現在表示中:

この章では、ユーザー認証を設定して管理する方法を説明します。また、AEM における認証と承認の機能の背後にある理論についても説明します。

AEM のユーザーとグループ

この節では、管理しやすいユーザー管理概念の設定に役立つ様々なエンティティと、関連する概念について詳しく取り上げます。

ユーザー

ユーザーはアカウントを使用して AEM にログインします。各ユーザーアカウントは一意であり、基本的なアカウントの詳細情報と、割り当てられている権限を保持します。

多くの場合、ユーザーはグループのメンバーです。権限の割り当てをグループに対しておこなうことで簡略化できます。

グループ

グループはユーザーおよび他のグループの集合です。これらはすべてグループのメンバーと呼ばれます。

グループの主な目的は、更新するエンティティの数を減らしてメンテナンスプロセスを簡略化することです。これは、グループに対する変更がそのグループのすべてのメンバーに適用されるという機能を利用したものです。多くの場合、グループには次の項目が反映されます。

  • アプリケーション内の役割:コンテンツの閲覧を許可されているユーザー、コンテンツの寄稿を許可されているユーザーなど

  • 自身の組織:寄稿者がコンテンツツリー内の別のブランチに制限されている場合、役割を拡張して、別の部門からの寄稿者を区別できます。

したがって、グループは固定される傾向にありますが、ユーザーはより頻繁に追加/削除されます。

構造が良く計画され、整理されていれば、その構造に合わせてグループを使用できます。これにより、全体を把握しやすくなり、効率的な方法で更新をおこなえるようになります。

組み込みのユーザーとグループ

AEM WCM では複数のユーザーとグループがインストールされます。インストール後に初めてセキュリティコンソールにアクセスすると、表示されます。

以下の表は、組み込みのユーザーおよびグループと、次の項目を示しています。

  • 簡単な説明
  • 必要な変更に関する推奨事項

(特定の事情によりアカウント自体を削除しない場合、)デフォルトのパスワードはすべて変更してください

ユーザー ID タイプ 説明 推奨事項

admin

デフォルトパスワード:admin

ユーザー

システム管理アカウントであり、完全なアクセス権限を持つ administrators グループのメンバーです。

このアカウントは、AEM WCM と CRX 間の接続に使用します。

このアカウントを誤って削除した場合は、(デフォルト設定で)リポジトリを再起動すると再作成されます。

admin アカウントは AEM プラットフォームに必須です。つまり、このアカウントは削除できません。

このユーザーアカウントのパスワードはデフォルトから変更することを強くお勧めします。

可能な場合はインストール時に変更してください。後から変更することもできます。

注意:このアカウントを CQ Servlet Engine の admin アカウントと混同しないでください。

anonymous

 

ユーザー

インスタンスへの認証されていないアクセスに関するデフォルトの権限を保持します。デフォルトでは、最小限のアクセス権限が保持されます。

このアカウントを誤って削除した場合は、起動時に再作成されます。このアカウントを完全に削除することはできませんが、無効にすることは可能です。

このアカウントを変更すると、セキュリティに影響が生じる可能性があります。このアカウントを編集する必要がある場合は、最初にバックアップコピーを作成してください。

author

デフォルトパスワード:author

ユーザー

author アカウントには /content への書き込みが許可されています。寄稿者と閲覧者の権限が含まれます。

/content ツリー全体へのアクセスが許可されているので、Web マスターとして使用できます。

これは組み込みユーザーではなく、別の geometrixx デモユーザーです。

アカウントを完全に削除するか、デフォルトのパスワードを変更することをお勧めします。

可能な場合はインストール時に変更してください。後から変更することもできます。

administrators グループ

このグループに属するすべてのメンバーに管理者権限が付与されます。このグループを編集できるのは admin だけです。

完全なアクセス権限を持ちます。

ノードに対して「deny-everyone」を設定すると、ノードがこのグループに対して再び有効にされた場合にのみ administrators がアクセスできます。
content-authors グループ

このグループはコンテンツの編集を担当します。読み取り、変更、作成および削除の権限が必要です。

読み取り、変更、作成および削除の権限を追加すると、プロジェクト固有のアクセス権限を持つ独自の content-authors グループを作成できます。
contributor グループ

ユーザーにコンテンツ(機能に含まれるもののみ)の書き込みを許可する基本権限です。

/content ツリーに対する権限が割り当てられることはありません。このような権限は個々のグループまたはユーザーに対して割り当てる必要があります。

 
dam-users グループ 通常の AEM Assets ユーザーの標準参照グループです。このグループのメンバーは、アセットやコレクションのアップロードまたは共有を有効にするための適切な権限を持ちます。  
everyone グループ

AEM 内のすべてのユーザーが everyone グループのメンバーです。ただし、このグループまたはメンバーシップ関係がすべてのツールに表示されるとは限りません。

このグループはすべてのユーザー(今後作成されるユーザーも含む)に権限を適用するために使用できるので、デフォルトの権限と見なすことができます。

このグループを変更または削除しないでください。

このアカウントを変更すると、セキュリティに影響が生じる可能性があります。

tag-administrators グループ このグループにはタグの編集が許可されています。  
user-administrators グループ ユーザー管理の権限、つまりユーザーおよびグループの作成権限を持ちます。
 
workflow-editors グループ このグループにはワークフローモデルの作成および変更が許可されています。  
workflow-users グループ

ワークフローに参加するユーザーは、workflow-users グループのメンバーである必要があります。メンバーには、ワークフローインスタンスを更新できるように、/etc/workflow/instances への完全なアクセス権限が付与されます。

このグループは標準インストールに含まれていますが、ユーザーを手動でグループに追加する必要があります。

 

AEM の権限

AEM では、ACL を使用して、ユーザーまたはグループが実行できるアクションとそのアクションを実行できる場所を決定します。

権限と ACL

権限では、リソースに対してどのユーザーがどのようなアクションを実行できるかを定義します。権限は、アクセス制御の評価の結果です。

AEM の個々のアクションのチェックボックスをオン/オフにすることで、特定のユーザーに対して付与/拒否された権限を変更できます。チェックマークありは、アクションが許可されていることを示します。チェックマークなしは、アクションが拒否されていることを示します。

また、グリッド内のチェックマークは、AEM 内のどの場所(パス)でどのような権限がユーザーに付与されているかを示します。

アクション

アクションはページ(リソース)に対して実行できます。階層内のページごとに、ユーザーがそのページに対して実行できるアクションを指定できます。権限を使用してアクションを許可または拒否できます。

アクション 説明
読み取り ユーザーはページとその子ページを読み取ることができます。
変更

ユーザーは次の操作を実行できます。

  • ページとその子ページの既存のコンテンツを変更する。
  • ページまたはその子ページに新しい段落を作成する。

JCR レベルでは、ユーザーはプロパティの変更、ロック、バージョン管理、nt の変更によってリソースを変更できます。また、jcr:content 子ノードを定義するノード(cq:Page、nt:file、cq:Asset など)に対する完全な書き込み権限がユーザーに割り当てられます。

作成

ユーザーは次の操作を実行できます。

  • 新しいページまたは子ページを作成する。

変更が拒否されると、jcr:content およびその子ノードの作成はページの変更と見なされるので、jcr:content の下のサブツリーが明確に除外されます。これは、jcr:content 子ノードを定義するノードにのみ適用されます。

削除

ユーザーは次の操作を実行できます。

  • ページまたはその子ページから既存の段落を削除する。
  • ページまたはその子ページを削除する。

変更が拒否されると、jcr:content およびその子ノードの削除はページの変更と見なされるので、jcr:content の下のサブツリーが明確に除外されます。これは、jcr:content 子ノードを定義するノードにのみ適用されます。

ACL 読み取り ユーザーはページまたはその子ページのアクセス制御リストを読み取ることができます。
ACL 編集 ユーザーはページまたはその子ページのアクセス制御リストを変更できます。
レプリケーション ユーザーはコンテンツを別の環境(パブリッシュ環境など)にレプリケートできます。この権限は子ページにも適用されます。

注意:

AEM はコレクションで role-assignment のユーザーグループ(所有者、編集者、閲覧者)を自動的に生成します。ただし、それらのグループに ACL を手動で追加すると、AEM 内にセキュリティ上の脆弱性をもたらすおそれがあります。ACL を手動で追加することはお勧めしません。

アクセス制御リストとその評価方法

AEM WCM では、アクセス制御リスト(ACL)を使用して、様々なページに適用される権限を整理します。

アクセス制御リストは個々の権限で構成され、その権限を実際に適用する順序を決定するために使用されます。このリストは、検討中のページの階層に従って作成されます。ページへの適用に適した最初の権限が見つかるまで、作成されたリストが下から上にスキャンされます。

注意:

ACL はサンプルに付属しています。アプリケーションに適した ACL を確認し、決定しておくことをお勧めします。付属の ACL を確認するには、CRXDE にアクセスし、以下のノードの「アクセス制御」タブを選択します。


/etc/cloudservices/facebookconnect/geometrixx-outdoorsfacebookapp:すべてのユーザーに読み取りアクセスを許可します。

/etc/cloudservices/twitterconnect/geometrixx-outdoors-twitter-app:すべてのユーザーに読み取りアクセスを許可します。

/home/users/geometrixx-outdoors*/profile* および
*/social/relationships/following/* に対する読み取りアクセスをすべてのユーザーに許可します。


カスタムアプリケーションでは、他の関係(*/social/relationships/friend/**/social/relationships/pending-following/* など)用のアクセスを設定できます。

コミュニティ特有の ACL を作成する場合は、そのコミュニティに参加するメンバーに追加の権限を付与できます。例えば、ユーザーが /content/geometrixx-outdoors/en/community/hiking または /content/geometrixx-outdoors/en/community/winter-sports のコミュニティに参加する場合などです。

権限の状態

注意:

CQ 5.3 ユーザーの場合:

以前のバージョンの CQ とは異なり、ユーザーがページの変更だけをおこなう必要がある場合は、作成および削除のアクションを許可することができなくなりました。代わりに、既存のページ上のコンポーネントをユーザーが作成、変更または削除できるようにする場合にのみ、変更アクションを許可します。

下位互換性を確保するために、アクションのテストでは、jcr:content を定義するノードの特別な処理を考慮しません。

アクション 説明
許可(チェックマーク) AEM WCM では、該当するページまたはその子ページに対するユーザーのアクションが許可されます。
拒否(チェックマークなし) AEM WCM では、該当するページまたはその子ページに対するユーザーのアクションが許可されません。

この権限は子ページにも適用されます。

親ノードから権限が継承されず、その権限の対象となるローカルエントリが 1 つ以上ある場合は、次の記号がチェックボックスに表示されます。ローカルエントリは CRX 2.2 インターフェイスで作成されたものです(現時点では、ワイルドカード ACL は CRX でのみ作成できます)。

特定のパスにおけるアクションには次の記号が表示されます。

*(アスタリスク) ローカルエントリが少なくとも 1 つ存在します(有効または無効を問いません)。このようなワイルドカード ACL は CRX で定義されます。
! (感嘆符) 現在無効なエントリが少なくとも 1 つ存在します。

アスタリスクまたは感嘆符の上にマウスポインターを置くと、宣言されたエントリの詳細を示すツールチップが表示されます。このツールチップは 2 つの部分に分かれています。

上部

有効なエントリがリストされます。

下部 無効なエントリがリストされます。これらのエントリは、ツリー内のどこか別の場所では有効である場合があります(これは、特殊属性と、エントリの範囲を制限する対応する ACE が存在することによって示されます)。または、このエントリは、特定のパスまたは上位ノードに定義されている別のエントリによって失効されたものであることもあります。
chlimage_1

注意:

ページの権限が定義されない場合は、すべてのアクションが拒否されます。

アクセス制御リストの管理に関する推奨事項を以下に示します。

  • 権限を直接ユーザーに割り当てないでください。権限はグループにのみ割り当てます。

これにより、グループ数がユーザー数より少なくなり、変更の回数も減るので、メンテナンスが簡略化されます。

  • グループまたはユーザーがページの変更だけをおこなえるようにするには、作成または拒否の権限を付与しないでください。付与するのは、変更と読み取りの権限のみです。
  • 「拒否」の使用は慎重に行ってください。可能な限り、「許可」のみを使用します。

    「拒否」を使用すると、想定された順序とは異なる順序で権限が適用される場合に、予想外の影響が生じる可能性があります。ユーザーが複数のグループのメンバーである場合は、あるグループからの「拒否」ステートメントによって、別のグループからの「許可」ステートメントが取り消される可能性があります(逆の場合も同様です)。この問題がいつ発生するかを常に把握することは困難であり、予想外の結果が生じやすくなります。一方、「許可」を割り当てておけば、このような不一致は生じません。

    そのため、「拒否」ではなく「許可」を使用することをお勧めします。ベストプラクティスを参照してください。

権限を変更する前に、その権限の役割と相互関係について理解しておいてください。AEM WCM におけるアクセス権限の評価方法とアクセス制御リストの設定例については、CRX のドキュメントを参照してください。

権限

権限を付与すると、ユーザーやグループが AEM ページ上の AEM 機能にアクセスできるようになります。

パス別の権限を参照するには、ノードを展開したり折りたたんだりします。権限の継承はルートノードまで追跡できます。

権限を許可または拒否するには、対応するチェックボックスをオンまたはオフにします。

権限の詳細情報の表示

AEM には、グリッド表示の他にも、特定のパスにおける選択したユーザー/グループの権限の詳細表示が用意されています。この詳細表示には追加情報が示されます。

情報の表示だけでなく、ユーザー/グループをグループに追加したり、グループから除外したりすることもできます。権限を追加する際のユーザーまたはグループの追加を参照してください。ここで行った変更は、詳細表示の上部にすぐに反映されます。

詳細表示にアクセスするには、「権限」タブで、選択したグループ/ユーザーおよびパスの「詳細」をクリックします。

permissiondetails

詳細は 2 つの部分に分かれています。

上部

ツリーグリッドに表示される情報と同じものが表示されます。各アクションについて、そのアクションが許可されているか拒否されているかを示すアイコンが表示されます。

  • アイコンなし = 宣言されたエントリがない
  • (チェックマーク)&= 宣言されたアクションが許可されている
  • (-) &= 宣言されたアクションが拒否されている
下部

次の両方に当てはまるユーザーおよびグループのグリッドが表示されます。

  • 特定のパスのエントリを宣言する。
  • 認証可能であるか、またはグループである。

別のユーザーとしての実行

別のユーザーとして実行する機能では、ユーザーは別のユーザーに成り代わって作業をおこなうことができます。

これは、あるユーザーアカウントが操作をおこなうための他のアカウントを指定できることを意味します。つまり、ユーザー B がユーザー A として実行することを許可されている場合、ユーザー B はユーザー A のアカウントの詳細をすべて使用してアクションを実行できます。

これにより、別のユーザーのアカウントを使用しているかのようにタスクを完了できます。例えば、ユーザーの不在時や過剰な量の作業を短期間だけ分担する場合などに便利です。

警告:

あるアカウントが別のアカウントとして実行する場合、その判別は非常に困難です。別のユーザーとして実行する機能の開始時と終了時には監査ログにエントリが記録されますが、その他のログファイル(アクセスログなど)には、その機能がイベントに対して実行されたという事実に関する情報が保持されません。そのため、ユーザー B がユーザー A として実行している場合は、ユーザー A がすべてのイベントを実行しているように見えます。

ベストプラクティス

次の表は、権限と特権を使用する場合のベストプラクティスを示しています。

ルール 理由
グループを使用する

ユーザーごとにアクセス権限を割り当てないようにしてください。これにはいくつかの理由があります。

  • ユーザー数はグループ数より多いので、グループを使用すれば構造が簡素化されます。

  • グループはアカウント全体の概要を確認するために役立ちます。

  • グループを使用すると、継承がシンプルになります。

  • ユーザーは追加または削除されることがあります。グループは長期的に使用されます。

  • 肯定的に指定する

    グループの権限を指定する際には、(可能な限り)常に「許可」ステートメントを使用してください。「拒否」ステートメントの使用は避けてください。

    グループは順番に評価されます。この順番はユーザーごとに異なる方法で定義される可能性があります。

    つまり、ステートメントが実装および評価される順番をほとんど制御できない可能性があります。「許可」ステートメントだけを使用すれば、この順番は問題になりません。

    簡潔にする

    新しいインストールの設定時にある程度時間をかけて検討すると、より良い設定となります。

    わかりやすい構造を適用することで、継続的なメンテナンスや管理が簡略化され、現在の担当者と今後の後任の担当者が実装されている内容を容易に把握できます。

    テスト テストインストール環境を使用して訓練し、様々なユーザーとグループ間の関係を理解するようにしてください。
    デフォルトのユーザーまたはグループ セキュリティ問題を回避するために、インストール直後に必ずデフォルトのユーザーまたはグループを更新してください。

    ユーザーとグループの管理

    ユーザーには、システムおよびそのシステムに対する要求をおこなう外部システムを使用する人々が含まれます。

    グループはユーザーの集合です。

    ユーザーとグループは、セキュリティコンソール内のユーザー管理機能を使用して設定できます。

    セキュリティコンソールを使用したユーザー管理へのアクセス

    すべてのユーザー、グループおよび関連付けられている権限にアクセスするには、セキュリティコンソールを使用します。ここで説明する手順はすべて、このウィンドウで実行されます。

    AEM WCM セキュリティにアクセスするには、次のいずれかの操作をおこないます。

    • ようこそ画面または AEM の様々な場所で、セキュリティアイコンをクリックします。
    • http://<server>:<port>/useradmin に直接アクセスします。管理者として AEM にログインしてください。

    次のウィンドウが表示されます。

    cqsecuritypage

    システム内の現在のユーザーとグループがすべて左側のツリーに表示されます。表示する列を選択したり、列の内容を並べ替えたりできます。また、列ヘッダーを新しい位置にドラッグして列の表示順序を変更することもできます。

    cqsecuritycolumncontext

    タブを使用すると、様々な設定にアクセスできます。

    タブ 説明 
    フィルターボックス リストされるユーザーまたはグループ(あるいはその両方)をフィルタリングするためのメカニズムです。ユーザーとグループのフィルタリングを参照してください。
    ユーザー非表示 この切り替えスイッチを使用すると、リストされたすべてのユーザーが非表示になり、グループのみが表示されます。ユーザーとグループの非表示を参照してください。
    グループ非表示 この切り替えスイッチを使用すると、リストされたすべてのグループが非表示になり、ユーザーのみが表示されます。ユーザーとグループの非表示を参照してください。
    編集 このメニューを使用すると、ユーザーまたはグループの作成、削除、アクティベートおよびアクティベート解除をおこなうことができます。ユーザーとグループの作成およびユーザーとグループの削除を参照してください。
    プロパティ 電子メール情報、説明、名前情報など、ユーザーまたはグループに関する情報がリストされます。ユーザーのパスワードを変更することもできます。ユーザーとグループの作成ユーザーとグループのプロパティの変更およびユーザーパスワードの変更を参照してください。
    グループ 選択したユーザーまたはグループが属するすべてのグループがリストされます。選択したユーザーまたはグループを他のグループに割り当てたり、グループから削除したりできます。グループを参照してください。
    メンバー グループについてのみ使用できます。特定のグループのメンバーが表示されます。メンバーを参照してください。
    権限

    ユーザーまたはグループに権限を割り当てることができます。次の権限を制御できます。

    • 特定のページまたはノードに関する権限。権限の設定を参照してください。
    • ページの作成と削除および階層の変更に関する権限。??? を使用すると、階層の変更などの権限を割り当てて、ページを作成したり、削除したりすることができます。 
    • パスに応じたレプリケーション権限(通常はオーサー環境からパブリッシュ環境へ)。
    実行 別のユーザーにアカウントの代理をさせることができます。あるユーザーが別のユーザーの代理として操作をおこなう必要がある場合に役立ちます。別のユーザーとしての実行を参照してください。
    環境設定 ユーザーまたはグループの環境設定をおこないます。例えば、言語の環境設定などです。

    ユーザーとグループのフィルタリング

    フィルター式を入力してリストをフィルタリングできます。これにより、式に一致しないすべてのユーザーとグループが非表示になります。また、ユーザー非表示とグループ非表示の各ボタンを使用してユーザーとグループを非表示にすることもできます。

    ユーザーまたはグループをフィルタリングするには:

    1. 左側のツリーリストの指定されたスペースにフィルター式を入力します。例えば、admin と入力すると、この文字列を含むすべてのユーザーとグループが表示されます。

    2. 虫眼鏡をクリックしてリストをフィルタリングします。

      cqsecurityfilter
    3. すべてのフィルターを削除する場合は、x をクリックします。

    ユーザーとグループの非表示

    システム内のすべてのユーザーとグループのリストをフィルタリングする方法として、ユーザーまたはグループを非表示にすることもできます。切り替えのメカニズムは 2 つあります。「ユーザー非表示」をクリックすると、すべてのユーザーが非表示になります。「グループ非表示」をクリックすると、すべてのグループが非表示になります(ユーザーとグループの両方を同時に非表示にすることはできません)。フィルター式を使用してリストをフィルタリングするには、ユーザーとグループのフィルタリングを参照してください。

    ユーザーとグループを非表示にするには:

    1. セキュリティコンソールで、「ユーザー非表示」または「グループ非表示」をクリックします。選択したボタンがハイライト表示されます。

      cqsecurityhideusers
    2. ユーザーまたはグループを再度表示するには、対応するボタンをもう一度クリックします。

    ユーザーとグループの作成

    新しいユーザーまたはグループを作成するには:

    1. セキュリティコンソールのツリーリストで、「編集」をクリックし、「ユーザーを作成」または「グループを作成」をクリックします。

    2. ユーザーとグループのどちらを作成するかに従って、必要な詳細を入力します。

      • ユーザーを作成」を選択した場合は、ログイン ID、姓名、電子メールアドレスおよびパスワードを入力します。デフォルトでは、AEM は姓の最初の文字に基づいてパスを作成しますが、別のパスを選択することもできます。
      • グループを作成」を選択した場合は、グループ ID と説明(オプション)を入力します。
    3. 作成」をクリックします。作成したユーザーまたはグループがツリーリストに表示されます。

    ユーザーとグループの削除

    ユーザーまたはグループを削除するには:

    1. セキュリティコンソールで、削除するユーザーまたはグループを選択します。複数の項目を削除する場合は、Shift キーまたは Ctrl キーを押しながらクリックして項目を選択します。

    2. 編集」をクリックし、「削除」を選択します。ユーザーまたはグループを削除するかどうかを確認するメッセージが AEM WCM に表示されます。

    3. OK」をクリックして確定するか、「キャンセル」をクリックしてアクションをキャンセルします。

    ユーザーとグループのプロパティの変更

    ユーザーとグループのプロパティを変更するには:

    1. セキュリティコンソールで、変更するユーザーまたはグループの名前をダブルクリックします。

    2. プロパティ」タブをクリックし、必要な変更を行って「保存」をクリックします。

    注意:

    ユーザーのプロパティの一番下にユーザーのパスが表示されます。このパスは変更できません。

    ユーザーパスワードの変更

    以下の手順を使用して、ユーザーのパスワードを変更します。

    注意:

    セキュリティコンソールを使用して admin パスワードを変更することはできません。admin アカウントのパスワードを変更するには、Granite Operations が提供するユーザーコンソールを使用してください。

     

     

    1. セキュリティコンソールで、パスワードを変更するユーザーの名前をダブルクリックします。

    2. プロパティ」タブをクリックします(まだアクティブでない場合)。

    3. パスワードを設定」をクリックします。パスワードを設定ウィンドウが開きます。このウィンドウでパスワードを変更できます。

    4. 新しいパスワードを 2 回入力します。パスワードはクリアテキストとして表示されないので、確認のために 2 回入力する必要があります。2 つのパスワードが一致しない場合は、エラーが表示されます。

    5. 設定」をクリックして、アカウントの新しいパスワードを有効にします。

    グループへのユーザーまたはグループの追加

    AEM には、ユーザーまたはグループを既存のグループに追加するための方法が 3 つ用意されています。

    • グループに属している場合は、メンバー(ユーザーまたはグループ)を追加できます。
    • メンバーである場合は、グループにメンバーを追加できます。
    • 権限を使用する場合は、グループにメンバーを追加できます。

    グループ - グループへのユーザーまたはグループの追加

    グループ」タブには、現在のアカウントが属するグループが表示されます。このタブを使用して、選択したアカウントをグループに追加できます。

    1. グループに割り当てるアカウント(ユーザーまたはグループ)の名前をダブルクリックします。

    2. グループ」タブをクリックします。アカウントが既に属しているグループのリストが表示されます。

    3. ツリーリストで、アカウントに追加するグループの名前をクリックし、グループウィンドウにドラッグします(複数のユーザーを追加する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックしてドラッグします)。

      cqsecurityaddusertogroup
    4. 保存」をクリックして変更を保存します。

    メンバー - グループへのユーザーまたはグループの追加

    メンバー」タブはグループについてのみ使用できます。このタブには、現在のグループに属しているユーザーとグループが表示されます。このタブを使用して、アカウントをグループに追加できます。

    1. メンバーを追加するグループの名前をダブルクリックします。

    2. メンバー」タブをクリックします。このグループに既に属しているメンバーのリストが表示されます。

    3. ツリーリストで、グループに追加するメンバーの名前をクリックし、メンバーウィンドウにドラッグします(複数のユーザーを追加する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックしてドラッグします)。

      cqsecurityadduserasmember
    4. 保存」をクリックして変更を保存します。

    権限を追加する際のユーザーまたはグループの追加

    特定のパスにあるグループにメンバーを追加するには:

    1. ユーザーを追加するグループまたはユーザーの名前をダブルクリックします。

    2. 権限」タブをクリックします。

    3. 権限を追加するパスに移動して、「詳細」をクリックします。詳細ウィンドウの下部には、対象のページに対する権限を持つユーザーの情報が表示されます。

      chlimage_1
    4. 対象のパスに対する権限を追加するメンバーの「メンバー」列のチェックボックスをオンにします。権限を削除するメンバーのチェックボックスはオフにしてください。変更を行ったセルには赤い三角形が表示されます。

    5. OK」をクリックして、変更を保存します。

    グループからのユーザーまたはグループの削除

     

    AEM には、ユーザーまたはグループをグループから削除するための方法が 3 つ用意されています。

    • グループプロファイルに属している場合は、メンバー(ユーザーまたはグループ)を削除できます。
    • メンバープロファイルに属している場合は、グループからメンバーを削除できます。
    • 権限を使用する場合は、グループからメンバーを削除できます。

     

    グループ - グループからのユーザーまたはグループの削除

    グループからユーザーまたはグループアカウントを削除するには:

    1. グループから削除するグループまたはユーザーアカウントの名前をダブルクリックします。

    2. グループ」タブをクリックします。選択したアカウントが属しているグループが表示されます。

    3. グループウィンドウで、グループから削除するユーザーまたはグループの名前をクリックして、「削除」をクリックします(複数のアカウントを削除する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックして、「削除」をクリックします)。

      cqsecurityremoveuserfromgrp
    4. 保存」をクリックして変更を保存します。

    メンバー - グループからのユーザーまたはグループの削除

    グループからアカウントを削除するには:

    1. メンバーを削除するグループの名前をダブルクリックします。

    2. メンバー」タブをクリックします。このグループに既に属しているメンバーのリストが表示されます。

    3. メンバーウィンドウで、グループから削除するメンバーの名前をクリックして、「削除」をクリックします(複数のユーザーを削除する場合は、Shift キーまたは Ctrl キーを押しながら名前をクリックして、「削除」をクリックします)。

      cqsecurityremovemember
    4. 保存」をクリックして変更を保存します。

    権限を追加する際のユーザーまたはグループの削除

    特定のパスにあるグループからメンバーを削除するには:

    1. ユーザーを削除するグループまたはユーザーの名前をダブルクリックします。

    2. 権限」タブをクリックします。

    3. 権限を削除するパスに移動して、「詳細」をクリックします。詳細ウィンドウの下部には、対象のページに対する権限を持つユーザーの情報が表示されます。

      chlimage_1
    4. 対象のパスに対する権限を追加するメンバーの「メンバー」列のチェックボックスをオンにします。権限を削除するメンバーのチェックボックスはオフにしてください。変更を行ったセルには赤い三角形が表示されます。

    5. OK」をクリックして、変更を保存します。

    ユーザー同期

    デプロイメントがパブリッシュファームであるとき、ユーザーとグループをすべてのパブリッシュノード間で同期する必要があります。

    ユーザー同期の概要とそれを有効にする方法について詳しくは、ユーザー同期を参照してください。

    権限の管理

    ここでは、権限(レプリケーション権限を含む)を設定する方法について説明します。

    権限の設定

    ユーザーは権限を使用して、特定のパスにあるリソースに対して特定のアクションを実行できます。権限にはページを作成または削除する機能も含まれます。

    権限を追加、変更または削除するには:

    1. セキュリティコンソールで、権限を設定するユーザーまたはグループの名前をダブルクリックするか、ノードを検索します。

    2. 権限」タブをクリックします。

      cquserpermissions
    3. ツリーグリッドで、チェックボックスをオンにして、選択したユーザーまたはグループによるアクションの実行を許可します。または、チェックボックスをオフにして、選択したユーザーまたはグループによるアクションの実行を拒否します。詳細を確認するには、「詳細」をクリックします。

    4. 完了したら、「保存」をクリックします。

    レプリケーション権限の設定

    レプリケーション権限はコンテンツを公開する権限です。グループとユーザーに対してこの権限を設定できます。

    注意:

    • グループに適用されたレプリケーション権限は、そのグループ内のすべてのユーザーに適用されます。
    • ユーザーのレプリケーション権限はグループのレプリケーション権限に優先します。
    • 「許可」レプリケーション権限の優先順位は「拒否」レプリケーション権限よりも高くなります。詳しくは、AEM の権限を参照してください。

    レプリケーション権限を設定するには:

    1. リストからユーザーまたはグループを選択し、ダブルクリックして開きます。「権限」をクリックします。

    2. グリッドで、複製権限を付与するユーザーのパスに移動するか、ノードを検索します。

    3. 選択したパスの「レプリケーション」列で、チェックボックスをオンにして、対象のユーザーまたはグループのレプリケーション権限を追加します。または、チェックボックスをオフにして、レプリケーション権限を削除します。AEM では、変更を行った(未保存の)項目に赤い三角形が表示されます。

    4. 保存」をクリックして変更を保存します。

    ノードの検索

    権限を追加または削除する場合に、ノードを参照または検索できます。

    パス検索には 2 種類の方法があります。

    • パス検索 - 検索文字列が「/」で始まる場合は、特定のパスの直下のサブノードが検索されます。

    検索ボックスでは以下の操作をおこなうことができます。

    右矢印キー
    検索結果内のサブノードを選択します。
    下矢印キー 検索を再び開始します。
    Enter(Return)キー サブノードを選択し、ツリーグリッドに読み込みます。
    • フルテキスト検索 - 検索文字列が「/」で始まらない場合は、パス「/content」の下にあるすべてのノードに対してフルテキスト検索が実行されます。

    パス検索またはフルテキスト検索を実行するには:

    1. セキュリティコンソールで、ユーザーまたはグループを選択して、「権限」タブをクリックします。

    2. 「検索」ボックスに検索する用語を入力します。

    別のユーザーとしての実行

    現在のユーザーとしての実行を許可する 1 人以上のユーザーを指定できます。つまり、指定されたユーザーは現在のユーザーのアカウント設定に切り替えて、そのユーザーの代理として操作をおこなうことができます。

    元のユーザーが実行できないアクションが許可される可能性があるので、この機能を使用する際は注意が必要です。別のユーザーとして実行する場合は、元のユーザーとしてログインしていないと通知されます。

    以下に示す様々なシナリオでこの機能を使用できます。

    • あなたがオフィスにいない場合に、別の担当者があなたの代理として操作をおこなうことができます。この機能を使用すると、別の担当者があなたのアクセス権限を引き継ぐことができます。ユーザープロファイルを変更したり、パスワードを公開したりする必要はありません。

    • デバッグの目的でこの機能を使用できます。例えば、アクセス権限が制限されているユーザーを Web サイトで検索する方法を確認できます。また、あるユーザーが技術的な問題を訴える場合は、そのユーザーとして実行し、問題を診断して修正できます。

    既存のユーザーとして実行するには:

    1. ツリーリストで、他のユーザーが操作を代理するユーザーの名前を選択します。ダブルクリックして開きます。

    2. 実行」タブをクリックします。

    3. 選択したユーザーとして実行することのできるユーザーをクリックします。ユーザーをリストから実行ウィンドウにドラッグします。リストに名前が表示されます。

      chlimage_1
    4. 保存」をクリックします。

    ユーザーとグループの環境設定の指定

    ユーザーとグループの環境設定(言語、ウィンドウ管理、ツールバーの環境設定を含む)を指定するには:

    1. 環境設定を変更するユーザーまたはグループを左側のツリーで選択します。複数のユーザーまたはグループを選択するには、Ctrl キーまたは Shift キーを押しながら選択項目をクリックします。

    2. 環境設定」タブをクリックします。

    3. 必要に応じて、グループまたはユーザーの環境設定を変更し、完了したら「保存」をクリックします。

    ユーザーまたは管理者に他のユーザーの管理権限を付与するための設定

    ユーザーまたは管理者が他のユーザーを削除/アクティベート/アクティベート解除する権限を付与するための設定をおこなうには:

    1. 他のユーザーを管理する権限を付与するユーザーを administrators グループに追加して、変更を保存します。

      cqsecurityaddmembertoadmin
    2. ユーザーの「権限」タブで、「/」に移動します。「レプリケーション」列で、チェックボックスをオンにして「/」におけるレプリケーションを許可し、「保存」をクリックします。

      これで、選択したユーザーがユーザーのアクティベート解除、アクティベート、削除および作成をおこなうことができます。

    プロジェクトレベルでの権限の拡張

    アプリケーション専用の権限を実装する場合に、カスタム権限を実装するために確認しておく必要のある情報および CQ 全体でその権限を適用する方法を以下に示します。

    階層の変更権限は JCR 権限の組み合わせによってカバーされます。レプリケーション権限の名前は crx:replicate です。この権限は、他の権限と共に JCR リポジトリに保存され、評価されます。ただし、この権限は JCR レベルでは適用されません。

    カスタム権限の定義と登録は、公式には Jackrabbit API(バージョン 2.4 以降)の一部です(JCR-2887 も参照)。その他の使用方法は、JSR 283(Section 16)で定義されているとおり、JCR アクセス制御管理によってカバーされます。また、Jackrabbit API では複数の拡張機能を定義します。

    権限の登録メカニズムは、リポジトリ設定の下の UI に反映されます。

    新しい(カスタム)権限の登録は、リポジトリレベルで付与する必要のある組み込みの権限によって保護されます(JCR の場合、AC MGT API で「absPath」パラメーターとして「null」を渡します。詳しくは、JSR 333 を参照してください)。デフォルトでは、admin と administrators のすべてのメンバーにこの権限が付与されています。

    注意:

    カスタム権限の検証と評価を実装でおこなう場合は、その権限が組み込みの権限の集合でない限り適用できません。

    本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

    法律上の注意   |   プライバシーポリシー