Como aproveitar rep: glob ACEs para gerenciar permissões em sistemas de multilocação

Objetivo

Nossa instância do AEM tem vários locatários (por exemplo, departamentos diferentes que não devem poder acessar os sites e / ou os ativos uns dos outros), como gerenciamos as permissões para que os inquilinos não possam visualizar o conteúdo uns dos outros.

Ambiente

AEM 6.x.

Etapas

Para simplificar o gerenciamento de permissões em um sistema de multilocação, você pode aproveitar as ACLs do tipo rep: glob.  Essas permissões permitem que você conceda aos usuários acesso somente ao que você quer que eles visualizem, em vez de usar as permissões negar.  Eles são definidos com padrões de caminho em vez de estarem vinculados aos nós a que pertencem.

Para demonstrar como isso é feito, vamos supor que estamos protegendo um sistema no qual você tem /content/siteA, /content/siteB e /content/siteC e deseja protegê-lo para que os usuários do siteA não possam visualizar siteB ou siteC, usuários do siteB não podem ver A ou C e C não podem ver B ou A.

A. Crie um grupo para cada site

O primeiro passo é criar um grupo comum e um grupo para os usuários de cada site.  Por exemplo, autores comuns, autores do siteA, autores do siteB, autores do siteC.  Use a interface do usuário de administração do usuário para adicionar os grupos.

B. Conceda ao grupo de autores comuns acesso de leitura ao conteúdo / assim:

  1. Vá até http://host:port/crx/de/index.jsp e faça o login como admin.

  2. Procure e selecione o nó /conteúdo.

  3. No painel inferior direito, selecione a aba Controle de acesso.

  4. Clique no ícone de mais verde à direita para adicionar um novo Política de Controle de Acesso (a política já existe se você já ver as entradas de controle de acesso listadas - nesse caso, vá para a próxima)

  5. Clique no ícone de mais verde que aparece depois disso para adicionar uma nova Entrada de Controle de Acesso.

  6. Introduza o Diretor do grupo de usuários comum autores comuns.

  7. Selecione Permitir para o Tipo.

  8. Ative a caixa de seleção para jcr: read.

  9. Expandir Avançado, debaixo rep: glob insira aspas duplas "".

  10. Adicione mais dois itens Entrada de Controle de Acesso para o samewith essas configurações:

    Tipo

    Permissões

    rep:glob

    Permitir

    jcr:read

    / jcr: primaryType

    Permitir

    jcr:read

    /:childOrder

  11. Clique em OK.

C. Adicione acesso para modificar o ramo desejado de fragmentos de experiência sem poder excluí-los.

  1. Agora, também usando o CRXDe, vá para o sub-caminho desejado sob /content/siteX, por exemplo /content/siteA.

  2. No painel inferior direito, selecione a aba Controle de acesso

  3. Clique no ícone de mais verde à direita para adicionar um novo Política de Controle de Acesso (a política já existe se você já ver as entradas de controle de acesso listadas - nesse caso, vá para a próxima etapa)

  4. Clique no ícone de mais verde novamente para adicionar outra Política de Controle de Acesso

  5. Digite o ID do grupo do site como o Principal.

  6. Selecione Permitir para o Tipo.

  7. Expanda Avançado e ative a caixa de seleção das várias permissões que você deseja conceder para acesso de edição completo e, em seguida, ative jcr:read, jcr:addChildNodes, jcr:nodeTypeManagement, jcr:modifyProperties, jcr:versionManagement, jcr:lockManagement, jcr:removeNode, jcr:removeChildNodesEtapa do texto.

Logotipo da Adobe

Fazer logon em sua conta