在AEM as a Cloud Service中自动添加到“参与者”组的用户
在AEM as a Cloud Service中,通过Adobe IMS进行身份验证的用户会自动添加到参与者组,即使设置了DefaultSyncHandler配置以防止自动成为组成员也是如此。 此行为可能会向站点和Assets授予意外权限。 要解决此问题,您需要了解出现这种情况的原因,并应用支持的策略来管理访问权限。
描述 description
环境
- AEM as a Cloud Service
- Adobe IMS身份验证
- 已修改
DefaultSyncHandler配置以禁用自动组成员资格
问题/症状
- 通过IMS创建或同步的用户将继续放在“参与者”组中。
- 用户获得的访问权限与组织的访问控制模型不一致。
DefaultSyncHandler设置不会覆盖IMS驱动的组分配。
原因
- IMS身份验证会自动将所有用户分配给参与者组。
DefaultSyncHandler设置不控制IMS驱动的组分配。- 此配置已在AEM as a Cloud Service中进行标准化,以实现一致性和稳定的身份同步。
- 工程部门已确认不支持禁用或自定义此自动组分配。
解决方法 resolution
备注:
- 无法阻止已通过IMS身份验证的用户自动添加到参与者组。 推荐且支持的方法是保留默认配置。
- 仅当身份验证依赖于IMS或IMS令牌时,才会自动添加到参与者。
- 不使用IMS身份验证的环境不会遇到此行为。
如果您需要限制访问,请以可控方式应用拒绝规则。
- 保留IMS身份验证和参与者组成员资格的默认配置。
- 确定需要限制访问的区域或操作。
- 将这些区域或操作的拒绝规则应用于“参与者”组。
- 避免使用拒绝规则作为主要授权策略;仅将其用于特定场景。
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f