Sitecore 活动目录
Sitecore Active Directory
我们将使用 Active Directory 模块来同步我们的用户。我们仍在争论是否保留 Sitecore 或 AD 中的角色。在与 AD 同步时,我们在之前的 Sitecore 实施中遇到了性能问题,这让我们有点犹豫是否要在 AD 中发挥作用。我们将为需要在 Sitecore 中的用户创建一个 OU。
- Sitecore 关于用户和角色以及 AD 的建议是什么?
- 将角色保留在 Sitecore 中是否有意义,让用户在 AD 中查看这是否会对性能产生影响?
- 如果我们决定现在在 Sitecore 中担任角色,然后在以后转移到 AD,这可能吗?现有项目的安全性会受到怎样的影响?
谢谢
我过去看到的 AD 同步性能问题是由于针对 AD 的查询返回大量数据。我建议您为与 Sitecore 相关的安全组(以及用户,如果您足够幸运,您的组织可以支持这一点)创建一个专用的 OU。将这些安全组视为 Sitecore 角色,并将 AD 用户相应地分配为这些安全组的成员。
在 Sitecore 方面,您仍应使用角色。只是,您将为这些角色分配安全组,而不是从 AD 分配用户。
这将允许您继续按角色授权 Sitecore 中的人员组,同时将维护个人成员资格的任务委派给 AD 中通常应该保留的角色。
在我的 AD 模块实现中,使用间接成员资格(角色中的角色中的角色中的角色)对性能有影响。如果您有直接成员资格(用户 A 在角色 B 中)模型,我没有看到很多性能问题,除非像@Patrck Perrone 提到的那样,您使用的过滤器会拉回大量用户。
对于不确定安全方向的人,我的典型建议是使用 AD 组来管理属于特定角色的用户,然后将这些 AD 组映射为 Sitecore 角色的成员。通过这种方式,您可以将所有内容保护到 Sitecore 角色,并且您的用户将通过他们的 AD 组自动获得访问权限。
示例:
- 在 Active Directory 中: 用户 Jay => AD 组成员 'nonlinear\Sitecore Authors'
- 在 Sitecore 角色中: 'nonlinear\Sitecore' 是 'sitecore\Author'
的成员
- 在 Sitecore 内容中: 'Home' 项目工作流程保护到 'sitecore\Author'
在上面的示例中,所有 sitecore\Author 成员的用户都可以在主页上工作。用户 Jay 在添加到 AD 组 'nonlinear\Sitecore Authors' 后,将根据角色之间定义的关系获得此访问权限。
这样做的好处是,如果 AD 出现故障,或者您决定停止使用 AD 角色,则不必为您的内容重新应用安全措施。您只需开始将您的 AD 用户直接添加到 sitecore\Author.
这对于无法连接到活动目录存储库的本地开发人员或使用笔记本电脑在本地工作的离线开发人员也很有帮助。在与 AD 断开连接时,他们仍然可以设置所有内容安全性并使用本地 Sitecore 域用户进行测试。
我们将使用 Active Directory 模块来同步我们的用户。我们仍在争论是否保留 Sitecore 或 AD 中的角色。在与 AD 同步时,我们在之前的 Sitecore 实施中遇到了性能问题,这让我们有点犹豫是否要在 AD 中发挥作用。我们将为需要在 Sitecore 中的用户创建一个 OU。
- Sitecore 关于用户和角色以及 AD 的建议是什么?
- 将角色保留在 Sitecore 中是否有意义,让用户在 AD 中查看这是否会对性能产生影响?
- 如果我们决定现在在 Sitecore 中担任角色,然后在以后转移到 AD,这可能吗?现有项目的安全性会受到怎样的影响?
谢谢
我过去看到的 AD 同步性能问题是由于针对 AD 的查询返回大量数据。我建议您为与 Sitecore 相关的安全组(以及用户,如果您足够幸运,您的组织可以支持这一点)创建一个专用的 OU。将这些安全组视为 Sitecore 角色,并将 AD 用户相应地分配为这些安全组的成员。
在 Sitecore 方面,您仍应使用角色。只是,您将为这些角色分配安全组,而不是从 AD 分配用户。
这将允许您继续按角色授权 Sitecore 中的人员组,同时将维护个人成员资格的任务委派给 AD 中通常应该保留的角色。
在我的 AD 模块实现中,使用间接成员资格(角色中的角色中的角色中的角色)对性能有影响。如果您有直接成员资格(用户 A 在角色 B 中)模型,我没有看到很多性能问题,除非像@Patrck Perrone 提到的那样,您使用的过滤器会拉回大量用户。
对于不确定安全方向的人,我的典型建议是使用 AD 组来管理属于特定角色的用户,然后将这些 AD 组映射为 Sitecore 角色的成员。通过这种方式,您可以将所有内容保护到 Sitecore 角色,并且您的用户将通过他们的 AD 组自动获得访问权限。
示例:
- 在 Active Directory 中: 用户 Jay => AD 组成员 'nonlinear\Sitecore Authors'
- 在 Sitecore 角色中: 'nonlinear\Sitecore' 是 'sitecore\Author' 的成员
- 在 Sitecore 内容中: 'Home' 项目工作流程保护到 'sitecore\Author'
在上面的示例中,所有 sitecore\Author 成员的用户都可以在主页上工作。用户 Jay 在添加到 AD 组 'nonlinear\Sitecore Authors' 后,将根据角色之间定义的关系获得此访问权限。
这样做的好处是,如果 AD 出现故障,或者您决定停止使用 AD 角色,则不必为您的内容重新应用安全措施。您只需开始将您的 AD 用户直接添加到 sitecore\Author.
这对于无法连接到活动目录存储库的本地开发人员或使用笔记本电脑在本地工作的离线开发人员也很有帮助。在与 AD 断开连接时,他们仍然可以设置所有内容安全性并使用本地 Sitecore 域用户进行测试。