donderdag 3 februari 2011

Machtigingen: beschikbaar stellen en afschermen van informatie en functionaliteit

Wat zijn machtigingen en hoe werken deze?
Machtigingen zijn rechten die aan gebruikers worden gegeven om informatie in SharePoint sites te lezen en te wijzigen.

Om machtigingen goed en beheersbaar te maken, maakt SharePoint gebruik van de volgende concepten:
- SharePoint groepen: groepen SharePoint gebruikers waaraan een machtigingsniveau kan worden verleend (ook aan individuele SharePoint gebruikers kan machtigingen worden verleend).
Voorbeeld: SharePoint gebruikers in de SharePoint groep "Bezoekers" kunnen de inhoud van de site lezen.
- Machtigingsniveau's: een aantal handelingen die een SharePoint gebruiker of SharePoint groep mag uitvoeren.
Voorbeeld: het machtigingsniveau "Bijdragen" bestaat uit de handelingen "Kan weergeven", "toevoegen", "bijwerken" en "verwijderen". Vergelijk een machtigingsniveau met een toegangspasje waarmee je toegang krijgt tot slechts bepaalde ruimten.
- Handelingen: concrete handeling die op een SharePoint / Content onderdeel kan worden uitgevoerd.
Voorbeeld: Items toevoegen - Items toevoegen aan lijsten, documenten toevoegen aan documentbibliotheken en opmerkingen over webdiscussies toevoegen;
- Aanvullende beveiligingen: afschermen van inhoud tegen doorzoeken via de zoekmachine.

Laten we eerst ingaan op de structuur van een SharePoint omgeving, om te zien op welke SharePoint objecten machtigingen gegeven kunnen worden.

De structuur van een Sharepoint omgeving
Een SharePoint omgeving (Farm), bestaat uit hoofdsites (Site Collecties) en subsites (onder Site Collecties). In een site kunnen bibliotheken en lijsten worden opgeslagen om een grote diversiteit aan informatie (documenten, plaatjes, gegevens, web pagina’s, et cetera) op te slaan. Binnen lijsten en bibliotheken kan deze informatie verder worden ingedeeld in mappen en submappen.



Een typische SharePoint omgeving bestaat uit de volgende Site Collecties:
- Site Collecties voor Intranet, Internet en Extranet
- Site Collecties voor eindgebruikers: iedere gebruiker kan een eigen homepage (Site Collectie) ter beschikking krijgen
- Central Administration: Farm brede instellingen, meestal alleen door systeembeheer te gebruiken
- Shared Service Provider (meerderen per farm mogelijk): voorzieningen als zoeken (Enterprise Search), koppelingen met andere systemen (Business Data Catalog), Excel Services, etc.

Op ieder niveau van de bovengenoemde structuur: farm, site collection, site, bibliotheek / lijst, map en document / item, kunnen machtigingen worden toegekend aan een SharePoint gebruiker of SharePoint groep.

Machtigingen zijn er in twee verschillende smaken:
- Administrators;
- SharePoint gebruikers en gebruikersgroepen, waaraan machtigingsniveau's zijn toegekend.

Administrators:
Op de hoogste niveau's, de farm en de site collecties, worden Farm Administrators resp. Site Collectie Administrators (primary, secondary) vastgesteld. Deze Administrators hebben in principe alle mogelijke rechten op het Farm resp. de onderhavige Site Collectie.

Naast deze Administrators zijn er meer gebruikersgroepen binnen SharePoint gedefinieerd: Site Eigenaren, Site Leden en Site Bezoekers. Aan deze SharePoint groepen kunnen machtigingsniveau's worden toegekend.

Machtigingsniveau's: overeenkomst tussen SharePoint machtigingsniveau's en toegangspasjes voor een kantoor
Een bezoeker van een gebouw krijgt een toegangspasje die hem het recht geeft om bepaalde ruimten te bezoeken. Een toegangspasje voor een bezoeker geeft bijvoorbeeld toegang tot de vergaderzalen en het bedrijfsrestaurant. Een toegangspasje voor medewerkers geeft, naast toegang tot de vergaderzalen en het bedrijfsrestaurant, ook toegang tot de werkkamers. De systeembeheerders hebben een speciale toegangspas die toegang geeft tot alle ruimten, inlusief de serverzaal, waar alle servers draaien.

Analoog aan het toegangspasje in een kantoor geeft een machtigingsniveau in SharePoint de eindgebruiker rechten op informatie (documenten, lijsten, items, webpagina’s, sites, et cetera). Een machtigingsniveau (kaarttype) bevat de rechten die de houder van het betreffende toegangspasje, heeft in de SharePoint omgeving. SharePoint kent een aantal standaard machtigingsniveau's, zoals "Volledig beheer", "Ontwerpen", "Bijdragen", "Lezen" en "Beperkt lezen", die aangevuld kunnen worden met zelf gedefinieerde machtigingsniveau's.

Voorbeeld: het machtigingsniveau “Bijdragen“ bestaat uit de handelingen "Kan weergeven", "toevoegen", "bijwerken" en "verwijderen".



Individuele gebruikers zowel als gebruikers in een SharePoint groep kunnen dus machtigingen gegeven worden op SharePoint objecten door ze een bepaald machtigingsniveau (toegangspasje) toe te kennen.



SharePoint groepen vormen dus een uitstekend uitgangspunt voor het toekennen van machtigingen aan eindgebruikers. Natuurlijk kunnen machtigingen aan individuele eindgebruikers gegeven worden, maar dit zorgt voor veel extra moeite die gedaan moet worden wanneer machtigingen voor een bepaald SharePoint object (b.v. een Bibliotheek) veranderd moet worden voor alle individuele gebruikers ervan.

SharePoint groepen moeten overigens eveneens beheerd worden. Hiertoe worden per groep Groepseigenaren vastgesteld (individuele gebruiker of SharePoint groep). Lidmaatschap van de betreffende groep wordt eveneens gereguleerd; automatisch, door de groepsleden of door de groepseigenaar.

Let op:
- Een SharePoint groep kan Active Directory groepen bevatten, maar geen SharePoint groepen.
- Sluit jezelf niet buiten (ontneem jezelf niet de essentiƫle machtigingen) wanneer je een SharePoint groep inricht (en jezelf uit deze groep verwijdert).

Machtigingen worden op het hoogste niveau (Site Collectie) vastgesteld en gelden voor alle onderliggende niveaus's (sites, bibliotheken, lijsten, mappen, documenten). Op ieder niveau worden standaard van bovenliggend niveau overgenomen (b.v. bibliotheekmachtigingen overgenomen van sitemachtigingen), totdat hierop een uitzondering wordt gemaakt door de site beheerder.



Voorbeeld:
Een Site Collectie mag worden ingezien door alle gebruikers. Uitzondering hierop is een bibliotheek, die alleen ingezien mag worden door een select gezelschap van managers. Voor deze managers wordt daarom een aparte SharePoint groep aangemaakt die als enige (lees) rechten krijgt op de betreffende bibliotheek. Gebruik hiertoe het menu "Machtigingen bewerken" bij het onderhavige SharePoint object.

Let op:
- Herstel van de overerving van machtigingen vanaf bovenliggende niveau's kan worden hersteld door het menu "Machtigingen overnemen" te gebruiken.
- Hoe meer “uitzonderingen” op machtigingen worden gemaakt, hoe meer moeite en tijd het onderhoud van machtigingen gaat vergen van de beheerder(s).

Aanvullende beveiligingen: afschermen van inhoud tegen doorzoeken via de zoekmachine
Site inhoud, lijsten en bibliotheken kunnen afgeschermd worden tegen doorzoeken vanuit de zoekmachine. Dit kan gebeuren door:
- Site inhoud afschermen: via de site instellingen, zoek zichtbaarheid (Search Visibility)
- Lijst / Bibliotheekinhoud afschermen: via de geavanceerde instellingen van de betreffende lijst / bibliotheek: aangeven of de inhoud wel of niet via de zoekmachine benaderd kan worden. Let op: gebruikers die inhoud niet mogen zien, krijgen deze inhoud ook niet in de zoekresultaten te zien.

Pas op! Beveilig uw gegevens voldoende!
SharePoint biedt een aantal mogelijkheden om documenten en informatie (content) voor individuele gebruikers te verbergen of juist weer te geven, door SharePoint gebruikers(groepen) hierop lees en/of schrijfrechten te geven.
SharePoint zorgt er dan voor dat alle informatie die aan de gebruiker gepresenteerd zou moeten worden eerst wordt gecontroleerd op machtigingen.

SharePoint biedt echter functionaliteit die regelmatig wordt misbruikt als beveiliging, maar dit absoluut niet is:
- Alleen webpagina's worden beveiligd niet de achterliggende bibliotheken en/of lijsten;
- Doelgroepen (Audiences) zijn gebruikt om informatie te filteren;
- Weergaven (van lijsten of bibliotheken) zijn gebruikt om informatie te filteren;
- Gepersonaliseerde webpagina's zijn gebruikt;

Bovenstaande functionaliteit lijkt informatie af te schermen, maar dezelfde informatie is via de zoekmachine wel te bereiken. Bovenstaande functionaliteit is dus geen beveiliging.

Verder lezen
Toegang tot sites en sites beheren
Machtigingen voor publicatie instellen: machtigingsniveaus

Geen opmerkingen:

Een reactie plaatsen