Comment tirer parti des rep:glob ACE pour gérer les autorisations sur les systèmes multi-locataires

Rechercher
Experience Manager Guide d'utilisation

Sur cette page

S’applique à : Experience Manager

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Objectif

Notre instance AEM a plusieurs locataires (par exemple, différents départements qui ne devraient pas pouvoir accéder aux sites et / ou aux ressources des uns et des autres), comment gérer les autorisations afin que les locataires ne puissent pas voir le contenu des uns et des autres.

Environnement

AEM 6.x.

Étapes

Pour simplifier la gestion des autorisations dans un système à plusieurs clients, vous pouvez tirer parti des listes de contrôle d'accès de type rep:glob.  Ces autorisations vous permettent d’accorder aux utilisateurs l’accès uniquement à ce que vous souhaitez voir par rapport aux autorisations de refus.  Ils sont définis avec des modèles de chemins d'accès au lieu d'être liés aux nœuds auxquels ils appartiennent.

Pour démontrer comment cela est fait, nous supposerons que nous sécurisons un système où vous avez /content/siteA, /content/siteB, et /content/siteC et vous voulez le sécuriser de sorte que les utilisateurs du siteA ne peuvent pas voir le siteB ou le siteC, les utilisateurs du siteB ne peuvent pas voir A ou C et les utilisateurs du siteC ne peuvent pas voir B ou A.

A. Création d'un groupe pour chaque site

La première étape consiste à créer un groupe commun et un groupe pour les utilisateurs de chaque site.  Par exemple, les auteurs communs, les auteurs siteA, auteurs siteB, auteurs siteC.  Utilisez l'UI de la gestion des utilisateurs pour ajouter des groupes.

B. Accordez au groupe d'auteurs communs l'accès en lecture au /content comme ceci :

  1. Allez sur http://host:port/crx/de/index.jsp et connectez-vous en tant qu'administrateur

  2. Naviguez jusqu'au nœud et sélectionnez le nœud /content.

  3. Dans le panneau inférieur droit, sélectionnez l'onglet Contrôle d’accès.

  4. Cliquez sur l’icône verte plus vers la droite pour ajouter une nouvelle Stratégie de Contrôle d'accès (la stratégie existe déjà si vous voyez déjà des entrées de contrôle d'accès répertoriées, dans ce cas, allez à l'étape suivante)

  5. Cliquez sur l’icône verte plus qui s’affiche après celle pour ajouter une nouvelle Entrée de contrôle d’Entrée de contrôle d’accès.

  6. Entrez le Principal du groupe d'utilisateurs commun common-authors.

  7. Choisissez Autoriser pour le Type.

  8. Activez la case à cocher pour jcr:read.

  9. Développez Avancé, sous rep:glob entrez les guillemets "".

  10. Ajoutez deux éléments Entrée de contrôle d'accès pour ces paramètres samewith :

    Type Autorisations rep:glob
    Autoriser jcr:read /jcr:primaryType
    Autoriser jcr:read /:childOrder

  11. Cliquez sur OK.

C. Ajoutez l'accès pour modifier la branche souhaitée des fragments d'expérience sans pouvoir les supprimer.

  1. Maintenant, également avec CRXDe, accédez au sous-chemin souhaité sous /content/siteX, par exemple /content/siteA.

  2. Dans le panneau inférieur droit, sélectionnez l'onglet Contrôle d’accès.

  3. Cliquez sur l'icône verte plus à droite pour ajouter une nouvelle stratégie de contrôle d'accès (la stratégie existe déjà si vous voyez déjà les entrées de contrôle d'accès répertoriées - dans ce cas, passez à l'étape suivante)

  4. Cliquez à nouveau sur l'icône verte plus pour ajouter une autre politique de contrôle d'accès

  5. Entrez l'identifiant de groupe du site en tant que Principal.

  6. Sélectionner Autoriser pour le Type.

  7. Développez Avancé et cochez la case correspondant aux différentes autorisations que vous souhaitez accorder pour un accès complet, puis activez jcr:read, jcr:addChildNodes, jcr:nodeTypeManagement, jcr:modifyProperties, jcr:versionManagement, jcr:lockManagement, jcr:removeNode, jcr:removeChildNodes Texte d'étape.