Model zabezpieczeń SharePoint cz.4

Autor: Łukasz Falaciński, Łukasz Zajączkowski

Opublikowano: 2012-05-24

W poprzednich artykułach przedstawiliśmy schemat wbudowanego modelu zabezpieczeń na platformie Microsoft SharePoint 2010. Opisywaliśmy obiekty, którym nadajemy uprawnienia, same uprawnienia oraz poziomy uprawnień. W tej części omówimy zabezpieczane obiekty.

Rys. 1. Zabezpieczane obiekty.

Zabezpieczane obiekty

Zabezpieczane obiekty to obiekty znajdujące się w hierarchii SharePoint (Rys. 1.), do których możemy przypisać uprawnienia. Uprawnienia możemy przypisać na dowolnym poziomie – począwszy od witryny głównej, a skończywszy na pojedynczym wpisie na liście lub wybranym dokumencie w bibliotece.

Rys. 2. Hierarchia obiektów na platformie SharePoint.

Dziedziczenie uprawnień

Oczywiście zarządzanie uprawnieniami na wszystkich poziomach może być kłopotliwe, dlatego platforma SharePoint wykorzystuje mechanizm zwany dziedziczeniem uprawnień. Jeśli tworzymy nową witrynę, to będzie ona dziedziczyć uprawnienia z witryny nadrzędnej. Podobnie będzie w przypadku tworzenia biblioteki lub listy – będą one dziedziczyć uprawnienia po elemencie nadrzędnym (w tym wypadku po witrynie, na której są tworzone). Na platformie SharePoint mamy możliwość utworzenia folderów w bibliotekach dokumentów i listach. Tu, sytuacja będzie się powtarzać: każdy z tych elementów dziedziczy uprawnienia po obiekcie, w którym się bezpośrednio znajduje:

• folder dziedziczy uprawnienia po bibliotece lub po folderze nadrzędnym,
• element listy dziedziczy uprawnienia po liście lub po folderze, w którym się znajduje,
• dokument dziedziczy uprawnienia po folderze, w którym się znajduje lub po bibliotece dokumentów, jeśli znajduje się bezpośrednio w niej.

Na dowolnym z poziomów, przedstawionych na Rys. 1., możemy zablokować dziedziczenie uprawnień i nadać uprawnienia indywidualne do obiektu. W tym momencie wszystkie obiekty w hierarchii poniżej obiektu, dla którego zatrzymaliśmy dziedziczenie uprawnień, będą dziedziczyć uprawnienia z tego właśnie obiektu. Przykład przedstawiony został na Rys. 3.: jeśli zablokujemy dziedziczenie uprawnień na poziomie biblioteki dokumentów, w której mamy foldery (a w nich dokumenty), to będą one dziedziczyć uprawnienia, które ustawimy bezpośrednio na tej bibliotece dokumentów.

Rys. 3. Blokowanie dziedziczenia uprawnień.

Blokowanie dziedziczenia uprawnień odbywa się poprzez wybranie opcji „Zatrzymaj dziedziczenie uprawnień” (Rys. 3.) w ustawieniach uprawnień:

• witryny,
• biblioteki dokumentów,
• listy,
• folderu,
• dokumentu,
• elementu na liście.

Rys. 4. Zatrzymanie dziedziczenia uprawnień.

W tym miejscu warto zaznaczyć, że SharePoint wykorzystuje mechanizm security trimming, który ukrywa w nawigacji witryny elementy, do których użytkownicy nie mają uprawnień. Zatem, jeśli zablokujemy dziedziczenie uprawnień na poziomie biblioteki, to użytkownicy, którym odbierzemy uprawnienia odczytu nie będą widzieli tej biblioteki na przykład w menu Quick Launch.

Uprawnienia efektywne

W wersji 2010 platformy SharePoint został udostępniony mechanizm sprawdzania efektywnych uprawnień do wybranych elementów. Jeśli chcemy sprawdzić, jakie uprawnienia do dokumentu w bibliotece dokumentów posiada wskazany użytkownik, wystarczy wejść do zarządzania uprawnieniami w rozwijanym menu tego dokumentu (Rys. 5.), wybrać opcję „Sprawdź uprawnienia” (Rys. 6.) i wskazać użytkownika. Otrzymamy informacje: jakie uprawnienia posiada użytkownik i skąd je dziedziczy (Rys. 7.).

Rys. 5. Sprawdzanie uprawnień efektywnych – 1.

Rys. 6. Sprawdzanie uprawnień efektywnych – 2.

Rys. 7. Sprawdzanie uprawnień efektywnych – 3.

Uprawnienia aplikacji Web

Każda kolekcja witryn znajduje się w aplikacji Web, na poziomie której konfiguruje się bazy danych zawartości lub konta serwisowe. Dla aplikacji Web możemy również konfigurować ustawienia bezpieczeństwa. Dzięki temu, administratorzy farmy mogą wpływać na to, z jakich ustawień mogą korzystać administratorzy zbiorów witryn. Na witrynie Centralnej Administracji wchodzimy w zarządzanie aplikacjami Web. Na tym poziomie mamy do dyspozycji trzy rodzaje polis (Rys. 8.):

Rys. 8. Zarządzanie uprawnieniami na poziomie aplikacji Web.

• zasady użytkownika. Dzięki nim możemy skonfigurować uprawnienia dla użytkowników lub grup, których nie będzie można nadpisać poprzez zmianę uprawnień bezpośrednio na witrynach. Tutaj drobna uwaga: w pierwszym artykule pisaliśmy, że SharePoint nie daje nam możliwości jawnego odebrania uprawnień. Od tej reguły jest wyjątek – w zasadach użytkownika możemy zabronić wskazanym użytkownikom bądź grupom odczytu lub zapisu do wszystkich witryn, które znajdują się w aplikacji Web,
• zasady użytkowników anonimowych. W tym miejscu możemy wskazać, jakie opcje będą dostępne dla użytkowników korzystających z dostępu anonimowego (jeśli ten zostanie wcześniej uruchomiony na aplikacji Web),
• zasady uprawnień. W tym miejscu możemy zdefiniować poziomy zasad uprawnień  - a w bardziej przystępnym języku: są to poziomy uprawnień, które nadajemy użytkownikom dla aplikacji web (w sekcji „Zasady użytkownika”).

Na poziomie aplikacji Web możemy również wskazać (zablokować) uprawnienia jednostkowe, które będą niedostępne podczas konfiguracji uprawnień na poziomie kolekcji witryn. W tym celu należy przejść na witrynie Centralnej Administracji do zarządzania aplikacjami Web, wskazać aplikację Web i wybrać opcję „Uprawnienia użytkownika”. W oknie, które zostanie wyświetlone odznaczamy uprawnienia jednostkowe, które chcemy ukryć (Rys. 9.).

Rys. 9. Uprawnienia użytkowników dla aplikacji Web.

Podsumowanie

W tym artykule wyjaśniliśmy, jak należy rozumieć hierarchię obiektów, którym nadajemy uprawnienia, a także jak wykorzystać mechanizm dziedziczenia. Omówiliśmy, jak sprawdzać uprawnienia efektywne dla wybranych użytkowników oraz jakie są możliwości konfiguracji uprawnień na poziomie aplikacji Web.

W kolejnym artykule przedstawimy, w jaki sposób zabezpieczać obiekty platformy SharePoint, wykorzystując PowerShell.