権限パージ - 許可されていないアクセスをブロックする権限を簡単に更新する


Thu 04 May 2017 作成者: Gregory Carlin

機密または企業のコンテンツを扱う場合には、ユーザおよびグループのアクセス許可を監視することが基本です。これは、特定の状況で特に当てはまります。たとえば、従業員の1人が退社した場合、次のことを100%保証する必要があります。

  • その従業員はリポジトリにアクセスする認証を誰にも与えられない
  • その従業員のすべてのアクティブなタスクが他の誰かに再割り当てまたは委任される
  • その従業員がアクセス権を持っているコンテンツのドキュメントのアクセス許可をすべて更新する。これがこのブログのトピックです。詳しく見てみましょう。

あらゆるコンテンツの制御とセキュリティを可能にするプラットフォームを提供することは、Nuxeoの重要な関心事であり、優先課題の1つです。このような状況を踏まえ、権限パージコンソールを統合しました。これにより、管理者がリポジトリ内の特定のユーザまたはグループのアクセス制御エントリをすべて削除できるようにします。また、パージを実行する場所を指定することもできます。

ここで、この機能を説明する上で簡単で実用的な例を考えてみましょう。たとえば、特定のプロジェクトでは、プロジェクトフォルダへのアクセスを許可したパートナーと協力しているとします。プロジェクトが終了したら、アーカイブしてパートナーの権限を削除する必要があります。ここで、権限パージコンソールが登場する意味があります。

それでは、実際の手順を見てみましょう。

この短いビデオでは、「my_partner」というユーザが「My confidential project folder」というフォルダへの書き込みアクセス権を持っています。この特定のフォルダに対するこのユーザの許可を取り除き、再ログした後にパージが正しく機能しているかどうかを確認します。

Purge Permission

予想どおり、パートナーはログインできますが、コンテンツにアクセスできなくなったというエラーメッセージが表示されます。

従業員の退職または退職プロセスがビジネスプロセス管理プラットフォームとしての第三者のソフトウェアによって管理されている状況では、引き続きNuxeoのRESTAPIを活用して権限パージを使用することができます。この場合、REST API操作を使用します。

curl -H 'Content-Type:application/json+nxrequest' -X POST \
  -d '{"params":{"usernames":"my_partner"}, "input":"docId","context":{}}' \
  -u Administrator:Administrator https://SERVER_NUXEO/nuxeo/api/v1/automation/PermissionsPurge

最後に、この操作は、Nuxeo Studioに公開されているので、どのオートメーションチェーンでも使用できます。したがって、任意のワークフローテンプレートでこの操作をトリガすることができ、リポジトリ内で特定のイベントが発生した場合でもトリガすることができます。

Services-Permissions Purge

操作の詳細な説明については、Nuxeo Explorerウェブページをご覧ください。

結論として、権限パージ操作は、Nuxeoリポジトリ内のセキュリティポリシーの制御および展開を簡単に実行できる機能と言えます。今すぐ、ご使用のコンテンツが適正に保護され、制御されているかどうかを確認してみてください。適正に管理されていないなら、やるべきことは明らかです!


タグ付き: REST API, Nuxeo Platform, How to