Permessi e Autorizzazioni

Introduzione

Il sistema delle autorizzazioni di Envolution permette un controllo completo su quello che possono vedere i diversi utenti e quello che possono fare. Ma permette anche di avere diversi Amministratori, ognuno responsabile di una certa area e ancora di abbinare a tutto il contenuto permessi diversi, in modo tale che diversi utenti vedano contenuti diversi nel sito.

Ecco la guida alla gestione del sistema di autorizzazioni di Envolution.

ATTENZIONE: Permessi non corretti potrebbero permettere accessi amministrativi non autorizzati al sito. Si raccomanda di leggere e comprendere questo documento prima di impostare il proprio sistema dei permessi.

Attributi delle autorizzazioni

Ogni autorizzazione è composta da un certo numero di attributi spiegati sotto in dettaglio.

Dominio (=realm)

Un dominio è un'area di controllo dsel contenuto. Molti utenti hanno solo un singolo dominio, perciò non useranno questo attributo. Ulteriori informazioni sui domini nel manuale dei domini.

Utente/Gruppo

Sono l'utente o il Gruppo ai quali è concessa l'autorizzazione. Ulteriori informazioni su questi attributi nel manuale dei gruppi .

Componenti

E' il Componente da sottoporre ad autorizzazione. Di solito è composto da una tripla di termini separati dal simbolo dei due punti (:). Ci sono tre tipi di Componenti:

Sistema - I Componenti di sistema hanno la forma "sistema:area:instanza" in cui area ed instanza sono riservati.
Blocco - Il Componenti di blocco hanno la forma "tipo:instanza:azione" in cui tipo è la tipologia di blocco (la colonna 'Tipo' della pagina di amministrazione dei blocchi) con la parola 'block' attaccata al termine. e instanza ed azione sono riservate.
Modulo - I Componenti di modulo hanno la forma "nome:instanza:area" in cui nome rappresenta il nome del modulo (p.e. "Web Links", "Downloads"), instanza è riservata ed area rappresenta l'area specifica del modulo.

Il valore del Componente è una espressione regolare di collegamento. Per vedere una lista dei Componentei correnti registrati cliccare sulla voce 'Componente' oppure 'Instanza' nella pagina delle autorizzazioni.

Attenzione: Valori dei Componenti non corretti potrebbero causare accessi amministrativi non autorizzati al sito. Si raccomanda di avere una certa familiarità con le espressioni regolari prima di impostare il proprio sistema delle autorizzazione.

Instanze

E' l'istanza del Componente da sottoporre ad autorizzazione. L'istanza prende la forma di una tripla di termini separati dal simbolo dei due punti (:). Il valore dell'istanza dipende dal Componente: una lista di modelli di istanze per tutti i blocchi e i moduli installati è disponibile cliccando sulla voce 'Instanza' della tabella. Anche il valore dell'istanza è una espressione regolare di collegamento.

Livello

E' il livello di autorizzazione concesso. Può essere

Nessuno - nessun accesso
Overview - permette un overview del contenuto
Leggi - permette la lettura del contenuto
Commenti - permette il commento del contenuto
Modera - permette la moderazione del contenuto
Edit - permette la modifica del contenuto
Aggiungi - permette l'aggiunta di contenuto
Cancella - permette la cancellazione del contenuto
Amministratore - pieno accesso

Assicurarsi di aver scelto i livelli giusti per concedere solo le autorizzazioni strettamente necessarie.

Ordinamento

Ordinare le autorizzazioni è importante: quando il sistema dei permessi controlla le autorizzazioni, ritorna il primo permesso rispondente che trova. Perciò considerate la sequenza dei permessi nell'impostare le autorizzazioni.

Autorizzazione Utente e di Gruppo

Le autorizzazioni Utente servono a sovrascrivere esplicitamente i permessi di Gruppo. Se il sistema dei permessi trova contemporaneamente un'autorizzazione Utente e una di Gruppo, considererà solo l'autorizzazione Utente.

Esempi

Segue una lista di esempi di sistema di sicurezza con spiegazione. Tutti gli esempi considerano autorizzazioni di Gruppo più che Utente e permettono una più semplice configurazione di siti grossi con tanti utenti. Le autorizzazioni Utente seguono lo stesso metodo, ma sono più espliciti.

Configurazione iniziale

Questa immagina mostra la configurazione iniziale delle autorizzazioni all'atto dell'installazione di un sistema Envolution. Segue la spiegazione di ogni voce:

Permettere agli appartenenti del Gruppo 'Admins' di accedere a tutto ciò che è nel livello 'Amministratore'.
- Gruppo 'Admins'. A questo Gruppo appartengono tutti gli amministratori del sito
- Componentee '.*'. rappresenta tutti i Componenti
- Istanza '.*'. rappresenta tutte le istanze
- Livello 'Admin'. Permette il massimo grado di accesso.
Per non mostrare ai non amministratori il link Amministrazione nel Menu Principale
- Gruppo 'Tutti i gruppi'. E' un Gruppo speciale che include ogni utente del sito che appartiene a qualche Gruppo ma anche gli utenti non iscritti (anonimi). Da notare che non è possibile aggiungere utenti a questo gruppo, ma vengono presi in considerazione tutti gli utenti del sistema in esecuzione. E' buona abitudine assicurarsi che ogni utente faccia parte almeno di un gruppo nel sistema.
- Componente 'Menublock::'. Riguarda la Componente 'Menublock::', che include tutti i blocchi di tipo 'Menu'
- Istanza 'Menu Principale:Amministrazione:'. Riguarda il blocco Menu chiamato 'Menu Principale' e il link Amministrazione.
- Livello 'Nessuno'. Significa che non sarà concesso nessun accesso: nel caso specifico significa che il link non sarà visualizzato.
Permettere agli utenti normali di fare commenti in tutto il sistema
- Gruppo 'Users'. A questo Gruppo dovrebbero appartenere tutti gli utenti del sito
- Componente '.*'. Riguarda tutti i Componenti
- Istanza '.*'. Riguarda tutte le Istanze
- Livello 'Commenta'. Permette l'accesso al Livello dei Commenti. Ogni tentativo di fare cose oltre a commentare (come modificare o cancellare un'articolo) sarà rifiutato.
Non permettere a utenti non iscritti di vedere voci specifiche per l'utente nel Menu Principale
- Gruppo 'Unregistered'. E' un Gruppo speciale a cui appartengono solo utenti non connessi al sito (anonimi).
- Componente 'Menublock::'. Riguarda il Componente 'Menublock::', che include tutti i blocchi di tipo 'Menu'
- Istanza 'Menu Principale:(Il tuo profilo|Disconnetti):'. Riguarda il blocco di menu 'Menu Principale' e i link 'Il tuo profilo' e 'Disconnetti'.
- Livello 'Nessuno'. Significa che non verrà dato nessun accesso: nel caso esasminato vuol dire che i due link non verranno visualizzati nel menu.
Permettere agli utenti non iscritti di leggere i contenuti del sito.
- Gruppo 'Unregistered'. E' un Gruppo speciale a cui appartengono solo utenti non connessi al sito.
- Componente '.*'. Riguarda tutti i Componenti
- Istanza '.*'. Riguarda tutte le Istanze
- Livello 'Leggi'. Permette l'accesso al Livello di Lettura. Ogni tentativo di fare altro oltre a leggere sarà rifiutato.

Aggiungere un Gruppo di SottoAmministratori

L'immagina mostra le impostazioni delle autorizzazioni dopo l'aggiunta di un Gruppo per i sottoamministratori. A questo gruppo è permesso solo di gestire le aree 'Sondaggi' e 'Web Links' del sito.

Da notare che l'area dei Web Links ha correntemente due sottosezioni separate per le autorizzazioni. Una è per le categorie e l'altra per i singoli link. Vogliamo che questo gruppo possa gestire tutte e due le sottosezioni.

Questa tabella ha una sola novità per noi, spiegata sotto.

Permettere ai sottoamministratori di accedere ai sonfdaggi e ai web links.
- Gruppo 'Subadmins'. Questo è il gruppo dei sottoamministratori. Da notare che i gruppi sono creati e popolati dall'interfaccia amministrativa dei Gruppi.
- Componente '[(Polls::)|(Web Links:.*)]'. Questa è un'espressione piuttosto complessa che considera la componente 'Polls::' e tutte le componenti che iniziano con 'Web Links:'
- Istanza '.*'. Riguarda tutte le Istanze
- Livello 'Admin'. Permette il più alto Livello di accesso.

Configurazione permessi di Gruppo

Questa immagine mostra le impostazioni delle autorizzazioni dopo l'aggiunta di due nuovi gruppi di utenti: 'Technical people' e 'Design people', e l'amministratore del sito vuole assegnare ai due gruppi due diversi sondaggi che meglio rispondono alle loro esigenze.

La tabella ha quattro novità spiegate sotto:

Permettere agli appartenenti al gruppo 'Technical people' di commentare il sondaggio sui sistemi operativi.
- Gruppo 'Technical people'. E' il gruppo che s'intende di cose tecniche.
- Componente 'Polls::'. Tutto quello che riguarda il Componente 'Polls::'
- Istanza 'Su che sistema operativo dovrebbe girare questo sito?::.*'. E' un'Istanza molto specifica e riguarda solo il sondaggio che ha questo titolo. Notare il '?' del titolo che deve essere formattato, essendo parte di un'espressione regolare.
  Guardando lo schema dell'istanza per i sondaggi si può notare che ci sarebbe un modo diverso per creare l'espressione, cioè '.*:3', dove '3' è l'ID unico del sondaggio considerato. Usare gli ID è più veloce e univoco, ma risulta più difficile la comprensione se si guarda solo il sistema dei permessi. La scelta se usare titoli o ID è lasciata all'amministratore del sito, ma si possono usare anche entrambi e l'istanza diventa: 'Su che sistema operativo dovrebbe girare questo sito?::3'.
- Livello 'Commenta'. Permette l'accesso per il livello dei Commenti. Tutti i tentativi di fare altro, p.e. modificare o cancellare un sondaggio, sarà rifiutato.
Non permettere ad altri di fare commenti al sondaggio sui sistemi operativi:
- Gruppo 'All Groups'. E' il Gruppo che include tutti gli utenti appartenenti a qualsiasi gruppo, compresi gli utenti non registrati, cioè anonimi.
- Componente 'Polls::'. Considera la Componente 'Polls::'
- Istanza 'Su che sistema operativo dovrebbe girare questo sito?::'. L'istanza specifica del sondaggio, come già spiegato sopra.
- Livello 'Nessuno'. Significa che non sarà dato accesso a nessuno, nel caso del sondaggio, che esso non sarà visibile.
Permettere agli appartenenti del gruppo 'Design people' di commentare il sondaggio sulla grafica del sito.
- Gruppo 'Design people'. E' il gruppo di utenti che s'intendono di grafica.
- Componente 'Polls::'. Tutto ciò che riguarda il Componente 'Polls::'
- Istanza 'Questo sito dovrebbe cambiare grafica?::.*'. E' un'istanza molto specifica, valgono le precisazioni fatte negli esempi precedenti.
- Livello 'Comment'. Permette l'accesso al livello dei commenti. Ogni tentativo di effettuare altre operazioni, come modificare o cancellare il sondaggio, sarà rifiutato.
Non permettere ad altri di commentare il sondaggio sulla grafica del sito.
- Gruppo 'All Groups'. E' il gruppo speciale che include tutti gli appartenenti a qualsiasi gruppo, nonchè gli utenti non registrati.
- Componente 'Polls::'. Tutto ciò che riguarda il Componente 'Polls::'
- Istanza 'Questo sito dovrebbe cambiare grafica?::.*'. L'istanza specifica del sondaggio, come spiegato sopra.
- Livello 'Nessuno'. Significa che non sarà concesso nessun accesso: il sondaggio non sarà visibile.

Da notare che tutti gli altri sondaggi saranno ignorati da queste condizioni, cioè, con queste impostazioni tutti gli altri sondaggi saranno visibili oltre ai due sondaggi specializzati, visibili solo ai detti gruppi.

Sovrascrivere l'Admin

Quest'immagine mostra come fissare un problema potenziale che risulta dalle impostazioni mostrate sopra. Quando l'amministratore si connette, vedrà tutti i sondaggi, ma probabilmente non avrà nessun interesse a votare!

La soluzione al problema è proprio non visualizzare i sondaggi all'amministratore. Perciò dovremmo impostare un autorizzazione per gli amministratori con una Componente 'Polls::', un'Istanza '.*', e il livello di accesso su 'Nessuno'. Tuttavia, questa soluzione non risolve il problema: bloccherebbe l'accesso complessivo degli amministratori ai sondaggi, non permettendo loro di modificare, creare nuovi sondaggi o anche solo ad accedere ai risultati dei sondaggi.

Quello che volevamo non era bloccare l'accesso degli amministratori ai sondaggi, ma non visualizzare il blocco dei sondaggi. Cioè non deve essere visibile il blocco dei sondaggi agli amministratori, ma essi possono accedere ai sondaggi via Pannello di Amministrazione.

Altri Esempi

Attendiamo il vostro contributo per ulteriori esempi.

Home page