söndag 22 augusti 2010

Auktorisering: behörigheter, teori

Om behörigheter
Behörigheter är ett stort och relativt komplext område i SharePoint. När en användare är autentiserad för att använda SharePoint så kommer auktoriseringen: har användaren behörighet att utföra åtgärd X på resurs Y (exempelvis radera en lista)? Auktoriseringsfrågan måste avgöras varje gång en användare vill utföra en åtgärd på en resurs.

Administratörer för webbplatssamling
Behörigheter tilldelas av andra användare. Om exempelvis användare A vill få läsrättigheter till en specifik webbsida så kan han be en användare som har behörighet att utdela denna behörighet om hjälp. För att detta system skall fungera smärtfritt så måste det för varje webbplatssamling alltid finnas minst en användare som har alla behörigheter till alla resurser. Dessa användare kallas administratörer för webbplatssamlingen och de kan också dela ut vilken typ av behörighet som helst.

När man skapar en ny webbplatssamling så måste man utse en eller två administratörer för webbplatssamlingen. Alla webbplatssamlingsadministratörer har dessutom behörigheter att bestämma vem som skall ha denna "superbehörighet" efter samlingen är skapad så länge man inte tar bort den för alla.

Behörighetsarv
För att slippa dela ut behörigheter så fort man skapar en ny resurs så arbetar SharePoint med "arv av behörigheter". Med standardinställningen så gäller det att om man skapar en resurs under en annan resurs så gäller precis samma behörigheter får denna nya resurs som för "moderresursen". Skapar man exempelvis en webbplats X under webbplats Y och användare A hade läsrättigheter till webbplats X så får A även läsrättigheter till webbplats Y. Detta typ av arv gäller mellan många typer av resurser:
  • Från en webbplats till en underwebbplats
  • Från en webbplats till en lista på webbplatsen
  • Från en webbplats till ett bibliotek på webbplatsen
  • Från en lista/bibliotek till enskilda objekt i listan/biblioteket.
Detta betyder exempelvis att en användare som har behörighet "läsa" till en webbplats genom arv får behörighet att läsa alla wiki-sidor, publiseringssidor och webbdelssidor på webbplatsen eftersom varje sådan sida är ett objekt i ett bibliotek. Utan arv skulle det bli mycket tungt att arbeta med SharePoint. Notera att vyer inte räknas som resurser i detta avseende. Det går inte att styra behörigheter till vyer - en vy är antingen offentlig och tillgänglig för alla med behörighet till listan/biblioteket - eller privat och bara tillgänglig för den som skapat vyn.

Bryta arv
Finns det ett behörighetsarv mellan två resurser så kan man kan alltid "bryta arvet". Bryter du exempelvis arvet från en webbplats till ett dokumentbibliotek så får inte de som har läsbehörigheter till en webbplats automatiskt läsbehörigheter till biblioteket. Behörigheter måste då ställas in specifikt för biblioteket.

Notera att du aldrig kan ge någon behörighet till en resurs som ärver sina behörigheter. Du måste då istället ge behörighet till "moderresursen" vilket ju genom arv leder till att användaren får den önskade behörigheten. Ärver även modern behörigheter så måste du fortsätta att klättra upp i hiearkin tills du hittar en resurs som inte ärver behörigheter.

Den översta webbplatsen i en webbplatssamling räknas som den "översta resursen". Denna resurs ärver aldrig från en annan resurs. Bryter man inte några arv i en webbplatssamling så räcker det att ge behörighet till den översta webbplatsen så får användaren automatiskt precis samma behörighet till alla resurser i samlingen. Notera dock att arv aldrig sträcker sig till andra webbplatssamlingar: ger man någon en specifik behörighet i en samling så kan det aldrig få någon effekt i en annan samling.

Grupper
Det finns två sätt att tilldela behörigheter till en resurser (som inte ärver från en annan resurs):
  • Tilldela en användare direkta behörigheter till en resurs.
  • Tilldela en grupp behörigheter till en resurs.
De behörigheter en grupp har till en resurs tilldelas automatiskt alla deltagare i gruppen. Vet du exempelvis att det finns en grupp som har läsrättigheter till en webbplats så kan du ge en användare läsrättigheter till webbplatsen genom att stoppa in henne i gruppen.

Det finns två typer av grupper i SharePoint:
  • SharePoint grupper. Grupper av användare som administreras i SharePoint.
  • Domängrupper (Domain Groups). Grupper av användare som administreras utanför SharePoint.
SharePoint grupper är viktigast eftersom man kan styra vem som ingår i grupperna direkt i SharePoint. För domängrupper, exempelvis AD (Active Directory) grupper, kan man inte ens se vem som ingår i grupperna i SharePoint.

SharePoint grupper lever i webbplatssamlingar. Alla SharePoint grupper som är skapade någonstans i en webbplatssamling är tillgängliga för alla webbplatser och alla resurser inom samlingen (men inte för resurser i en annan samling). SharePoint grupper har därför ett unikt namn och ett unikt ID-nummer inom samlingen.

Behörigheter
Att ge en behörighet (Permission) till en användare eller en grupp handlar om två aspekter:
  • Vilken resurs vill vi ge användaren/gruppen behörighet till (webbplats, bibliotek, webbsida?)
  • Vilken typ av behörighet vill vi ge användaren/gruppen (läsa, skriva, radera?)
Det finns 32 inbyggda behörigheter i SharePoint som man kan ge en viss användare eller grupp till en viss resurs. Har exempelvis användaren X behörigheten "Ta bort objekt" till resursen "Kalender" på en webbplats så kan X radera händelser i kalendern. Eller om gruppen G har behörigheten "Skapa underwebbplatser" till en webbplats så kan alla medlemmar i gruppen skapa underwebbplatser. 12 av behörigheterna gäller listor och bibliotek, 17 gäller webbplatser och tre handlar om personliga behörigheter. Det går inte att lägga till, ta bort eller redigera dessa behörigheter.

Behörighetsnivåer
För att underlätta arbetet med behörigheter så finns det behörighetsnivåer (Permission Levels) i SharePoint. En behörighetsnivå är en samling behörigheter. Det finns två inbyggda behörighetsnivå som inte kan tas bort eller redigeras:
  • "Fullständig behörighet" (Full Control) som innehåller alla 32 behörigheter
  • "Begränsad åtkomst" (Limited Access) som innehåller fem behörigheter (precis vilka kan du se längre fram).
Utöver dessa två så skapas det med webbplatssamlingen, beroende på vilken mall du använder, ytterligare ett antal behörighetsnivåer som kan raderas och redigeras (detta rekommenderas dock inte). Du kan också skapa egna behörighetsnivåer genom att helt enkelt välja bland de 32 behörigheterna. Två behörighetsnivåer som används ofta är:
  • "Delta" (Contribute): "Kan visa, lägga till, uppdatera och ta bort listobjekt och dokument", 19 behörigheter som standard.
  • "Läsa" (Read): "Kan visa sidor och listobjekt och hämta dokument", 10 behörigheter som standard.
Man kan endast ge användare och grupper behörigheter genom behörighetsnivåer. Man kan alltså inte ge en användare en viss behörighet till en resurs direkt - man måste ge dem en samling. Ger man exempelvis en användare behörighetsnivån "Fullständig behörighet" till en resurs så ger man användaren alla 32 behörigheter till resursen på en gång.

- Peter Jochumzen

    Inga kommentarer:

    Skicka en kommentar