Skip to end of metadata
Go to start of metadata

Content Studio använder i de flesta fall användarkatalogen i nätverket, Active Directory, för hantering av användare i Content Studio och på webbplatsen. I vissa fall används även lokala Windows användare som registrerats på webbservern, eller externa kataloger som integrerats via en sk. custom provider.

Oavsett vilken teknik/katalog som används, kommer Content Studio att automatiskt registrera och synkronisera användaruppgifter från katalogen. Det finns alltså inget behov av att manuellt lägga upp användare eller underhålla användaruppgifter i Content Studio – det räcker att kataloguppgifterna är korrekta.

Så snart en användare ansluts till Content Studio uppdateras användaruppgifter och användarens grupptillhörigheter. Detta gör det möjligt med så kallad Single Sign-On (SSO). För att SSO ska fungera fullt ut krävs även att webbplatsen är konfigurerad på rätt sätt.

Användare klassificeras i två grundkategorier: anonyma användare (exempelvis webbesökare) eller autentiserade användare med ett giltigt användarkonto i Windows, Active Directory eller den externa katalog som används.Autentiserade användare ingår alltid i en eller flera användargrupper i Active Directory. Content Studio kan avläsa användarnas gruppmedlemsskap automatiskt, men kommer endast att beakta de användargrupper som först registrerats i Content Studio.

Content Studio har ingen egen användardatabas – dessa ligger alltid utanför Content Studio och som tidigare nämnts är Active Directory den vanligaste formen.

Användare på webbplatsen kan dock hanteras både av Content Studio och den användarkatalog som används, eller i separata databaser eller i EPT-kategorier (kategorier som lagrar dokument skapade med hjälp av redigeringsformulär).

För att förenkla hantering av webbplatsen skapas ofta nya grupper i Active Directory, exempelvis CS Administratörer, CS Redaktörer och CS Skribenter. Till dessa grupper ansluts sedan redan existerande grupper eller användare i Active Directory.

Användare

Content Studio lagrar information om samtliga Windowsanvändare som anslutit sig till Content Studio eller de webbplatser som skapats i Content Studio. Detta förutsätter dock att anropen sker authentiserat och ej anonymt. Registreringen sker transparent i bakgrunden och syftet är framför allt att underlätta behörighetskontrollen. Uppgifter om lösenord lagras ej utan förfarande sköts helt av Windows. Användarinformationen används även för att registrera användares aktivitet i Content Studio, t.ex. vem som skapar eller modifierar ett dokument.

En administratör kan visserligen registrera användare i Content Studio men eftersom denna process är självgående är detta normalt ej nödvändigt. Undantaget kan vara att systemadministratören önskar att användare och deras uppgifter ska finnas tillgängliga redan innan de anslutit sig första gången - exempelvis om arbetsflöden är uppsatt kan det vara aktuellt. Man kan också tänka sig att man vill förhindra vissa användare från att använda systemet trots att deras medlemskap i säkerhetsgrupper egentligen tillåter dem detta. Man lägger då till användaren och låser ute henne något som förhindrar Content Studio från att skapa en session.

Active Directory

Active Directory, AD, är en katalogtjänst som innehåller information om de olika resurserna i nätverket. Active Directory kan enklast jämföras med en vanlig telefonkatalog, där informationen lagras i en server på ett sätt som gör det möjligt att enkelt och snabbt hämta och läsa information från den. Informationen lagras som objekt, och det kan vara allt ifrån personer till datorer, servrar, applikationer, med mera. Varje objekt kan sedan innehålla uppgifter, t.ex information om e-postadress, telefonnummer och krypteringsnycklar. Dessa uppgifter kallas för attribut.

Sökningar mot en katalogtjänst måste ske på ett standardiserat sätt, det vanligaste i dag är att man använder sig av LDAP-protokollet. Observera att LDAP standarden anger bara hur man söker, inte hur själva katalogen är organiserad eller den tekniska plattformen för katalogen.
För mer information om Active Directory, se http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx

Sessionshantering i Content Studio

Alla användare mot Content Studio identifieras med ett session-id som är ett mycket stort numeriskt värde som byts varje gång sessionen förnyas. Detta sessions-id skickas in i alla anrop som görs mot systemet och identifierar anroparen och används vid varje tillfälle då behörighetskontroll sker.

Säkerhet mot intrång

Sessionsid:et skickas mellan klienten och servern via en temporär cookie något som gör det teoretisk möjligt för en annan verifierad användare att stjäla en annan användares identitet. För att vara säker mot intrång av detta skäl måste man använda krypterade förbindelser (https://) eller undvika att publicera Content Studios administrativa gränssnitt på det publika internet. Redaktörer kan då nå det administrativa gränssnittet via en säker VPN-tunnel. Anonyma användare (vanliga besökare) är aldrig personligen verifierade i Content Studio utan identiferas alltid via sessions-id med värdet 1. Det är viktigt att anonyma användare inte når inte den administrativa webbplatsen, så är Content Studio uppsatt vid installationen och ska inte ändras. Vill man kan man även sätta upp att anonyma användare har möjlighet att ändra data på webbplatsen, t.ex. för att skicka in anmälan via webbplatsen, det är då upp till administratören att sätta upp de behörigheter som behövs för just detta avgränsade ändamål.

Verifierings och inloggningsprocessen

När en användare ansluter sig mot Content Studio, eller mot en webbplats som är byggd i Content Studio, och där inte anonym åtkomst används identifierar Content Studio användaren och tittar på hennes TOKEN. En token är en sorts biljett som erhålls från den server som användaren loggar in mot och som följer med användaren i allt hon gör på datorn eller Windowsnätverket. En TOKEN kan erhållas antingen från den lokala servern (lokalt konto) eller från en central sk. domänkontrollant i ett Windows NT-nätverk eller i Active Directory. I TOKEN finns bl.a. användarens personliga identitet samt alla det grupper som hon är direkt eller indirekt medlem i. Användarens personliga identitet (inloggningsnamn ex. MYDOMAIN.SE\ME eller me@mydomain.se) samt gruppernas identitet lagras i form av en SID (Security IDentifier ex. S-1-5-21-1644491937-1220945662-682003330-1013) som med några speciella undantag är unik för varje säkerhetsobjekt (grupper eller användare).

Content Studio vet nu exakt vem som har gjort anropet utan att några lösenord eller användarnamn har skickats - allt detta sköts av Windows inbyggda säkerhetssystem. Nu kontrollerar Content Studio om användaren redan har en aktiv session och om så är fallet returneras denna session och användaren kan arbeta vidare med systemet. Om användaren är ny eller om användarens session har passerat tidsgränsen kommer den kompletta registreringsproceduren att äga rum.

Registreringsprocessen

Om en användare saknas i Content Studio eller om användaren har en utgången/ogiltig session registrerar Content Studio en ny användare eller omregistrerar den befintliga som även den unikt identifieras via säkerhetsidentifieraren SID. Content Studio hämtar nu uppgifter om användaren från Windows (lokal maskin om lokalt konto, Active directory eller Windows NT om det är ett domänkonto). De uppgifter som registreras är inloggningsnamn, fullständigt namn och beskrivning samt e-postadress förutsatt att användaren finns i Active Directory.

Dessutom finns möjlighet att låta Content Studio, för Active Directory, även registrera ytterligare uppgifter som titel, adress och avdelning etc. Efter registreringen av uppgifter, som alltid äger rum när en session skapas, kopplas användarens gruppmedlemskap med säkerhetsgrupperna som finns registrerade i Content Studio. Nu finns en aktuell koppling mellan användaren och hennes gruppmedlemskap lagrade i Content Studio något som gör det snabbt och effektivt att kontrollera användarens åtkomstbehörighet till olika objekt i Content Studio.

Problem med osynkroniserade gruppmedlemskap

 En användares gruppmedlemskap kan hamna i "osynk" med Windows - ett tidigare medlemskap i Administratörsgruppen kan ha blivit indraget men så länge användaren håller sin webbläsare öppen och gör regelbundna anrop kommer de gamala uppgifterna att användas av Content Studio. Man kan då gå in på användarens egenskaper i Content Studio och stänga sessionen och när användaren så avslutar och startar om sin webbläsare kommer de nya uppgifterna att gälla. Används Windows integrated security i Internet Explorer krävs dessutom att användaren loggar ut från sin dator och att sessionen avslutas för att förändringarna ska träda i kraft. I nödfall kan administratören låsa användarens konto i Content Studio tills dess att villkoren är uppfyllda.

Labels
  • None