1. 一般的なベストプラクティス

安全

日本語翻訳に関する免責事項

このページの翻訳はAIによって自動的に行われました。可能な限り正確な翻訳を心掛けていますが、原文と異なる表現や解釈が含まれる場合があります。正確で公式な情報については、必ず英語の原文をご参照ください。

セキュリティ要件を理解することは、Sitecore Content Hubでセキュリティ モデルを設定するための最初のステップです。セキュリティ要件は、組織のアクセス許可構造を定義する一連のガバナンス ルールです。Content Hubでは、セキュリティはユーザー グループポリシーに基づいて決定されます。各部門または部門は、独自のユーザーグループメンバーシップと、洗練されたアクセスロールを持つ対応するポリシーを持つことができます。

このセクションでは、セキュリティモデルを定義するのに役立つベストプラクティスを提供します。

一般的なアクセスロールの権限の指定

次の表に、一般的なアクセス ロールと、それらに必要な アクセス許可 を示します。

役割

権限

Readers

  • ReadAssets検索ページのDownload権限。

  • 自分のユーザー Profileページへのアクセス。

  • ReadCollectionsページにアクセスします。

  • ViewNotWatermarkedウォーターマークなしでレンディションを表示する権限。

Creators

  • Createまた、アセットの権限Submit 、アセットをアップロードしてレビュー用に送信できるようにします。

  • Updateまだ承認されていない自身のアセットに対する権限。

Content承認

  • Approveレビュー中のアセットに対する権限を使用して、これらのアセットを承認または拒否できるようにします。

  • ReadアセットのCreateAnnotations権限。

メモ

通常、これらのロールは、アセットや製品にリンクされたブランド、製品、キャンペーンなどのメタデータに基づいて絞り込まれます。

大事な

重複するルールと権限を作成しないでください。同じユーザーに複数のユーザーグループを割り当てると、それらのグループの複数のグループから同じ権限が付与される可能性があります。ユーザーグループが同じエンティティの権限をどのように共有しているかを確認します。 セキュリティ診断 ツールを使用して、同じエンティティに対して同じアクセス許可を付与する重複するポリシーを検出できます。

ユーザーグループの定義

ユーザーグループを定義するときは、この推奨ワークフローに従ってください。

大事な

  • Sitecoreは、Everyoneグループなどの標準ユーザー グループを定期的に更新して、新しい重要なサイト機能のアクセス許可を含めます。このため、これらのグループを使用してほとんどのユーザーに共通の権限を適用し、カスタムグループを使用して必要なユーザーに例外的な権限を適用することをお勧めします。

  • Everyoneユーザーグループの権限を変更すると、ユーザーが機能にアクセスできなくなる可能性があるため、お勧めしません。

  • Everyoneユーザー グループからユーザーを削除すると、システムにアクセスするために必要なベースラインのアクセス許可が削除されるため、削除しないでください。

ユーザーグループを定義するには:

  1. 前のセクションで説明したように、必要なロールを定義します。

  2. ロールごとに新しいユーザーグループを作成します。

  3. このユーザーグループに関連するモジュールを割り当てます。

  4. 各ユーザーグループがアクセスする必要があるページを定義します。

  5. AssetFileの定義に対するアクセスを定義します。

    • AssetFileの両方に対して1つのルールを作成します。これは、定義に同じアクセス許可がある場合です。

    • ドメイン モデルの設計に従って、各ユーザー グループで使用できるアセットを制限する条件を設定します。

  6. 他のエンティティ定義のユーザー・グループ権限を定義します。

    • ユーザーがアクセス、更新、または削除する必要がある定義を定義します。

    • 分類の定義を確認します。

    • ユーザー定義エンティティ定義を確認します。

    • これらの定義にユーザーが必要とする 権限 を定義します。

大事な

ユーザーグループの数を少なくします。何百ものユーザーグループを持つには、ドメインモデルを変更するたびにメンテナンス作業が必要です。ユーザーを10個を超えるユーザー グループに割り当てないでください。セキュリティチェックは、特定の操作をロードする前、またはバックグラウンドプロセスを実行するときに実行されます。ユーザーごとに10を超えるユーザー グループを設定すると、パフォーマンスに影響します。これを避けるために、ユーザーグループを統合することを検討してください。

認証を構成する

認証を構成するときは、次の推奨事項に従ってください。

  • デフォルトで登録を無効にする - これにより、Webサイトへの不正アクセスが防止され、許可されたユーザーのみがそのコンテンツにアクセスできるようになります。 登録の有効化 は、ユーザーアカウントを作成できるユーザーを制御できるように、意図的なアクションである必要があります。

  • メールドメインのホワイトリストを実装する - WhiteListedEmailPatternsを有効にすることで、Webサイトへのアクセスを厳密に制御できます。これにより、他のドメインからのユーザーの登録が防止され、EnableConfirmationMail=trueと組み合わせて使用するのが最適です。

  • SAML認証を適切に構成する - 認証を正しく構成するということは、IDPメタデータをコピーするのではなく、IDPを直接参照することを意味します。これにより、IDPメタデータの変更 (証明書の更新など) の場合でも、サインインが成功します。

  • ユーザー登録フローでreCAPTCHAを有効にする - これにより、ユーザーがボットではないことを確認することでセキュリティのレイヤーが追加され、自動化された攻撃からWebサイトが保護されます。

  • 標準ユーザーグループの権限を制限する - これにより、権限のないユーザーがWebサイトにアクセスした場合でも、機密データにアクセスできなくなります。新しいユーザーを作成するときは、不要な権限を付与するユーザーグループに割り当てられていないことを確認してください。すべてのユーザーはEveryoneユーザーグループの一部であるため、このグループにすべてのユーザーに付与する権限のみがあることを確認する必要があります。

  • Enable auto-lockout- AttemptsBeforeLockoutを設定することで、間違ったログイン認証情報を繰り返し入力するユーザーを自動的にロックアウトできます。

  • バックアップのローカル管理者アカウントを強力なパスワードで保持する - これにより、会社にフェイルセーフが提供されるため、IDプロバイダーまたはその構成に問題がある場合でもContent Hubにアクセスできます。

この記事を改善するための提案がある場合は、 お知らせください!