.png "Model zabezpieczeń SharePoint cz. 2"){kind=icon}
.png "Bezpieczna platforma SharePoint")
.png "Model zabezpieczeń SharePoint cz. 2"){kind=icon}
Model zabezpieczeń SharePoint cz.3 .png "Udostępnij na: Facebook")
Autor: Łukasz Falaciński, Łukasz Zajączkowski
Opublikowano: 2012-05-08
W poprzednich artykułach przedstawiliśmy schemat wbudowanego modelu uprawnień na platformie SharePoint 2010. Wskazaliśmy obiekty, które wchodzą w jego skład, a także omówiliśmy rodzaje i możliwości zastosowania grup. W tym artykule opiszemy kolejny element modelu zabezpieczeń – uprawnienia. Jak widać na Rys. 1., uprawnienia możemy podzielić na uprawnienia jednostkowe i poziomy uprawnień.
.jpg "Uprawnienia w modelu zabezpieczeń SharePoint")
Rys. 1. Uprawnienia w modelu zabezpieczeń SharePoint.
Tak jak poprzednio napisaliśmy, możemy nadawać na platformie SharePoint uprawnienia użytkownikom lub grupom. W tej części skoncentrujemy się na tym, jak działają uprawnienia.
Uprawnienie
Uprawnienie pozwala wybranemu użytkownikowi lub grupie na wykonanie pewnych operacji. Najprostsze przykłady pojedynczych uprawnień w systemie to:
- czytanie elementu,
- edycja elementu,
- kasowanie elementu.
Jednak, na platformach SharePoint sytuacja nieco się komplikuje. Pierwsza rzecz, o której warto pamiętać to to, że nie mamy możliwości jawnego odebrania uprawnień jak w systemie NTFS (z jednym wyjątkiem, który opiszemy w kolejnych artykułach). Pozostaje nam tylko niejawne odbieranie uprawnień, czyli po prostu ich nie nadawanie. Druga rzecz, to sposób przydzielania uprawnień do użytkowników i grup – nie przypisujemy pojedynczych uprawnień bezpośrednio, korzystamy z tzw. poziomów uprawnień. Poziom uprawnień to zbiór uprawnień jednostkowych, które przydzielamy do użytkownika. Wydaje się to skomplikowane? Wbrew pozorom, taki mechanizm powstał po to, żeby ułatwić nam życie. Prosty przykład: mamy grupę, której chcielibyśmy nadać uprawnienia odczytu do witryny i do jej elementów (listy, kalendarze, biblioteki, strony, etc.) – wystarczy nadać tej grupie domyślny poziom uprawnień Odczyt, na który składają się następujące uprawnienia jednostkowe:
- uprawnienia listy (wyświetlanie elementów, otwieranie elementów, wyświetlanie wersji, tworzenie alertów, wyświetlanie stron aplikacji),
- uprawnienia witryny (używanie samoobsługowego tworzenia witryn, wyświetlanie stron, przeglądanie informacji o użytkownikach, używanie interfejsów zdalnych, użyj funkcji integracji klienta, otwieranie).
Jak widać, poziom uprawnień organizuje uprawnienia jednostkowe po to, żebyśmy mogli skojarzyć użytkownika lub grupę jeden do jednego z poziomem uprawnień (podobnie jest w systemie NTFS: chcąc nadać komuś uprawnienia odczytu, zaznaczamy Odczyt, w którego zakres wchodzi szereg mniejszych, tak zwanych uprawnień zaawansowanych, których z reguły już nie modyfikujemy).
Na każdy poziom uprawnień składają się uprawnienia jednostkowe z trzech zakresów:
- uprawnienia listy – nadają dostęp do wszystkich list i bibliotek dokumentów,
- uprawnienia witryny – nadają dostęp do witryn i jej elementów (wyłączając listy i biblioteki),
- uprawnienia osobiste – kontrolują dostęp do widoków osobistych oraz prywatnych składników web part .
Wbudowane poziomy uprawnień
W poprzedniej części artykułu pisaliśmy o wbudowanych grupach sharepointowych, dzięki którym mogliśmy kontrolować - kto ma uprawnienia odczytu, modyfikacji lub pełnej kontroli. Przypisanie osoby do wybranej grupy powoduje nadanie użytkownikowi określonych uprawnień. Dzieje się tak, ponieważ wszystkie wbudowane grupy mają przypisane domyślne poziomy uprawnień. W poniższej tabeli znajdują się domyślne grupy i przypisane im poziomy uprawnień dla szablonu witryny zespołu (Team Site):
Tabela 1. Poziomy uprawnień nadawane grupom domyślnym w szablonie witryny zespołu (Team Site).
| Grupa | Poziom uprawnień |
| Odwiedzający witrynę | Odczyt |
| Członkowie witryny | Współtworzenie |
| Właściciele witryny | Pełna kontrola |
Niestandardowe poziomy uprawnień
Często ma miejsce sytuacja, w której potrzebujemy nadać uprawnienia inne niż te, które są dostępne przy użyciu standardowych poziomów uprawnień. Najlepszym rozwiązaniem jest stworzenie od zera niestandardowego poziomu uprawnień – modyfikowanie wbudowanych poziomów nie jest zalecane z dwóch powodów: po pierwsze wbudowane poziomy uprawnień są używane również na podwitrynach, zatem ich modyfikacja może skutkować zmianą uprawnień dostępowych w różnych miejscach na portalu. Po drugie, mamy do dyspozycji mechanizm, który pozwala, przy tworzeniu niestandardowego poziomu uprawnień, skopiować ustawienia z już istniejącego. Przykład: chcielibyśmy stworzyć poziom uprawnień pozwalający na dodawanie i modyfikowanie elementów list i bibliotek, ale bez możliwości usuwania. Wystarczy skopiować poziom uprawnień Współtworzenie i zabrać (odznaczyć) następujące uprawnienia jednostkowe:
- usuwanie elementów,
- usuwanie wersji.
Przy zapisywaniu poziomu uprawnień musimy podać jego nazwę, ale warto również pamiętać o opisie – to pole nie jest wymagane, ale niejednokrotnie oszczędzi nam poszukiwań, co oznacza na przykład poziom uprawnień o nazwie „Moja Edycja”.
Dostęp anonimowy
W niektórych scenariuszach wykorzystania platformy SharePoint może zaistnieć potrzeba skonfigurowania witryny z dostępem anonimowym. Najprostszym przykładem będzie witryna opublikowana w Internecie. We wszystkich wersjach platform SharePoint 2010 dostęp anonimowy jest wyłączony domyślnie. Jeśli planujemy stworzenie witryn, do których użytkownicy będę mogli mieć dostęp bez autentykacji musimy dokonać zmian konfiguracji na dwóch poziomach:
- witryna Centralnej Administracji – włączamy dostęp anonimowy dla wybranej aplikacji Web poprzez modyfikację ustawień dostawców uwierzytelniania (Rys. 2. oraz Rys. 3.), a następnie nadajemy na poziomie aplikacji Web odpowiedni dostęp dla użytkowników anonimowych (Rys. 4. i Rys. 5.),
.jpg "Ustawienia Dostawców uwierzytelniania dla aplikacji Web")
Rys. 2. Ustawienia Dostawców uwierzytelniania dla aplikacji Web.
.jpg)
Rys. 3. Włączenie dostępu anonimowego dla aplikacji Web.
.jpg "Zasady dla użytkowników anonimowych aplikacji Web")
Rys. 4. Zasady dla użytkowników anonimowych aplikacji Web.
.jpg "Ograniczenia dostępu anonimowego na poziomie aplikacji Web")
Rys. 5. Ograniczenia dostępu anonimowego na poziomie aplikacji Web.
- ustawienia witryny – dla wybranej witryny aktywujemy dostęp anonimowy (Rys. 6., Rys. 7. oraz Rys. 8.). UWAGA: można to zrobić dopiero po uruchomieniu dostępu anonimowego na poziomie aplikacji Web.
.jpg "Uprawnienia witryny")
Rys. 6. Uprawnienia witryny.
.jpg "Ustawienia dostępu anonimowego na poziomie witryny")
Rys. 7. Ustawienia dostępu anonimowego na poziomie witryny.
.jpg "Konfiguracja dostępu anonimowego na poziomie witryny")
Rys. 8. Konfiguracja dostępu anonimowego na poziomie witryny.
Podsumowanie
W tym artykule opisaliśmy, jaka jest idea wykorzystywania na platformie SharePoint uprawnień i poziomów uprawnień. Omówiliśmy także, w jaki sposób skonfigurować dostęp anonimowy do witryny.
Z kolejnego artykułu dowiemy się, w jaki sposób zabezpieczać konkretne obiekty witryny, takie jak lista czy biblioteka dokumentów.