kan du antingen bläddra eller söka efter noden.
Det finns två olika typer av sökvägar:
- Sökväg - Om söksträngen börjar med ett "/" söker den efter de direkta delnoderna i den angivna sökvägen:
I sökrutan kan du göra följande:
- Fulltextsökning - Om söksträngen inte börjar med ett "/" utförs en fulltextsökning på alla noder under sökvägen "/content".
Så här söker du efter banor eller fulltext:
-
Markera en användare eller grupp i säkerhetskonsolen och klicka sedan på fliken Behörigheter .
-
Ange en sökterm i sökrutan.
Personifiera användare impersonating-users
Du kan ange en eller flera användare som får personifiera den aktuella användaren. Detta innebär att de kan ändra sina kontoinställningar till den aktuella användarens och agera för den här användarens räkning.
Använd den här funktionen med försiktighet eftersom den kan tillåta användare att utföra åtgärder som deras egen användare inte kan. När en användare personifieras meddelas användaren om att han/hon inte är inloggad som sig själv.
Det finns olika scenarier när du kanske vill använda den här funktionen, bland annat:
- Om du inte är på kontoret kan du låta en annan person personifiera dig medan du är borta. Genom att använda den här funktionen kan du se till att någon har din åtkomstbehörighet och du inte behöver ändra en användarprofil eller ange ditt lösenord.
- Du kan använda den i felsökningssyfte. Om du till exempel vill se hur webbplatsen ser ut för en användare med begränsad behörighet. Om en användare klagar på tekniska problem kan du dessutom personifiera användaren för att diagnostisera och åtgärda problemet.
Så här personifierar du en befintlig användare:
-
I trädlistan markerar du namnet på den person som du vill tilldela andra användare personifiering. Dubbelklicka för att öppna.
-
Klicka på fliken Personifierare.
-
Klicka på den användare som du vill ska kunna personifiera den valda användaren. Dra användaren (personifieraren) från listan till personifieringsrutan. Namnet visas i listan.
-
Klicka på Spara.
Ange inställningar för användare och grupper setting-user-and-group-preferences
Så här anger du användar- och gruppinställningar, inklusive språk, fönsterhantering och verktygsfältsinställningar:
-
Markera den användare eller grupp vars inställningar du vill ändra i det vänstra trädet. Om du vill markera flera användare eller grupper Ctrl-klickar eller Skift-klickar du på dina val.
-
Klicka på fliken Inställningar.
-
Gör de ändringar som behövs i grupp- eller användarinställningarna och klicka på Spara när du är klar.
Ange att användare eller administratörer ska ha behörighet att hantera andra användare setting-users-or-administrators-to-have-the-privilege-to-manage-other-users
Så här anger du att användare eller administratörer ska ha behörighet att ta bort/aktivera/inaktivera andra användare:
-
Lägg till användaren som du vill ge behörighet att hantera andra användare i administratörsgruppen och spara ändringarna.
-
Navigera till / på fliken Behörigheter för användaren och markera kryssrutan Tillåt replikering på / i kolumnen Replikera och klicka på Spara.
Den valda användaren kan nu inaktivera, aktivera, ta bort och skapa användare.
Utöka behörigheter på projektnivå extending-privileges-on-a-project-level
Om du tänker implementera programspecifika behörigheter beskriver följande information vad du måste känna till för att implementera ett anpassat privilegium och hur du tillämpar det i CQ:
Privilegiet för att ändra hierarkin täcks av en kombination av jcr-privilegier. Replikeringsprivilegiet heter crx:Replicate som lagras/utvärderas tillsammans med andra behörigheter i jcr-databasen. Den tillämpas dock inte på jcr-nivån.
Definitionen och registreringen av anpassade behörigheter är officiellt en del av Jackrabbit API från och med version 2.4 (se även JCR-2887). Ytterligare användning täcks av JCR Access Control Management som definieras av JSR 283 (avsnitt 16). API:t Jackrabbit definierar dessutom ett par tillägg.
Behörighetsregistreringsmekanismen återspeglas i användargränssnittet under Databaskonfiguration.
Registreringen av nya (anpassade) behörigheter skyddas av ett inbyggt privilegium som måste beviljas på databasnivån. I JCR: skicka 'null' som 'absPath'-parameter i ac mgt api finns mer information i jsr 333. Som standard har admin och alla medlemmar av administratörer denna behörighet.