用户管理和安全 user-administration-and-security
本章介绍如何配置和维护用户授权,并介绍如何在AEM中进行身份验证和授权工作的原理。
AEM中的用户和群组 users-and-groups-in-aem
本节将更详细地介绍各种实体和相关概念,以帮助您配置易于维护的用户管理概念。
用户 users
用户将使用其帐户登录AEM。 每个用户帐户都是唯一的,它包含基本帐户详细信息以及分配的权限。
用户通常是组的成员,这可以简化这些权限和/或权限的分配。
组 groups
组是用户和/或其他组的集合;这些都称为群组成员。
其主要目的是通过减少要更新的实体数来简化维护过程,因为对组所做的更改会应用于组的所有成员。 群体通常反映:
- 在应用程序内的角色;例如,有权访问内容的人员,或有权提供内容的人员。
- 您自己的组织;当参与者被限制到内容树中的不同分支时,您可能希望扩展角色以区分来自不同部门的参与者。
因此,组通常保持稳定,而用户来来去的频率更高。
通过规划和清晰的结构,使用组可以反映您的结构,从而为您提供清晰的概述和高效的更新机制。
内置用户和组 built-in-users-and-groups
AEM WCM安装大量用户和组。 在安装后首次访问安全控制台时,将会看到这些内容。
下表列出了每个项目及:
- 简短的描述
- 关于必要更改的任何建议
请更改所有默认密码 (如果您在某些情况下不删除帐户本身)。
AEM中的权限 permissions-in-aem
AEM使用ACL来确定用户或组可以执行哪些操作以及可以在何处执行这些操作。
权限和ACL permissions-and-acls
权限定义允许谁对资源执行哪些操作。 权限是 访问控制 评估。
您可以通过选中或清除单个AEM对应的复选框,来更改授予/拒绝给定用户的权限 操作. 复选标记表示允许执行操作。 无复选标记表示操作被拒绝。
复选标记位于网格中的位置还指示用户在AEM中的哪些位置(即哪些路径)拥有哪些权限。
操作 actions
可以对页面(资源)执行操作。 对于层次结构中的每个页面,您可以指定允许用户对该页面执行哪项操作。 权限 允许或拒绝某项操作。
访问控制列表及其评估方式 access-control-lists-and-how-they-are-evaluated
AEM WCM使用访问控制列表(ACL)来组织应用于各个页面的权限。
访问控制列表由各个权限组成,用于确定实际应用这些权限的顺序。 根据所考虑页面的层次结构形成列表。 然后,将自下而上地扫描此列表,直到找到应用于页面的第一个适当权限为止。
/etc/cloudservices/facebookconnect/geometrixx-outdoorsfacebookapp
:允许每个人读取访问权限。/etc/cloudservices/twitterconnect/geometrixx-outdoors-twitter-app
:允许每个人读取访问权限。/home/users/geometrixx-outdoors
:允许每个人读取 */profile*
和*/social/relationships/following/*
。*/social/relationships/friend/*
或 */social/relationships/pending-following/*
./content/geometrixx-outdoors/en/community/hiking
或 /content/geometrixx-outdoors/en/community/winter-sports
.权限状态 permission-states
权限也会应用于任何子页面。
如果权限不是从父节点继承的,但至少具有一个本地条目,则以下符号会附加到复选框中。 本地条目是在CRX 2.2接口中创建的条目(通配符ACL当前只能在CRX中创建。)
对于给定路径上的操作:
将鼠标悬停在星号或感叹号上时,工具提示会提供有关声明条目的更多详细信息。 工具提示分为两部分:
以下是有关管理访问控制列表的建议:
-
请勿直接将权限分配给用户。 仅将其分配给组。
这将简化维护过程,因为组数量远小于用户数量,而且波动性也较小。
-
如果您希望组/用户只能修改页面,请勿授予他们创建或拒绝权限。 仅授予他们修改和读取权限。
-
少用拒绝。 尽可能仅使用允许。
如果按与预期顺序不同的顺序应用权限,则使用拒绝可能会导致意外影响。 如果用户是多个组的成员,则来自一个组的Deny语句可以取消来自另一个组的Allow语句,反之亦然。 发生此情况时,很难保留概览,并且很容易导致意外结果,而“允许”分配不会导致此类冲突。
Adobe建议您使用“允许”而不是“拒绝”查看 最佳实践.
在修改任一权限之前,请确保您了解这些权限的工作方式和相互关系。 请参阅CRX文档以说明AEM WCM的方式 评估访问权限 以及有关设置访问控制列表的示例。
权限 permissions
通过这些权限,用户和群组有权访问AEM页面上的AEM功能。
通过展开/折叠节点按路径浏览权限,并可跟踪到根节点的权限继承。
您可以通过选中或清除相应的复选框来允许或拒绝权限。
查看详细权限信息 viewing-detailed-permission-information
除了网格视图之外,AEM还提供给定路径下选定用户/群组权限的详细视图。 详细信息视图提供其他信息。
除了查看信息外,您还可以包含当前用户或组或将其从组中排除。 请参阅 在添加权限时添加用户或组. 此处所做的更改会立即反映在详细视图的上部。
要访问“详细信息”视图,请在 权限 ,单击 详细信息 ,用于任何选定的组/用户和路径。
详细信息分为两部分:
模拟其他用户 impersonating-another-user
使用 模拟功能 用户可以代表其他用户工作。
这意味着用户帐户可以指定其他可以使用其帐户运行的帐户。 换言之,如果允许用户B模拟用户A,则用户B可以使用用户A的完整帐户详细信息执行操作。
这样,模拟员帐户就可以像使用模拟员帐户一样完成任务;例如,在缺勤期间或在短期内共享过多负载。
最佳实践 best-practices
以下介绍了使用权限和权限时的最佳实践:
避免按用户分配访问权限。 原因有多种:
- 用户比组多,因此组可以简化结构。
- 群组可帮助提供有关所有帐户的概述。
- 对于组,继承更简单。
- 用户来来去。 群体是长期的。
管理用户和群组 managing-users-and-groups
用户包括使用系统的人员和向系统发出请求的外国系统。
群组是一组用户。
这两种配置都可以使用安全控制台中的用户管理功能进行配置。
使用安全控制台访问用户管理 accessing-user-administration-with-the-security-console
您可以使用安全控制台访问所有用户、组和关联的权限。 本节中描述的所有过程都将在此窗口中执行。
要访问AEM WCM安全性,请执行以下操作之一:
- 从欢迎屏幕或AEM中的各个位置,单击安全图标:
- 直接导航到
https://<server>:<port>/useradmin
. 确保您以管理员身份登录AEM。
此时将显示以下窗口:
左侧树列出了系统中当前的所有用户和组。 您可以选择要显示的列,对列的内容进行排序,甚至通过将列标题拖动到新位置来更改列的显示顺序。
通过选项卡,可以访问各种配置:
筛选用户和群组 filtering-users-and-groups
您可以通过输入过滤器表达式来过滤列表,该表达式会隐藏与表达式不匹配的所有用户和组。 您还可以使用 隐藏用户和隐藏群组 按钮。
要筛选用户或组,请执行以下操作:
-
在左树列表中,在提供的空格中键入过滤器表达式。 例如,在 管理员 显示包含此字符串的所有用户和组。
-
单击放大镜以过滤列表。
-
单击 x 来删除所有过滤器。
隐藏用户和群组 hiding-users-and-groups
隐藏用户或组是筛选系统中所有用户和组列表的另一种方法。 有两种切换机制。 单击“隐藏用户”可隐藏视图中的所有用户,单击“隐藏组”可隐藏视图中的所有组(您不能同时隐藏用户和组)。 要使用过滤器表达式过滤列表,请参阅 筛选用户和群组.
要隐藏用户和群组,请执行以下操作:
-
在 安全性 控制台,单击 隐藏用户 或 隐藏群组. 选定按钮将突出显示。
-
要使用户或组重新显示,请再次单击相应的按钮。
创建用户和群组 creating-users-and-groups
要创建新用户或群组,请执行以下操作:
-
在 安全性 控制台树列表,单击 编辑 然后 创建用户 或 创建群组.
-
根据您是创建用户还是群组,输入所需的详细信息。
- 如果您选择 创建用户、 您可以输入登录ID、名字和姓氏、电子邮件地址和密码。 默认情况下,AEM会根据姓氏的第一个字母创建一个路径,但您可以选择其他路径。
- 如果您选择 创建群组,则输入群组ID和可选描述。
-
单击 创建。创建的用户或组将显示在树列表中。
删除用户和组 deleting-users-and-groups
要删除用户或组,请执行以下操作:
- 在 安全性 控制台中,选择要删除的用户或组。 如果要删除多个项目,请按住Shift并单击或按住Control并单击以选择这些项目。
- 单击 编辑、 然后选择删除。 AEM WCM会询问您是要删除用户或组。
- 单击 确定 以确认或取消以取消您的操作。
修改用户和组属性 modifying-user-and-group-properties
要修改用户和群组属性,请执行以下操作:
-
在 安全性 控制台中,双击要修改的用户或组名称。
-
单击 属性 ,然后单击 保存.
更改用户密码 changing-a-user-password
请按照以下过程修改用户的密码。
-
在 安全性 控制台中,双击要更改密码的用户名。
-
单击 属性 选项卡(如果尚未处于活动状态)。
-
单击 设置密码. “Set Password(设置密码)”窗口将打开,您可以在其中更改密码。
-
输入新密码两次;由于它们未以明文显示,因此这是为了进行确认 — 如果它们不匹配,则系统会显示错误。
-
单击 已设置 激活帐户的新密码。
将用户或组添加到组 adding-users-or-groups-to-a-group
AEM提供了三种将用户或组添加到现有组的不同方法:
- 在群组中,可以添加成员(用户或群组)。
- 在成员中,可以向组添加成员。
- 使用“权限”时,可以将成员添加到群组。
群组 — 将用户或组添加到群组 groups-adding-users-or-groups-to-a-group
的 群组 选项卡可显示当前帐户所属的组。 您可以使用它将所选帐户添加到群组:
-
双击要分配给群组的帐户(用户或群组)名称。
-
单击 群组 选项卡。 您会看到帐户已属于的组列表。
-
在树列表中,单击要添加到帐户的群组名称,然后将其拖动到 群组 中。 (如果要添加多个用户,请按住Shift并单击或按住Control并单击这些名称并拖动它们。)
-
单击 保存 以保存更改。
成员 — 将用户或组添加到组 members-adding-users-or-groups-to-a-group
的 成员 选项卡仅适用于群组,并显示哪些用户和组属于当前群组。 您可以使用它将帐户添加到群组:
-
双击要向其添加成员的组的名称。
-
单击 成员 选项卡。 您会看到已属于此组的成员列表。
-
在树列表中,单击要添加到组的成员的名称,然后将其拖动到 成员 中。 (如果要添加多个用户,请按住Shift并单击或按住Control并单击这些名称并拖动它们。)
-
单击 保存 以保存更改。
在添加权限时添加用户或组 adding-users-or-groups-while-adding-permissions
要将成员添加到特定路径中的组,请执行以下操作:
-
双击要将用户添加到的组或用户的名称。
-
单击 权限 选项卡。
-
导航到要添加权限的路径并单击 详细信息. 详细信息窗口的下半部分提供有关谁具有该页面权限的信息。
-
选中 会员 列。 清除要删除其权限的成员的复选框。 在您对进行更改的单元格中,会出现一个红色三角形。
-
单击 确定 以保存更改。
从组中删除用户或组 removing-users-or-groups-from-groups
AEM提供了三种从群组中删除用户或组的不同方法:
- 在群组配置文件中时,可以删除成员(用户或群组)。
- 在成员配置文件中时,可以从组中删除成员。
- 使用“权限”时,可以从组中删除成员。
群组 — 从群组中删除用户或组 groups-removing-users-or-groups-from-groups
要从群组中删除用户或组帐户,请执行以下操作:
-
双击要从群组中删除的群组或用户帐户的名称。
-
单击 群组 选项卡。 您会看到选定帐户所属的组。
-
在 群组 窗格中,单击要从群组中删除的用户或组的名称,然后单击 删除. (如果要删除多个帐户,请按住Shift并单击或按住Control并单击这些名称,然后单击 删除.)
-
单击 保存 以保存更改。
成员 — 从组中删除用户或组 members-removing-users-or-groups-from-groups
要从组中删除帐户,请执行以下操作:
-
双击要从中删除成员的组名称。
-
单击 成员 选项卡。 您会看到已属于此组的成员列表。
-
在 成员 窗格,单击要从组中删除的成员的名称,然后单击 删除. (如果要删除多个用户,请按住Shift并单击或按住Control并单击这些名称,然后单击 删除.)
-
单击 保存 以保存更改。
在添加权限时删除用户或组 removing-users-or-groups-while-adding-permissions
要从特定路径的组中删除成员:
-
双击要从中删除用户的组或用户的名称。
-
单击 权限 选项卡。
-
导航到要删除权限的路径并单击 详细信息. 详细信息窗口的下半部分提供有关谁具有该页面权限的信息。
-
选中 会员 列。 清除要删除其权限的成员的复选框。 在您对进行更改的单元格中,会出现一个红色三角形。
-
单击 确定 以保存更改。
用户同步 user-synchronization
当部署为 发布场,则需要在所有发布节点之间同步用户和组。
要了解用户同步以及如何启用它,请参阅 用户同步.
管理权限 managing-permissions
本节介绍如何设置权限,包括复制权限。
设置权限 setting-permissions
权限允许用户在特定路径上对资源执行特定操作。 它还包括创建或删除页面的功能。
要添加、修改或删除权限,请执行以下操作:
-
在 安全性 控制台中,双击要为或设置权限的用户或群组的名称 搜索节点.
-
单击 权限 选项卡。
-
在树网格中,选中一个复选框,以允许选定的用户或组执行某项操作,或清除一个复选框以拒绝选定的用户或组执行某项操作。 有关更多信息,请单击 详细信息.
-
完成后,单击 保存.
设置复制权限 setting-replication-privileges
复制权限是发布内容的权限,它可以为组和用户设置。
- 对组应用的任何复制权限都适用于该组中的所有用户。
- 用户的复制权限将取代组的复制权限。
- 允许复制权限的优先级比拒绝复制权限的优先级高。 请参阅 AEM中的权限 以了解更多信息。
要设置复制权限,请执行以下操作:
-
从列表中选择用户或组,双击以打开,然后单击 权限.
-
在网格中,导航到您希望用户具有复制权限的路径,或 搜索节点。
-
在 复制 列中,选中用于添加该用户或组的复制权限的复选框,或清除用于删除复制权限的复选框。 AEM会在您所做更改但尚未保存的位置显示一个红色三角形。
-
单击 保存 以保存更改。
搜索节点 searching-for-nodes
添加或删除权限时,您可以浏览或搜索节点。
路径搜索有两种不同类型:
- 路径搜索 — 如果搜索字符串以“/”开头,则搜索将搜索给定路径的直接子节点:
在搜索框中,您可以执行以下操作:
- 全文搜索 — 如果搜索字符串不以“/”开头,则对路径“/content”下的所有节点执行全文搜索。
要对路径或全文执行搜索,请执行以下操作:
-
在安全控制台中,选择一个用户或组,然后单击 权限 选项卡。
-
在搜索框中,输入要搜索的术语。
模拟用户 impersonating-users
您可以指定一个或多个允许模拟当前用户的用户。 这意味着他们可以将其帐户设置切换为当前用户的帐户设置,并代表此用户执行操作。
使用此函数时请务必谨慎,因为此函数可能允许用户执行其自己用户无法执行的操作。 模拟用户时,系统会通知用户他们未以自己的身份登录。
您可能希望使用此功能的各种情况,包括:
- 如果你不在办公室,你可以让别人在你不在的时候冒充你。 通过使用此功能,您可以确保某人拥有您的访问权限,并且您无需修改用户配置文件或提供您的密码。
- 您可以将其用于调试目的。 例如,查看网站如何查找具有受限访问权限的用户。 此外,如果用户抱怨技术问题,您可以模拟该用户来诊断和修复问题。
要模拟现有用户,请执行以下操作:
-
在树列表中,选择要为其他用户分配模拟身份的人员的姓名。 双击以打开。
-
单击 模拟者 选项卡。
-
单击您希望能够模拟选定用户的用户。 将用户(将模拟的用户)从列表拖到“模拟”窗格。 该名称会显示在列表中。
-
单击“保存”。
设置用户和组首选项 setting-user-and-group-preferences
要设置用户和组首选项,包括语言、窗口管理和工具栏首选项:
-
在左侧树中选择要更改其首选项的用户或组。 要选择多个用户或组,请按住Ctrl或Shift并单击您的选择。
-
单击 首选项 选项卡。
-
根据需要对组或用户首选项进行更改,然后单击 保存 完成。
将用户或管理员设置为具有管理其他用户的权限 setting-users-or-administrators-to-have-the-privilege-to-manage-other-users
要将用户或管理员设置为具有删除/激活/取消激活其他用户的权限,请执行以下操作:
-
将要授予权限以管理其他用户的用户添加到管理员组并保存更改。
-
在用户的 权限 选项卡,导航到“/”,在“复制”列中,选中允许复制的复选框(位于“/”),然后单击 保存.
现在,所选用户能够停用、激活、删除和创建用户。
在项目级别扩展权限 extending-privileges-on-a-project-level
如果您计划实施特定于应用程序的权限,以下信息将描述您在实施自定义权限时需要了解的信息以及如何在整个CQ中强制实施该权限:
层次结构修改权限由jcr权限的组合覆盖。 复制权限已命名 crx:replicate 与对jcr存储库的其他权限一起存储/评估的权限。 但是,它并未在jcr级别上强制执行。
自定义权限的定义和注册正式属于 Jackrabbit API 截至版本2.4(另请参阅 JCR-2887)。 JCR访问控制管理(如 JSR 283 (第16节)。 此外,Jackrabbit API还定义了几个扩展。
权限注册机制反映在 存储库配置.
新(自定义)权限的注册本身受必须在存储库级别(在JCR中:在ac mgt api中将“null”作为“absPath”参数传递,有关详细信息,请参阅jsr 333)。 默认情况下, 管理员 而所有管理员成员都拥有该权限。