söndag 22 augusti 2010

Auktorisering: behörigheter i praktiken

Introduktion
Har du följt min SharePoint installation och vill följa detta inlägg med exakt samma resultat så skapa en ny webbplatssamling med rubrik "Svensk", URL "http://sharepoint/sites/svensk", språk "Svenska", Mallval "Gruppwebbplats" (Team Site), primär administratör "SHAREPOINT\administrator" och "Ingen kvot". Har du inte arbetat med auktorisering i SharePoint tidigare så kan det vara bra att börja med "Auktorisering: behörigheter, teori".

Personväljaren
Personväljaren (People Picker) används på många ställen i SharePoint, exempelvis för att ge användare och grupper behörigheter. Man kan välja flera flera användare och grupper på samma gång genom att separera dem med ett semikolon. I exemplet nedan finns en användare, en SharePoint grupp och en domängrupp.


Det säkraste sättet att lägga till en användare är genom det fullständiga kontonamnet i formatet "xxx\yyy" (notera att det skall vara backslash och inte snedstreck) där xxx är maskinnamnet om kontot är ett lokalt konto, domännamnet om kontot är ett AD konto och där yyy är kontonamnet. Vill du exempelvis lägga till ett lokalt konto "Homer" på datorn "SharePoint" skriver man "Sharepoint\Homer". Ofta fungerar det genom att bara skriva kontonamnet "Homer", namnet "Homer Simpson" eller e-postadressen. För grupper anger du helt enkelt gruppens namn.

När du har lagt till en eller flera användare och/eller grupper så bör du trycka på "Kontrollera namn" (Huvud med checkbox). Om SharePoint förstår vad du menar så kommer namnet att strykas under. Är du inte helt säker på vad användaren har för kontonamn eller gruppen för namn kan du använda "Bläddra".

Administratörer för webbplatssamlingar
Varje webbplatssamling har en sida "Administratörer för webbplatssamlingar" (Site Collection Administrators, /_layouts/mngsiteadmin.aspx) som man når från webbsamlingens översta webbplats via  Webbplatsinställningar under rubriken "Användare och behörigheter". Du måste själv vara Administratör för webbplatssamlingen för att nå sidan.


Administratörer för en webbplatssamling har alla behörigheter till alla resurser i webbplatssamlingen. Du kan lägga till och ta bort webbplatssamlingsadministratörer genom knapparna "Kontrollera namn" och "Bläddra" men det måste finnas alltid minst en.

Behörigheter för den översta webbplatsen
Den översta webbplatsen i en webbplatssamling är viktig när det gäller auktorisering eftersom den är den översta resursen i hela samlingen. Så länge man inte bryter några behörighetsarv så ärver alla andra resurser behörigheterna från webbplatsen och man kan styra alla behörigheter för hela samlingen härifrån. Minns också att den översta webbplatsen inte ärver behörigheter från någon annan resurs.

Man styr behörigheter till den översta webbplatsen genom dess "Webbplatsbehörigheter" (Site Permissions, /_layouts/user.aspx) som man når direkt från Webbplatsåtgärder (Site Actions) från den översta webbplatsen.


Sidan består av en menyflik "Redigera" (Edit) och en tabell. Detta är en SharePoint systemsida så den är inte redigerbar. Innehållet i tabellen finns inte heller i en SharePoint lista så det går inte att lägga till kolumner, skapa vyer m.m.

Tabellen visar alla användare och grupper som har behörigheter till webbplatsen (och därför, genom arv, till andra resurser i samlingen). SharePoint skapar automatiskt ett antal SharePoint grupper med olika behörighetsnivåer när man skapar en ny samling (fyra stycken i detta fall). SharePoint tilldelar också automatiskt behörighetsnivåer till en del användare (två i detta fall).

Redigera webbplatsbehörigheter för den översta webbplatsen
Att arbeta med behörigheter för den översta webbplatsen är ganska enkelt genom knapparna på menyfliken:


Tilldela behörighet (Grant Permission):

  • Välj en eller flera användare, domängrupper eller SharePoint grupper i personväljaren
  • Bestäm hur du vill tilldela behörigheter
    • Väljer du "Lägg till användare i en SharePoint-grupp" så får du välja bland all SharePoint grupper i samlingen. Med detta val så får du inte ha några SharePoint grupper i första avsnittet (man kan inte lägga till SP grupper i SP grupper)
    • Väljer du "Tilldela användare behörighet direkt" så får du välja mellan alla behörighetsnivåer för samlingen.
  • Bestäm om du vill skicka e-post.
Skapa grupp:
Skapar en SharePoint grupp.


Notera att det sista avsnittet, "Ge gruppbehörighet till den här webbplatsen" inte är obligatoriskt. Den är till för att göra två saker på en gång: skapa en grupp och ge gruppen en behörighetsnivå till webbplatsen. Du kan ge gruppen behörigheter till webbplatsen (och andra resurser) vid ett senare tillfälle genom "Tilldela behörigheter".

Redigera användarbehörigheter (Edit User Permissions):
Markera en grupp eller användare innan du trycker på knappen:


Om du tilldelar en användare eller en grupp flera behörighetsnivåer så får den alla behörigheter som ingår i minst en av behörighetsnivåerna. Det finns alltså ingen mening att tilldela "Fullständig behörighet" och exempelvis "Design" eftersom den första redan innehåller alla behörigheter.

Det är viktigt att komma ihåg att du redigerar behörigheter för grupp/användare för en given resurs (den översta webbplatsen i detta fall). Man kan alltså inte tala om att "Läsare har behörighetsnivå Endast visa". Det korrekta uttrycket är att "Läsare har behörighetsnivå Endast visa för resurs XXX". Gruppen "Läsare" kan exempelvis har behörighetsnivå "Endast visa" för den översta webbplatsen men behörighetsnivå "Delta" för ett diskussionsforum på samma webbplats (detta kräver dock att forumet har ett brutet arv).

Ta bort användarbehörigheter:
Tar bort alla behörigheter till den översta webbplatsen för markerad grupp eller användare. Eftersom användaren/gruppen inte längre har några behörigheter så tas de också bort från listan på sidan Webbplatsbehörigheter.

Kontrollera behörigheter:
Visar vilka behörigheter en användare/grupp har till den översta webbplatsen:


Den här funktionen är användbar eftersom en användare kan behörigheter till en resurs på många olika sätt. En användare kan mycket väl tillhöra flera olika SharePoint grupper som har olika behörigheter till resursen och dessutom ha direkta behörigheter. "kontrollera behörigheter" visar dock inte behörigheter som användare har genom domängrupper.

Behörighetnivåer (Permission Levels):


Visar en lista på alla behörighetsnivåer för webbplatssamlingen. Trycker man på "Lägg till en behörighetsnivå" så får man ange ett namn och klicka i alla behörigheter som behörighetsnivån skall innehålla. Därefter är behörighetsnivån tillgänglig i exempelvis "Redigera användarbehörighet" och när man tilldelar direkta behörigheter.

Hantera åtkomstbegäran (Manage Access Requests):
Markera om du vill tillåta begäran om åtkomst:


Om en användare inte har behörighet till en resurs får de då följande meddelande:


Klickar de i "Begär åtkomst":


Om utgående e-post är konfigurerad för SharePoint installationen så skickas e-post till adressen och mottagaren kan dela ut behörighet till resursen.

Administratörer för webbplatssamlingar (Site Collection Administrators):
Se ovan.

SharePoint grupper
Varje SharePoint grupp har en egen sida i webbplatssamlingen. För att nå SharePoint gruppens sida, gå till "Webbplatsinställningar" för vilken webbplats som helst i samlingen och välj "Personer och grupper" under "Användare och behörigheter":


Du når nu alla SharePoint grupper i samlingen genom den vänstra kolumnen. Du kan ställa in vilka grupper som skall visas direkt och vilka som skall visas under "Mer..." genom att klicka på "Mer...", "Inställningar", "Redigera grupper i Snabbstart".

Två aspekter är värda att notera:
  • Varje webbplats har en "standardgrupp" (som standard är det "Medlemmar på Xxxx", där Xxxx är namnet på den översta webbplatsen). När du väljer "Personer och grupper" är det standardgruppens webbsida du kommer till.
  • SharePoint grupper tillhör webbplatssamlingar, inte webbplatser. Tar du fram sidan för en och samma SharePoint grupp på två olika webbplatser så visar dessa sidor alltid exakt samma användare (även om sidorna har olika URL). Du kan aldrig ha två SharePoint grupper med samma namn men med olika användare (inom samma samling). En och samma SharePoint grupp kan naturligtvis ha olika behörighetsnivåer på olika webbplatser men användarna är alltid desamma.

Sidan för SharePoint grupper (people.aspx) saknar menyfliksområde - den har istället den "gamla" rullgardinsmenyn:

Lägg till användare:
Fungerar precis som "Tilldela behörighet" ovan men utan det andra avsnittet:


De tre alternativen under "Åtgärder" förklara sig själva. För att skicka e-post måste användaren har en e-post adress i sin användarinformation (klicka på användaren för att se användarinformationen) och utgående e-post måste vara konfigurerad i Central administration. För att ringa upp/meddela markerad användare måste användaren ha en SIP-adress i sin användarinformation (Session Initiation Protocol). Kräver också ytterligare konfiguration.

Gruppinställningar (Group Settings):
Redigeringsläge för "Skapa grupp" (Se ovan) utan det sista avsnittet "Ge gruppbehörighet till den här webbplatsen".

Visa gruppbehörigheter (View Group Permissions):
Visar gruppens behörighetsnivå till alla resurser som har brutet arv. Har gruppen behörighetsnivå X till resursen Y så har den samma behörighetsnivå till alla resurser som ärver från Y men dessa visas inte i dialogrutan.

Ange som standardgrupp (Make Default Group):
Gör gruppen till standardgrupp för webbplatsen.

Behörigheter för underwebbplatser som ärver behörigheter
Om man skapar en ny webbplats under den översta och inte bryter arvet (vilket är standard i SharePoint) så får man en webbplats med samma behörigheter som den översta. Sidan "Webbplatsbehörigheter" ser annorlunda ut för en sådan webbplats:


Notera följande:
  • Meddelandet "Den här webbplatsen ärver behörigheter från den överordnade nivån. (Svensk)" (This Web site inherits permissions from its parent. (Svensk))" Vill man redigera behörigheter till denna webbplats måste man gå till den överordnade nivån (Svensk).
  • Användare och grupper har inga kryssrutor till vänster om sitt namn. Om webbplatsen ärver behörigheter finns det ingen mening att kunna markera en grupp eller användare.
  • Menyfliken saknar "Redigera användarbehörighet" och "Ta bort användarbehörighet"
  • Webbplatsen saknar möjligheter att hantera behörighetsnivåer, åtkomstbegäran, och administration av webbplatssamling
  • Menyfliken har i stället "Hantera den överordnade nivå" (Manage Parent) vilket tar dig till webbplatsbehörigheter för den webbplats som den aktuella webbplatsen ärver ifrån.
  • Menyfliken har också "Sluta ärva behörigheter" (Stop Inheriting Permissions) som bryter arvet.
Bryta behörighetsarv för webbplats
För att bryta behörighetsarv för en webbplats, tryck på "Sluta ärva behörigheter" på webbplatsens "Webbplatsbehörigheter". Med unika behörigheter ser sidan annorlunda ut:


Notera följande:
  • Meddelandet "Den här webbplatsen har unika behörigheter." (This web site has unique permissions)
  • Alla användare och grupper finns kvar och de har precis samma behörigheter som tidigare men nu kan du redigera behörigheter för webbplatsen.
  • Underwebbplatsens "Webbplatsbehörigheter" liknar nu mer den översta webbplatsens "Webbplatsbehörigheter" men det finns några skillnader: 
    • Underwebbplatser har "Ärv behörighet" (Inherit Permissions), det har inte den översta webbplatsen (den har ingenstans att ärva från)
    • Den översta webbplatsen har en länk till "Administratörer för webbplatssamlingar", det saknar underwebbplatser.
    • Underwebbplatser har bara läsrättigheter till "Behörighetsnivåer" (de tillhör ju webbplatssamlingen).
Skapa webbplats med brutet arv
Vill du skapa en ny webbplats som inte ärver behörigheter så kan du använda funktionen "Sluta ärva behörigheter" efter du har skapat webbplatsen. Du kan också göra det samtidigt som du skapar webbplatsen. Tryck på "Ny webbplats" under "Webbplatsåtgärder" och välj "Fler alternativ" i "Skapa". Under avsnittet "Behörigheter" kan du välja mellan unika eller samma behörigheter:


Väljer du "Använd unika behörigheter" kommer du i nästa steg till "Konfigurera grupper på den här webbplatsen":


SharePoint vill nu tilldela de tre behörighetsnivåerna "Läsa", "Delta" och "Fullständig behörighet" till tre SharePoint grupper. För varje behörighetsnivå kan du välja mellan en existerande SharePoint grupp eller att skapa en ny grupp som erhåller behörighetsnivån. Skapar du en ny grupp kan du lägga till användare i gruppen på samma sida.

"Konfigurera grupper på den här webbplatsen" är bara ett bekvämt sätt att snabbt ge existerande eller nya  SharePoint grupper behörigheter till din nya webbplats. Den är inte obligatoriskt. Vill du hoppa över detta steg så tryck på webbplatsens namn till vänster om "Konfigurera grupper på den här webbplatsen". Hoppar du över konfigurationen så kommer webbplatsen endast att ha en användare med fullständig behörighet - nämligen den som skapade webbplatsen (webbplatssamlingsadministratören har såklart också fullständig behörighet). Du kan alltid i efterhand ge användare och grupper behörigheter till den nya webbplatsen. 

Behörigheter till listor och bibliotek
Listor och bibliotek tillhör alltid en och endast en webbplats. Som resurser i SharePoint är de organiserade under webbplatsen de tillhör. De betyder att de som standard har samma behörigheter som webbplatsen. Alla listor och bibliotek har en sida för hantering av behörighet. Du når denna sida genom att klicka på "Behörighet för lista" (eller motsvarande) på sidan "Inställningar för lista/biblioteket":


Behörigheter för listor/bibliotek fungerar på samma sätt som för webbplatser. Du kan bryta arvet till listan och för att skapa unika behörigheter. På så sätt kan du exempelvis ge en grupp behörighetsnivå "Läsa" till en webbplats men "Delta" till ett diskussionsforum på webbplatsen.

En användare som har behörigheter till en webbplats men som saknar behörigheter till en särskild lista eller bibliotek kommer inte att se listan. Väljer han exempelvis "Allt webbplatsinnehåll" så ser han bara de listor/bibliotek som han har någon behörighet till. Försöker han att gå direkt till en webbsida som representerar en vy av listan får han "Åtkomst nekad". Det gäller även webbdelar som visar en vy av en lista/bibliotek: webbdelen syns helt enkelt inte om användaren saknar behörighet till den.


Behörigheter till objekt i listor och bibliotek
Objekt i listor och bibliotek räknas som resurser under den lista eller bibliotek de tillhör och de ärver därför sina behörigheter från listan/biblioteket. För att bryta arvet för ett objekt i en lista/bibliotek, klicka på triangeln för objektet:


Välj "Hantera behörigheter" och du kommer till en sida där du kan bryta arv och hantera behörigheter för enskilda objekt. Eftersom de flesta webbsidor man skapar är objekt i ett bibliotek använder man denna metod för att hantera behörigheter till dessa webbsidor.

Mappar är också objekt i listor/bibliotek. Du kan därför bryta behörighetsarv till en mapp. Detta är användbart om du har många objekt i en lista. I stället för att sätta behörighet till varje objekt kan du ställa in behörighet till ett antal mappar och placera objekten i denna mapp. Samma behörighet gäller då för objekten i mappen som för mappen själv (om du inte bryter behörighetsarvet till objektet i mappen).

Man kan dock inte styra behörigheter för webbsidor som inte ligger i bibliotek på detta sätt. Vill man exempelvis styra behörigheter till webbsidor som representerar en vy av en lista eller ett bibliotek så gör man det genom att styra behörigheter till listan/biblioteket. Vill man inte att en användare skall komma åt "Webbplatsinställningar" så måste man se till att behörigheten "Hantera webbplats" inte ingår i någon av användarens behörighetsnivåer.

-- Peter Jochumzen



Inga kommentarer:

Skicka en kommentar