用户、组和访问权限管理 user-group-and-access-rights-administration
启用对CRX存储库的访问涉及多个主题:
基本元素包括:
用户帐户 CRX通过根据用户帐户中保存的详细信息来识别和验证用户(由某人或其他应用程序),从而验证访问权限。
在CRX中,每个用户帐户都是工作区中的节点。 CRX用户帐户具有以下属性:
-
它表示CRX的一个用户。
-
它包含用户名和密码。
-
适用于该工作区。
-
不能有子用户。 对于分层访问权限,您应使用组。
-
您可以指定用户帐户的访问权限。
但是,为简化管理,我们建议(在大多数情况下)您为组帐户分配访问权限。 为每个用户分配访问权限会很快变得非常难以管理(只有一个或两个实例时,某些系统用户会例外)。
组帐户 群组帐户是用户和/或其他群组的集合。 这些权限可简化管理,因为分配给群组的访问权限更改会自动应用于该群组中的所有用户。 用户不必属于任何组,但通常属于多个组。
在CRX中,组具有以下属性:
-
它表示一组具有共同访问权限的用户。 例如,作者或开发人员。
-
适用于该工作区。
-
它可以有成员;这些组可以是个人用户或其他组。
-
可通过成员关系实现分层分组。 不能将组直接放置在存储库中另一个组的下方。
-
您可以为所有群组成员定义访问权限。
访问权限 CRX使用访问权限控制对存储库特定区域的访问。
这是通过将权限分配给允许或拒绝访问存储库中的资源(节点或路径)来完成的。 由于可以分配各种权限,因此必须对其进行评估以确定哪种组合适用于当前请求。
CRX允许您配置用户帐户和组帐户的访问权限。 评估的基本原则同样适用于这两者。
如何评估访问权限 how-access-rights-are-evaluated
主体与主体 subjects-and-principals
CRX在评估访问权限时使用两个关键概念:
-
A 主体 是具有访问权限的实体。 承担者包括:
-
用户帐户。
-
群组帐户
如果某个用户帐户属于一个或多个组,则它也与这些组主体中的每个主体相关联。
-
-
A 主题 用于表示请求的源。
它用于整合适用于该请求的访问权限。 这些参数取自:
-
用户主体
您直接分配给用户帐户的权限。
-
与该用户关联的所有主体组
分配给用户所属的任何组的所有权限。
然后,结果用于允许或拒绝对所请求资源的访问。
-
编制主题访问权列表 compiling-the-list-of-access-rights-for-a-subject
在CRX中,主题取决于:
- 用户主体
- 与该用户关联的所有组主体
适用于主题的访问权限列表由以下内容构成:
- 您直接分配给用户帐户的权限
- 加上分配给用户所属的任何组的所有权限
- CRX编译列表时,不考虑任何用户层次结构。
- 仅当您将某个组作为另一个组的成员包含在内时,CRX才使用组层次结构。 组权限没有自动继承。
- 您指定群组的顺序不会影响访问权限。
解决请求和访问权限 resolving-request-and-access-rights
当CRX处理该请求时,它会将来自主题的访问请求与存储库节点上的访问控制列表进行比较:
如果琳达要更新 /features
节点:
优先顺序 order-of-precedence
对CRX中的访问权限进行评估的方式如下:
-
用户主体始终优先于组主体,而不考虑以下事项:
- 他们在访问控制列表中的顺序
- 在节点层次结构中的位置
-
对于给定的主体,给定节点上存在(最多)1个拒绝和1个允许条目。 该实施始终清除冗余条目,并确保允许条目和拒绝条目中未列出相同的权限。
举两个用户 aUser
是该组的成员 aGroup
:
+ parentNode
+ acl
+ ace: aUser - deny - write
+ childNode
+ acl
+ ace: aGroup - allow - write
+ grandChildNode
在上述情况下:
aUser
未获得对的写入权限grandChildNode
.
+ parentNode
+ acl
+ ace: aUser - deny - write
+ childNode
+ acl
+ ace: aGroup - allow - write
+ ace: aUser - deny - write
+ grandChildNode
在这种情况下:
-
aUser
未获得对的写入权限grandChildNode
. -
第二个ACE
aUser
冗余。
根据多个组主体在层次结构内和单个访问控制列表内的顺序来评估其访问权限。
最佳实践 best-practices
下表列出了一些建议和最佳实践:
用户管理 user-administration
标准对话框用于 用户管理.
您必须登录到相应的工作区,然后才能从以下两个位置访问对话框:
- the 用户管理 链接(位于CRX的主控制台上)
- the 安全性 CRX资源管理器的菜单
属性
-
用户ID
访问CRX时使用的帐户短名称。 -
主体名称
帐户的全文名称。 -
密码
使用此帐户访问CRX时需要。 -
ntlmhash
自动为每个新帐户分配,并在密码更改时更新。 -
您可以通过定义名称、类型和值来添加新属性。 对于每个新属性,单击“保存”(绿色勾号)。
组成员资格 这会显示该帐户所属的所有组。 “继承”列指示因其他组的成员资格而继承的成员资格。
单击GroupID(如果可用)将打开 群组管理 那群人。
模拟者 借助“模拟”功能,用户可以代表其他用户工作。
这意味着用户帐户可以指定其他帐户(用户或组),这些帐户可以使用其帐户运行。 换言之,如果允许用户B模拟用户A,则用户B可以使用用户A的完整帐户详细信息(包括ID、名称和访问权限)执行操作。
这样,模拟员帐户就可以像使用模拟员帐户一样完成任务;例如,在缺勤期间或在短期内共享过多负载。
如果某个帐户模拟另一个帐户,则很难查看。 日志文件不包含有关事件发生模拟的事实的信息。 因此,如果用户B模拟用户A,则所有事件看起来都像是用户A个人执行的。
创建用户帐户 creating-a-user-account
-
打开 用户管理 对话框。
-
单击 创建用户.
-
然后,您可以输入属性:
- 用户ID 用作帐户名称。
- 密码 登录时需要。
- 主体名称 提供完整的文本名称。
- 中间路径 可用来形成树结构。
-
单击“保存”(绿色勾号)。
-
该对话框将会展开,以便您能够:
- 配置 属性.
- 请参阅 组成员资格.
- 定义 模拟者.
- 用户
- 具有许多成员的组
更新用户帐户 updating-a-user-account
-
使用 用户管理 对话框打开所有帐户的列表视图。
-
在树结构中导航。
-
单击所需的帐户以打开进行编辑。
-
进行更改,然后单击该条目的“保存”(绿色勾号)。
-
单击 关闭 完成,或 列表…… 返回所有用户帐户的列表。
删除用户帐户 removing-a-user-account
-
使用 用户管理 对话框打开所有帐户的列表视图。
-
在树结构中导航。
-
选择所需的帐户并单击 删除用户;该帐户将被立即删除。
定义属性 defining-properties
您可以定义 属性 对于新帐户或现有帐户:
- 打开 用户管理 对话框。
- 定义 属性 名称。
- 选择 类型 从下拉列表中。
- 定义 值.
- 为新属性单击“保存”(绿色单击符号)。
可以使用垃圾桶符号删除现有属性。
除“密码”外,属性无法编辑,必须删除并重新创建。
更改密码 changing-the-password
的 密码 是一个特殊资产,可通过单击 更改密码 链接。
您还可以将密码从 安全性 菜单访问Advertising Cloud帮助。
定义模拟器 defining-an-impersonator
您可以为新帐户或现有帐户定义模拟器:
-
打开 用户管理 对话框。
-
指定允许模拟该帐户的帐户。
您可以使用浏览……来选择现有帐户。
-
为新属性单击“保存”(绿色勾号)。
群组管理 group-administration
标准对话框用于 群组管理.
您必须登录到相应的工作区,然后才能从以下两个位置访问对话框:
- the 群组管理 链接(位于CRX的主控制台上)
- the 安全性 CRX资源管理器的菜单
属性
-
GroupID
群组帐户的短名称。 -
主体名称
群组帐户的全文名称。 -
您可以通过定义名称、类型和值来添加新属性。 对于每个新属性,单击“保存”(绿色勾号)。
-
成员
您可以添加用户或其他群组作为此群组的成员。
组成员资格 这会显示当前组帐户所属的所有组。 “继承”列指示因其他组的成员资格而继承的成员资格。
单击GroupID将打开该组的对话框。
成员 列出属于当前组的成员的所有帐户(用户和/或组)。
的 继承 列指示因其他组的成员身份而继承的成员资格。
mac-default-<foldername>
对于定义角色的每个文件夹。创建群组帐户 creating-a-group-account
-
打开 群组管理 对话框。
-
单击 创建群组.
-
然后,您可以输入属性:
- 主体名称 提供完整的文本名称。
- 中间路径 可用来形成树结构。
-
单击“保存”(绿色勾号)。
-
该对话框将会展开,以便您能够:
- 配置 属性.
- 请参阅 组成员资格.
- 管理 成员.
更新群组帐户 updating-a-group-account
-
使用 群组管理 对话框打开所有帐户的列表视图。
-
在树结构中导航。
-
单击所需的帐户以打开进行编辑。
-
进行更改,然后单击该条目的“保存”(绿色勾号)。
-
单击 关闭 完成,或 列表…… 返回到所有组帐户的列表。
删除组帐户 removing-a-group-account
-
使用 群组管理 对话框打开所有帐户的列表视图。
-
在树结构中导航。
-
选择所需的帐户并单击 删除组;该帐户将被立即删除。
定义属性 defining-properties-1
您可以为新帐户或现有帐户定义属性:
- 打开 群组管理 对话框。
- 定义 属性 名称。
- 选择 类型 从下拉列表中。
- 定义 值.
- 为新属性单击“保存”(绿色勾号)。
可以使用垃圾桶符号删除现有属性。
成员 members
您可以向当前组添加成员:
-
打开 群组管理 对话框。
-
可以任选其一:
- 输入所需成员的名称(用户或组帐户)。
- 或使用 浏览…… 要搜索并选择要添加的主体(用户或群组帐户),请执行以下操作:
-
为新属性单击“保存”(绿色勾号)。
或删除具有垃圾桶符号的现有成员。
访问权限管理 access-right-management
使用 访问控制 CRXDE Lite的选项卡,您可以定义访问控制策略并分配相关权限。
例如, 当前路径 在左窗格中选择所需的资源,在右下方窗格中选择访问控制选项卡:
这些策略按以下方式进行分类:
-
适用的访问控制策略
可以应用这些策略。这些策略可用于创建本地策略。 选择并添加适用的策略后,该策略将变为本地策略。
-
本地访问控制策略
这些是您已应用的访问控制策略。 然后,您可以更新、排序或删除这些组件。本地策略将覆盖从父级继承的所有策略。
-
有效的访问控制策略
这些是现在对任何访问请求生效的访问控制策略。 它们显示从本地策略和从父级继承的任何策略派生的聚合策略。
策略选择 policy-selection
可以为以下项选择策略:
-
当前路径
如上例所示,在存储库中选择资源。 将显示此“当前路径”的策略。 -
存储库
选择存储库级别访问控制。 例如,在将jcr:namespaceManagement
权限,仅与存储库相关,而与节点无关。 -
主体
在存储库中注册的主体。您可以在 主体 名称或单击字段右侧的图标以打开 选择主体 对话框。
这样,您就可以 搜索 a 用户 或 组. 从结果列表中选择所需的主体,然后单击 确定 将值返回到上一个对话框。
特权 privileges
在添加访问控制条目时,可以选择以下权限(请参阅 安全API 要获取完整详细信息):
注册新权限 registering-new-privileges
您还可以注册新权限:
-
从工具栏中选择 工具,则 权限 以显示当前注册的权限。
-
使用 注册权限 图标(+)打开对话框并定义新权限:
-
单击 确定 保存。 该权限现在可供选择。
添加访问控制条目 adding-an-access-control-entry
-
选择您的资源并打开 访问控制 选项卡。
-
添加新 本地访问控制策略,请单击 + 图标 适用的访问控制策略 列表:
-
新条目显示在 本地访问控制策略:
-
单击 + 图标以添加新条目:
note note NOTE 当前需要解决方法来指定空字符串。 为此,您需要使用“”。 -
定义访问控制策略并单击 确定 保存。 您的新策略将:
- 在 本地访问控制策略
- 更改将反映在 有效的访问控制策略.
CRX将验证您的选择;对于给定的主体,给定节点上存在(最多)1个拒绝和1个允许条目。 该实施始终清除冗余条目,并确保允许条目和拒绝条目中未列出相同的权限。
订购本地访问控制策略 ordering-local-access-control-policies
列表中的顺序指示应用策略的顺序。
-
在 本地访问控制策略 选择所需条目,并将其拖动到表中的新位置。
-
更改将显示在 本地 和 有效的访问控制策略.
删除访问控制策略 removing-an-access-control-policy
-
在 本地访问控制策略 单击条目右侧的红色图标(-)。
-
该条目将从 本地 和 有效的访问控制策略.
测试访问控制策略 testing-an-access-control-policy
-
从CRXDE Lite工具栏中,选择 工具,则 测试访问控制…….
-
将在右上方窗格中打开一个新对话框。 选择 路径 和/或 主体 要测试的。
-
单击 测试 要查看所选内容的结果,请执行以下操作: