本文重点阐述基于组的权限设置在 AEM Assets 中的关键作用,包括保护数字资源文件夹、简化管理、确保品牌一致性、法规合规性及操作控制。文章详细介绍了配置和维护用户组与权限的最佳实践,以保障数据安全性与系统稳定性。
用户组与权限快速入门
在学习了 AEM Assets 快速入门的最佳实践与技巧和文件夹结构与命名后,本文将基于这些最佳实践,重点讨论用户与权限管理。
在需要管理对不同资源具有不同访问权限的用户组的任何组织中,通过权限设置保护数字资源文件夹至关重要。
在 AEM Assets 中,用户 是指登录 AEM Assets 实例的个体帐户,而 组 是用户、多个组或两者的逻辑集合。
组结构通常保持稳定,而用户变动更为频繁。
为何使用用户组与权限
权限控制着谁能查看、编辑或管理资源。
基于组的权限可简化管理并确保安全访问。
组简化了权限和访问管理,对组的更改将应用于该组的所有成员。组通常反映以下情况:
- 应用程序中的角色 – 如允许查看内容的人员或允许贡献内容的人员。
- 组织的内容访问控制需求 – 使您能区分来自不同部门的贡献者,以及它们可访问的内容和可执行的操作。
用户组与权限有助于实现:
- 数据安全性 – 保护敏感和机密资源。
- 品牌一致性 – 确保仅经批准的用户可访问和发布资源。
- 法规合规性 – 支持版权、许可、数字版权管理及隐私法规(如 GDPR)。
- 操作控制 – 防止未经授权的访问、修改或删除。
在每个组内,可配置特定特权或权限,以定义谁可以访问、读取和修改 AEM Assets 中的内容。在 AEM 中,权限是通过访问控制列表 (ACL) 配置的,具有以下特点:
- 应用于文件夹、资产或节点的规则。
- 对每个组进行配置以允许或拒绝该组用户对不同功能的访问。
- 按优先级从高到低的顺序排列。
“AEM Assets 采用分层文件夹结构,应用于父文件夹的权限会自动继承到其子文件夹和所含资源。这种内置的继承机制简化了访问管理,减少了管理开销,确保在大型内容树中保持一致的权限执行。”
- Deepak Khetawat,Palo Alto Networks 首席软件工程师和 AEM 精英用户
配置组和权限的最佳实践
-
基于角色创建用户组 – 例如作者、营销人员、创意人员、代理商等。
-
始终将权限分配给组而非个人 – 以提高可扩展性并简化审核。
-
避免过度设计 – 简洁的、基于允许的权限结构更易于维护和故障排除。
-
使用系统或默认组 – 例如 AEM 预内置的作者和 dam 用户组;根据需要定义自定义组(如营销审核组、法务评审组)以实现基于角色的访问。
-
授予最小权限 – 仅授予用户/组与其角色对应的必要权限,不额外授权。
-
力求实现“以允许为中心”的模式 – 例如可编辑、可查看。仅在必须覆盖较高层级或组成员的“允许”权限时,方可使用“拒绝”权限,且应确保此类“拒绝”声明尽可能明确。
-
在访问控制列表 (ACL) 中自上而下定义权限 – 始终考虑列表中项目的顺序。系统将应用评估顺序中的第一个显式 ACL 匹配。
“AEM Assets 中的权限应始终在组级别分配,而非直接分配给单个用户。这种基于组的方法增强了可扩展性,简化了权限审核,并符合企业访问管理的最佳实践。即使某个组最初仅包含一个用户,将权限分配给组能够确保用户加入、离开或变更角色时的维护工作更简单 – 只需将用户重新分配到现有组,而无需修改权限。”
- Deepak Khetawat,Palo Alto Networks 首席软件工程师和 AEM 精英用户
维护组和权限的操作最佳实践
设置用户组和权限并非一劳永逸。随着组织的发展变化,需要定期调整和审核用户组与权限。应建立维护与治理的节奏。
- 定期审核 – 对权限执行周期性审查,特别是敏感文件夹的权限,以确保合规性。
- 保持环境一致性 – 在开发、预发布和生产环境中保持权限结构镜像,避免部署时出现意外。
- 维护权限矩阵 – 用文档记录组角色和访问级别,以便实现透明化管理、开展入门培训和满足合规性要求,并可向并非是 AEM Assets 用户的利益相关方分享权限设置。
- 考虑复制影响 – 若资源访问权限会影响对外公开站点,需确保权限变更能传播到发布实例。
动手实践
掌握用户组和权限设置的最佳实践后,请在 AEM 中尝试操作组和权限管理。
- 创建或维护组 – 依次导航至“资源”→“工具”→“安全”→“用户和组”。通过此界面管理用户,并根据角色将其分配到相关组。
- 设置文件夹级权限 – 在 AEM Assets 中导航到目标 DAM 文件夹,打开“属性”→“权限”选项卡进行配置。
- 利用报告功能 – 查看用户的最后登录活动。支持并执行审核,这样不仅可审查访问权限,还能清理长期未登录或不再需要访问权限的用户。
更多学习资源
观看标题为 AEM 大师课:资源工作流、权限与集成的 AEM Experience Makers:技能交流会议,以获取更多见解。此外,以下资源也有助于在 AEM Assets 中建立用户组和权限体系。
- 用户和权限(AEM as a Cloud Service 文档)
- 用户管理和安全性(AEM 6.5 文档)
- 用户、组和访问权限管理(AEM 6.5 文档)
- 生成用户报告(社区帖子)
后续步骤
本文介绍通过用户组和权限实现访问控制的最佳实践,是一个文章系列的组成部分,该系列涵盖有关 Adobe Experience Manager Assets 快速入门的基础指南、最佳实践和 Adobe 精英用户技巧。在接下来的系列文章中,我们将重点探讨元数据相关主题。
要浏览此 AEM Assets 基础系列的所有文章,请参阅: