[AEM Assets]{class="badge positive" title="适用于AEM Assets)。"}
基于属性的访问控制 attribute-based-access-control
基于属性的访问控制(ABAC)允许Content Hub管理员定义基于元数据的规则,以定义对Content Hub中可用资源的访问级别。
组织的管理员为用户组定义规则,这些规则将映射到组ID。 规则是逻辑运算符和比较运算符的组合,管理员可以定义任意数量的规则,以便在Content Hub中管理资源访问。
这些规则基于元数据,如果规则中定义的条件与资源元数据匹配,则资源将向用户组显示。 Content Hub扫描 所有Assets 和 收藏集 内所有可用资源的资源元数据(包括自定义元数据)以向用户组显示结果。
例如,当资产元数据与“Brand = Brand X”和“Region = EMEA或美洲”匹配时,允许访问组ID = 1011的用户组。 Content Hub只向ID为1011的用户组显示品牌为Brand X且地区为EMEA或Americas的那些资源。
基于属性的访问控制的一些主要优势包括:
-
消除了权限对文件夹结构的依赖
-
允许管理员上传资产并追溯确定权限结构
-
减少重复数量 - 提高资产完整性。当同一资产被不同组共享时,基于文件夹的权限需要设置副本。
如何启用基于属性的访问控制? enable-attribute-based-access-control
截至目前,您无法使用Content Hub用户界面自行创建基于属性的访问控制规则。
单击 下载电子表格 下载并在电子表格中定义规则。 创建Adobe支持工单并将电子表格中定义的规则提供给Adobe。
[下载电子表格]{class="badge informative"}
使用本文中定义的准则,在电子表格中定义规则。
基于属性的访问控制用例示例 example-metadata-based-rules
为了支持大规模的营销推广,地区和品牌的不同团队成员需要访问数字资产。 每个角色都有一个基于地区和品牌的特定范围。 ABAC通过资产元数据自动实施这些规则。 下表说明了此用例的不同角色类型以及应用的规则:
利用这些规则,Content Hub管理员可以:
-
基于规则的粒度访问:用户只能看到与其区域和品牌相关的资产 — 没有手动权限分配。
-
无缝的全球协作:区域和品牌团队并行工作,没有访问冲突。
-
可扩展和未来验证的权限:随着新区域或品牌的添加,可以根据元数据更新规则。
支持的规则结构 supported-rule-constructs
-
逻辑运算符:
- AND:所有条件都必须为true
- 或:必须至少有一个条件为true
-
比较运算符:
- 等于(=):检查用户或资产属性是否与某个值匹配
- 不等于(!=):检查用户或资产属性是否与值不匹配
当资源元数据字段包含数组(例如,多个区域或标记)时,Equals引用contains逻辑,Not Equals引用does not contain逻辑。
这允许您编写简单而有表达性的规则,例如:如果区域= emea和assetType ,则允许!=原型和标记!=机密。
准则 guidelines-attribute-based-access-control
-
ABAC规则仅适用于已批准用于Content Hub的资产。 有关详细信息,请参阅批准适用于Content Hub的Assets。
-
不提供DENY规则,而是始终将DENY转换为ALLOW规则。 例如,
ALLOW if region = <user-region> DENY if assetType = prototype AND confidential = yes可以转换为ALLOW if region = <user-region> AND (assetType != prototype OR confidential != yes)。 -
ABAC规则使用IMS组ID应用于用户组,该ID可在Admin Console中使用。
-
您可以使用AEM as a Cloud Service创作环境为资源设置批准目标。 ABAC规则应用于审批目标=
Content Hub的已审批资产,因为审批目标=Delivery适用于可用于Delivery+Content Hub的资产。 标记为批准目标=Delivery的Assets对内容中心中的所有人可见。 -
确保ABAC规则中使用的元数据架构已正确定义,并且在AEM中可用。 提供AEM中元数据架构的完整路径,这些架构定义ABAC规则中引用的属性。 您可以选择创建一个测试文件夹,其中包含一些元数据值与ABAC条件匹配的示例资源。 这有助于验证规则行为并准确评估访问权限。
-
捕获评论中规则的业务意图,无论条件是否正确写入,因为意图有助于我们验证并更正逻辑(如果需要)。
-
为DRM设置的许可证PDF文件需要对所有人可见,以便用户在使用许可证下载资源时能够看到这些文件。
常见问题解答 faqs-attribute-based-access-control-content-hub
AEM Assets Content Hub中基于属性的访问控制(ABAC)是什么?
AEM Assets Content Hub中基于属性的访问控制(ABAC)允许管理员定义基于元数据的规则,以控制不同用户组对数字资源的访问级别。 访问权限取决于资产的元数据是否与规则中指定的条件匹配,从而允许对资产可见性进行精细的动态管理。
管理员如何在AEM Assets Content Hub中使用ABAC定义访问规则?
管理员通过基于资产元数据(例如品牌或区域)创建条件并将这些条件链接到特定用户组ID来定义访问规则。 这些规则使用逻辑(AND、OR)和比较(等于、不等于)运算符来准确地指定哪些资产对哪些用户组可见。
在AEM Assets Content Hub中使用ABAC与传统基于文件夹的权限相比有何主要好处?
ABAC消除了对权限文件夹结构的依赖性,允许管理员上传资产和追溯分配权限,并减少所需的重复资产数量。 这提高了资产完整性并简化了权限管理,尤其是在资产需要与多个组共享时。
管理员能否直接在AEM Assets Content Hub界面中设置ABAC规则?
不需要,截至目前,管理员无法直接在Content Hub界面中创建ABAC规则。 相反,他们必须下载模板电子表格(本文中提供的下载链接),在那里定义他们的规则,并通过用于实施的支持票证将其提交到Adobe支持。
在AEM Assets Content Hub中设置ABAC规则时,可以使用哪些类型的元数据条件?
AEM Assets Content Hub中的ABAC规则可以使用逻辑运算符(如AND和OR)以及比较运算符(如equals和not equals)。 必须在规则中使用的元数据属性进行正确定义并在AEM元数据架构中可用,这些属性可以包含区域、品牌或发布状态等字段。
为什么AEM Assets Content Hub ABAC对于拥有大型团队和多种资源需求的组织特别有用?
ABAC对于拥有大型团队的组织非常有用,因为它可以根据用户角色、区域或品牌实现基于规则的细粒度资源访问。 它确保用户只能看到与其职责相关的资产,而无需手动分配权限或过度重复资产。
在将ABAC电子表格提交到AEM Assets Content Hub支持之前,管理员应该如何为Adobe准备该电子表格?
管理员应在Adobe Admin Console中创建用户组,记下其组ID,并在电子表格中明确定义每个组的权限和条件。 他们应确保所有元数据属性正确映射到相应的架构,并使用“注释”列阐明每个规则的业务意图,从而让Adobe更容易验证和实施规则。