Häufig haben Alfresco Benutzer den Wunsch, innerhalb einer Share Site die Zugriffsrechte auf Ordnern und/oder Inhalte nur für einzelne Benutzer oder Gruppen zu vergeben. Alfresco Share (getestet mit Version 4.2.e) bietet die Vergabe dieser lokalen Berechtigungen ootb (out of the box) an, aber(!) mit hohem Risiko.
Wer, wo, welche Rechte hat, kann durch diese “Manipulation” an den Berechtigungen vollkommen intransparent werden. Ich möchte die Problematik an einem Beispiel erläutern.
Lokale Berechtigungen auf Ordnern und Inhalten
Innerhalb der Dokumentenbibliothek erhalten Site Mitglieder je nach Rolle (siehe Content permissions Alfresco) bei einem Ordner oder Dokument im Aktivitäten Menü Zugriff auf “Berechtigungen verwalten”. Über den Button “Benutzer/Gruppen hinzufügen” können lokale Berechtigungen vergeben werden.
Wir haben innerhalb der Alfresco Share Site “Contentreich” an einem Dokument lokale Berechtigungen für den Benutzer “teo test” mit der Rolle “Site-Verbraucher” vergeben:
Die vier Untergruppen einer Share Site, die unter “Geerbten Berechtigungen” dargestellt werden, dienen der Zusammenfassung der Mitglieder entsprechend ihrer Rolle als Beitragender, Verbraucher, Mitarbeiter und Manager. Per Defaultverhalten werden diesen Gruppen die gleichnamigen Berechtigungen Beitragender, Verbraucher, Mitarbeiter und Manager zugewiesen.
In älteren Versionen von Alfresco Share gab es die Möglichkeit diese Berechtigungen so zu verändern, dass zum Beispiel nur noch Site-Manager auf einen Ordner zugreifen können. Diese Einstellung kann aktuell nicht mehr vorgenommen werden, da bei der Vergabe von lokalen Berechtigungen keinen Zugriff auf die Systemgruppen der Site besteht (zur Erläuterung siehe Individuelle Alfresco Share Gruppen).
In eigener Sache: Wir werden das Thema bei uns priorisieren, da die aktuellen Einschränkungen hinsichtlich der Berechtigungsvergabe auf Basis der System-Site-Gruppen (Beitragender, Verbraucher, Mitarbeiter und Manager) dem Benutzer kaum einen Spielraum für Einschränkungen auf Ordnern oder Inhalten im Site-Kontext lassen. Bitte kommen sie bei Fragen zum diesem Thema gerne auf uns zu!
Aber jetzt wieder zurück zum eigentlichen Fallbeispiel “teo test”. Er ist nicht Mitglied der Site Contentreich und die Mitglieder der Site können auf den ersten Blick nicht nachvollziehen wer zusätzlich Berechtigungen an den Inhalten der Site besitzt.
Auch innerhalb des Admin Tools für Gruppen findet sich keinen Hinweis auf “teo test”, obwohl die Rolle “Site-Verbraucher” suggeriert, dass der Benutzer Mitglied in der Gruppe “site_contentreich_SiteConsumer” sein könnte.
Zugriff auf Inhalte funktioniert auch ohne Mitgliedschaft in einer Share Site
“Teo test” kann auf das freigegebene Dokument über die Suche zugreifen. Er erhält zwar eine “merkwürdige” Hinweismeldung, wird aber auf die Detailansicht des Dokumentes weitergeleitet.
Problematisch an diesem Vorgehen ist, dass auf der Detailansicht (oberhalb des Dokumentes) der Ablage Pfad dargestellt wird. Somit werden dem Benutzer “teo test” noch zusätzliche Daten preisgegeben.
Stellen Sie sich vor, dieses Vorgehen wird an diversen Ordnern und/oder Inhalten in unterschiedlichen Sites praktiziert. Das Berechtigungschaos wäre perfekt und nur noch durch eine programmatisch Lösung nachvollziehbar!
Unsere Empfehlung:
Benutzen Sie diese Funktionalität nur in ganz, ganz dringenden Notfällen! Am besten NIE!
(BTW: Die aktuelle Umsetzung der Funktionalität “lokale Berechtigungen” fällt bei uns eindeutig unter die Kategorie … :D)
Update vom 21.05.2014:
Unsere Erweiterung “Lokale Berechtigungen im Site-Kontext” ermöglicht die Vergabe der Berechtigungen an:
- sitespezifische Systemgruppen (SiteCollaborator, SiteConsumer, SiteContributor, SiteManager),
- Site Mitglieder,
- Site Gruppen und
- sitespezifische Gruppen (Contentreich add-on).
Personen und Gruppen, die nicht Mitglieder der Site sind werden bei der Auswahl ausgeschlossen. Die zu vergebenen Rollen entsprechen den Alfresco Share Rollen.
2 thoughts on “Alfresco Share – Achtung bei lokalen Berechtigungen auf Ordnern und Inhalten”