Ziel

Unsere AEM-Instanz hat mehrere Mandanten (z. B. verschiedene Abteilungen, die nicht in der Lage sein sollten, auf die Sites und/oder Assets der anderen zuzugreifen). Wie verwalten wir die Berechtigungen, damit die Mandanten die Inhalte der anderen nicht einsehen können?

Umgebung

AEM 6.x.

Schritte

Um die Verwaltung von Berechtigungen in einem mandantenfähigen System zu vereinfachen, können Sie die ACLs vom Typ rep:glob nutzen.  Diese Berechtigungen erlauben es Ihnen, Benutzern nur Zugriff auf das zu gewähren, was sie sehen sollen, anstatt die Berechtigungen verweigern zu müssen.  Sie werden mit Pfadmustern definiert, anstatt an die Knoten gebunden zu sein, zu denen sie gehören.

Zur Veranschaulichung der Vorgehensweise gehen wir davon aus, dass wir ein System sichern, in dem Sie /content/siteA, /content/siteB und /content/siteC haben und Sie es so absichern möchten, dass Benutzer von Site A nicht Site B oder Site C einsehen kann, Benutzer von Site B nicht A oder C und C nicht B oder A sehen kann.

A. Eine Gruppe für jede Site erstellen

Im ersten Schritt erstellen Sie eine gemeinsame Gruppe und eine Gruppe für die Benutzer jeder dieser Sites.  Beispiel: Allgemeine Autoren, Autoren Site A, Autoren Site B, Autoren Site C.  Fügen Sie die Gruppen mithilfe der Benutzerverwaltungs-UI hinzu.

B. Gewähren Sie der Gruppe der allgemeinen Autoren Lesezugriff auf den /content wie folgt:

  1. Gehen Sie zu http://host:port/crx/de/index.jsp und melden Sie sich als Administrator an.

  2. Den Knoten /content suchen und auswählen.

  3. Wählen Sie im rechten unteren Bereich die Option Zugriffskontrolle aus.

  4. Klicken Sie rechts auf das grüne Plussymbol, um eine neue Zugriffskontrollrichtlinie hinzuzufügen (die Richtlinie existiert bereits, wenn Sie bereits Zugriffskontrolleinträge aufgelistet sehen - in diesem Fall fahren Sie mit der nächsten fort).

  5. Klicken Sie auf das grüne Plussymbol, das danach angezeigt wird, um einen neuen Zugriffskontrolleintrag hinzuzufügen.

  6. Geben Sie Prinzipal der gemeinsamen Benutzergruppe gemeinsame Autoren ein.

  7. Wählen Sie Zulassen für den Typ.

  8. Das Kontrollkästchen für jcr:read aktivieren.

  9. Erweitert aufklappen, unter rep:glob doppelte Anführungszeichen "" eingeben.

  10. Zwei weitere Zugriffskontrolleinträge für die gleichen entsprechenden Einstellungen hinzufügen:

    Typ Berechtigungen rep:glob
    Zulassen jcr:read /jcr:primaryType
    Zulassen jcr:read /:childOrder
  11. Klicken Sie auf OK.

C. Zugriff auf: Ändern des gewünschten Zweigs der Erfahrungsfragmente, ohne diese löschen zu können, hinzufügen.

  1. Nun, auch mit CRXDe, gehen Sie zum gewünschten Unterpfad unter /content/siteX, zum Beispiel /content/siteA.

  2. Wählen Sie im rechten unteren Bereich die Option Zugriffskontrolle aus.

  3. Klicken Sie auf das grüne Plussymbol rechts, um eine neue Zugriffskontrollrichtlinie hinzuzufügen (die Richtlinie existiert bereits, wenn Sie bereits Zugriffskontrolleinträge aufgelistet sehen - in diesem Fall gehen Sie zum nächsten Schritt über).

  4. Klicken Sie erneut auf das grüne Plussymbol, um eine weitere Zugriffskontrollrichtlinie hinzuzufügen.

  5. Geben Sie die Gruppen-ID der Seite als Prinzipal ein.

  6. Wählen Sie Zulassen für den Typ.

  7. Erweitert aufklappen und das Kontrollkästchen für die verschiedenen Berechtigungen, die Sie für den vollen Bearbeitungszugriff gewähren möchten, aktivieren, danach jcr:read, jcr:addChildNodes, jcr:nodeTypeManagement, jcr:modifyProperties, jcr:versionManagement, jcr:lockManagement, jcr:removeNode, jcr:removeChildNodes Step text aktivieren.

Dieses Werk unterliegt den Bedingungen der Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License.  Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise   |   Online-Datenschutzrichtlinie