目的

私たちの AEM インスタンスには複数のテナント(お互いのサイトおよび/またはアセットにアクセスできない異なる部署など)があります。テナントがお互いのコンテンツを表示できないようにするには権限をどのように管理したらよいのでしょう。

環境

AEM 6.x.

手順

マルチテナントシステムでの権限管理を簡素化するために、rep:glob タイプ ACL を利用できます。  これらの権限は拒否権を使用させるよりも見てほしいことだけにアクセスできる権限をユーザーに付与できるようになります。  これらは、属するノードに関係なく、パスパターンで定義されます。

これがどのように行われるかを示すために、/content/siteA、/content/siteB、/content/siteC のシステムを所有し、安全を確保したいとします。そうすると、siteA のユーザーは、siteB または siteC を表示できず、siteB のユーザーは、siteA または siteC を表示できず、siteC のユーザーは、siteB または siteA を表示できません。

A. 各サイトのグループを作成

最初のステップでは、一般的なグループと各サイトのユーザーのグループを作成します。  例えば、common-authors、siteA-authors、siteB-authors、siteC-authors です。  グループを追加するには、ユーザー管理 UI を使用します。

B. このような /content への common-authors グループ読み取りアクセスを許可:

  1. http://host:port/crx/de/index.jsp へ移動して、管理者権限としてログインします。

  2. ノード/content を参照し、選択します。

  3. 右下のパネルで、「アクセス制御」タブを選択します。

  4. 新規のアクセス制御ポリシーを右側に作成するために、緑色のプラスアイコンをクリックします。(すでに表示されたアクセスコント制御エントリを確認した場合は、ポリシーはすでにあります - この場合は、次に進みます)

  5. 新規のアクセス制御エントリーを追加した後に表示される、緑色のプラスアイコンをクリックします。

  6. 一般的なユーザーグループである common-authorsプリンシパルを入力します。

  7. タイプ許可を選択します。

  8. jcr:read のチェックボックスを有効にします。

  9. アドバンストを拡張し、rep:glob の下に、鉤括弧「」を入力します。

  10. これら設定と同じアクセス制御エントリアイテムを、さらに2つ追加します。

    種類 権限 rep:glob
    許容 jcr:read /jcr:primaryType
    許容 jcr:read /:childOrder
  11. OK」をクリックします。

C. エクスペリエンスフラグメントの目的のブランチを削除することなく変更するため、アクセスを追加します。

  1. CRXDe を使用して、/content/siteX、の下にある目的のサブパス、例えば、/content/siteA.
    へ移動します。

  2. 右下のパネルで、「アクセス制御」タブを選択します。

  3. 新しいアクセス制御ポリシーを追加するには、右側の緑のプラスアイコンをクリックします。(アクセス制御のエントリが表示されている場合、ポリシーは既に存在しています。その場合、次のステップに進んでください。)

  4. 別のアクセス制御ポリシー を追加するには、緑色のプラスアイコンをもう一度クリックします。

  5. プリンシパルとしてのサイトのグループ ID を入力します。

  6. タイプ許可を選択します。

  7. 詳細を展開し、編集アクセスを完全に許可する様々な権限のチェックボックスをオンにし、jcr:readjcr:addChildNodesjcr:nodeTypeManagementjcr:modifyPropertiesjcr:versionManagementjcr:lockManagementjcr:removeNodejcr:removeChildNodes を有効にします。

本作品は Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License によってライセンス許可を受けています。  Twitter™ および Facebook の投稿には、Creative Commons の規約内容は適用されません。

法律上の注意   |   プライバシーポリシー