Die Überwachung von Benutzer- oder Gruppenberechtigungen ist eine grundlegende Funktion im Umgang mit vertraulichen oder unternehmensspezifischen Inhalten. Dies gilt insbesondere in bestimmten Situationen, wenn einer Ihrer Mitarbeiter das Unternehmen verlässt und Sie zu 100% sicher sein möchten, dass:

  • dieser nicht mehr auf das Repository zugreifen kann
  • alle seine aktiven Aufgaben auf einen anderen Mitarbeiter übertragen wurden
  • alle Berechtigungen für Inhalte von Dokumenten dieses Mitarbeiters aktualisiert werden - und dies soll der Inhalt dieses Blogeintrags sein Werfen wir einen genauen Blick darauf.

Die Bereitstellung einer Plattform, die die Kontrolle über alle Inhalte ermöglicht und deren Sicherheit gewährleistet, ist eines der zentralen Anliegen von Nuxeo und genießt höchste Priorität. Aus diesem Grund haben wir eine Konsole zur Bereinigung von Berechtigungen integriert. Diese gibt jedem Administrator die Möglichkeit, Einträge in der Zugriffssteuerung eines bestimmten Benutzers oder einer Gruppe im Repository zu entfernen. Zusätzlich kann angegeben werden, in welchem Speicherort die Bereinigung stattfinden soll.

Werfen wir also einen kurzen Blick auf ein einfaches praktisches Beispiel, um diese Funktion zu veranschaulichen. Nehmen wir an, Sie hätten mit einem Partner an einem bestimmten Projekt gearbeitet, dem Sie Zugriff auf Ihren Projektordner gegeben haben. Nachdem das Projekt fertiggestellt wurde, müssen Sie es archivieren und die Berechtigungen Ihres Partners entfernen. Und genau hier tritt die Konsole zur Bereinigung von Berechtigungen in Erscheinung.

Sehen wir uns an, wie sie funktioniert.

In diesem kurzen Video besitzt ein Benutzer mit dem Namen "my_partner" SCHREIBZUGRIFF auf den Ordner "My confidential project folder" (Mein vertraulicher Projektordner). Wir entfernen die Berechtigung des Partners für diesen Ordner und überprüfen nach einer erneuten Anmeldung, ob die Bereinigung ordnungsgemäß funktioniert.

Purge Permission

Wie erwartet kann sich der Partner anmelden, allerdings erscheint eine Fehlermeldung mit der Nachricht, dass kein Zugriff mehr auf diesen Content besteht.

In Fällen, wo das Ausscheiden aus dem Unternehmen durch die Software eines externen Partners gesteuert wird (etwa einer Managementplattform für Unternehmensprozesse), kann die Berechtigungsbereinigung unter Zuhilfenahme der Nuxeo REST API weiterhin genutzt werden. Verwenden Sie in diesem Fall den folgenden REST API-Vorgang:

curl -H 'Content-Type:application/json+nxrequest' -X POST \
  -d '{"params":{"usernames":"my_partner"}, "input":"docId","context":{}}' \
  -u Administrator:Administrator https://SERVER_NUXEO/nuxeo/api/v1/automation/PermissionsPurge

Und schließlich können Sie diesen Prozess sogar in jeder Automatisierungskette verwenden, da er in Nuxeo Studio frei verfügbar ist. Im Grunde können Sie diesen Vorgang in jeder Workflow-Vorlage oder bei bestimmten Vorgängen im Repository auslösen:

Services-Permissions Purge

Eine vollständige Beschreibung dieses Vorgangs erhalten Sie auf der Nuxeo Explorer-Webseite.

Zusammenfassend lässt sich sagen, dass der Bereinigungsvorgang eine der Funktionen ist, die Ihnen exemplarisch zeigt, wie einfach die Steuerung und Verbreitung von Sicherheitsrichtlinien in einem Nuxeo Repository ist. Jetzt ist es an der Zeit, sich zu fragen, ob Ihr Content wirklich sicher und unter Kontrolle ist. Wenn nicht, dann wissen Sie jetzt, was zu tun ist.