TYPO3 - LOGIN UND ZUGRIFFSSCHUTZ - Handbuch TYPO3 Version 6.2 - Universität Wien
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
TYPO3 - LOGIN UND ZUGRIFFSSCHUTZ Handbuch TYPO3 Version 6.2
Impressum: Herausgeberin: Universität Wien, Universitätsring 1, 1010 Wien Für den Inhalt verantwortlich: Zentraler Informatikdienst - TYPO3-Support Redaktion: Richard Rode Aktueller Stand: 2019-05-14 10:24
TYPO3 - Login und Zugriffsschutz Inhaltsangabe 1 - Login und Zugriffsschutz - Vorbemerkungen ............................................... 3 2 - Funktionsweise von Login und Zugriffsschutz ............................................. 4 3 - Shibboleth-Anmeldung ..................................................................................... 5 3.1 - Frontend-Login mit Shibboleth ................................................................ 5 4 - Gruppenrechte festlegen ................................................................................. 7 4.1 - Standardgruppen ........................................................................................ 7 4.2 - Gruppen aus dem Personalverzeichnis ................................................... 7 4.3 - Individuelle Gruppen .................................................................................. 8 4.4 - Accounts für Externe .................................................................................. 9 5 - Interner Bereich ............................................................................................... 10 5.1 - Seitenstruktur für internen Bereich ...................................................... 10 5.2 - Login-Seite für internen Bereich ............................................................ 10 5.3 - Startseite für internen Bereich .............................................................. 11 5.4 - Dateien schützen ...................................................................................... 13 6 - Zeitlich begrenzter Zugriff ............................................................................. 14 6.1 - Cache deaktivieren ................................................................................... 14 7 - TYPO3-Support ................................................................................................. 16 2019-05-14
TYPO3 - Login und Zugriffsschutz
2019-05-14
TYPO3 - Login und Zugriffsschutz 1 - Login und Zugriffsschutz - Vorbemerkungen Diese Anleitung ist eine Ergänzung zum Handbuch "TYPO3 - Einführung". Die Kenntnis der Inhalte des Einführungshandbuches sind Voraussetzung für die Anwendung des vorliegenden Dokuments. Die Inhalte wurden mit größter Sorgfalt erarbeitet bzw. zusammengestellt. Trotzdem sind Fehler nicht auszuschließen. Der Zentrale Informatikdienst der Universität Wien weist daher darauf hin, dass weder eine Garantie noch die juristische Verantwortung oder irgendeine Haftung für Folgen, die auf fehlerhafte Angaben zurückgehen, übernommen werden kann. Für die Mitteilung von Fehlern sind die Autoren dankbar. Alle Rechte vorbehalten. TYPO3-Service der Universität Wien Zentraler Informatikdienst Universitätsstraße 7 (NIG) Stiege I, 1. Stock 1010 Wien T: +43-1-4277-14 180 cms.zid@univie.ac.at 2019-05-14 3
TYPO3 - Login und Zugriffsschutz 2 - Funktionsweise von Login und Zugriffsschutz Um Inhalte gezielt für einzelne Benutzergruppen frei geben zu können, müssen Sie zunächst ein Login einrichten. Dieses fordert die BesucherInnen ihrer Webseite auf, ihre UserID und ihr Passwort einzugeben. Im Zuge des Logins werden der UserID vom System eine oder mehrere Gruppen zugewiesen. Mögliche Benutzergruppen sind zum Beispiel: Studierende, wissenschaftliches Universitätspersonal, allgemeines Universitätspersonal oder die Zuordnung zu einem speziellen Institut. Die Freigabe von Seiten und Inhalten erfolgt anhand dieser Benutzergruppen. Als Login ist das Single-Sign-On-System der Universität Wien in Form von Shibboleth im Einsatz. 4 2019-05-14
TYPO3 - Login und Zugriffsschutz
3 - Shibboleth-Anmeldung
Das Single-Sign-On-System der Universität Wien kennen Sie als AnwenderInnen
bereits. Es kommt zum Einsatz, wenn Sie ins TYPO3-Backend einloggen. Beim Aufruf
von TYPO3 wird Ihr Browser zunächst zum zentralen Weblogin weitergeleitet. Dort
geben Sie Ihre UserID und Ihr Passwort ein. Ist die Authentifizierung erfolgreich,
leitet Weblogin Ihren Browser zurück zu TYPO3. Im Hintergrund verständigen sich
die beiden Server: Weblogin teilt TYPO3 mit, wer Sie sind und dass Sie sich
erfolgreich eingeloggt haben.
Single-Sign-On hat den Vorteil, dass Sie nicht noch einmal einloggen müssen, wenn
Sie eine andere Webanwendung wie zum Beispiel die Lernplattform Moodle aufrufen.
Moodle leitet Sie zwar auch zum Weblogin weiter, dieses hat sich aber gemerkt, dass
Sie bereits authentifiziert sind, und es erfolgt sofort der Redirect zur Anwendung.
Nebenbei erhöht ein zentrales Login auch den Sicherheitsaspekt: Anwendungen wie
TYPO3 erfahren nie Ihr Passwort, speichern dieses folglich auch nicht in ihrer
Datenbank und es kann von dort auch nicht gehackt werden. Der Nachteil ist, dass es
kein Single-Sign-Off gibt. Stattdessen müssen Sie sich zweimal abmelden: Zuerst bei
TYPO3 und dann beim Weblogin. Am besten schließen Sie nach jeder Sitzung alle
Browserfenster, um sicher zu sein, dass Sie wirklich abgemeldet sind.
3.1 - Frontend-Login mit Shibboleth
Um ein Login auf Ihre Webseite zu stellen, brauchen Sie ein Inhaltselement vom Typ
"Plug-In / Shibboleth-Anmeldung". Erstellen Sie dafür einen Seiteninhalt vom Typ
"Allgemeines Plug-In" und wählen Sie im Reiter "Plug-In" die Shibboleth-Anmeldung.
Plug-In-Inhaltselemente haben unter dem Reiter "Allgemein" im Feld "Typ"
immer "Plug-In einfügen" ausgewählt. Unter dem Reiter "Plug-In" werden dann
die weiteren Plug-In-Eigenschaften festgelegt. Welches Inhaltselement Sie
erstellen, ist also zunächst egal. Sie können auch aus einem "Text und Bilder"-
Element nachträglich ein Plug-In machen, indem Sie den Typ umstellen.
2019-05-14 5
TYPO3 - Login und Zugriffsschutz Speichern Sie das Plug-In und rufen Sie anschließend die Vorschau Ihrer Seite auf. Wenn Sie genau aufpassen, werden Sie sehen, dass zunächst eine Weiterleitung auf das Weblogin der Universität Wien erfolgt, erst dann wird die Seite angezeigt. UserID und Passwort eingeben müssen Sie wahrscheinlich nicht, weil Sie ja bereits über das Backend am Single-Sign-On-System authentifiziert sind. Die gleichen User- Daten werden jetzt auch für das Frontend übernommen. Das Plug-In Shibboleth- Anmeldung zeigt Ihnen auf der Webseite Ihren Verbindungsstatus an: Wie Sie sehen können, ist die Shibboleth-Anmeldung gleichzeitig auch eine Abmeldung. Sobald Sie angemeldet sind, gibt es den entsprechenden Button dafür. Wenn Sie diesen klicken, kommen Sie wieder zum Weblogin, allerdings zum Logout- Button. Dort können Sie sich auch vom Weblogin abmelden. Wie bereits erwähnt, ist das Logout immer zweistufig. 6 2019-05-14
TYPO3 - Login und Zugriffsschutz 4 - Gruppenrechte festlegen Jede Seite und jedes Seiteninhaltselement hat einen Reiter Zugriff. Am Formularende finden Sie hier die Einstellungen für die Benutzergruppen. Abgesehen von den beiden Optionen "Nach Anmeldung verbergen" und "Anzeigen, wenn angemeldet", finden Sie hier Benutzergruppen, die Sie selbst angelegt haben, die Shibboleth-Standard-Gruppen und die Organisationseinheiten der Universität. Ausgewählte Gruppen werden mit "entweder-oder" verknüpft, das heißt, der User muss nur einer Gruppe zugeordnet sein, um die Inhalte sehen zu können. 4.1 - Standardgruppen Folgende Gruppen sind in Shibboleth vordefiniert: ● affiliate: Fremdpersonal, ● employee: Universitätspersonal (= faculty + staff) ● faculty: wissenschaftliches Personal ● member: alle Loginberechtigten (inklusive externe Accounts) ● staff: allgemeines Universitätspersonal ● student: Studierende ● zidstaff: ZID-MitarbeiterInnen Diese Gruppenzuordnung erfährt TYPO3 von Shibboleth. Wenn Sie am Weblogin einloggen, teilt dieses TYPO3 nicht nur Ihre UserID, sondern auch Ihre Gruppe(n) mit. 4.2 - Gruppen aus dem Personalverzeichnis Zusätzlich zu den Shibboleth-Standard-Gruppen importiert TYPO3 die Zuordnung aus dem Personalverzeichnis. Welche Personen in einer Gruppe enthalten sind, können 2019-05-14 7
TYPO3 - Login und Zugriffsschutz Sie am besten in u:find abfragen. Die Liste der MitarbeiterInnen einer Organisationseinheit stimmt mit den Gruppenmitgliedern in TYPO3 überein. Wenn Sie beispielsweise eine Seite für den Zentralen Informatikdienst sperren, können alle Personen, die in folgender Liste aufscheinen, darauf zugreifen: https://ufind.univie.ac.at/de/pvz_sub.html?id=140. 4.3 - Individuelle Gruppen Das Zusammenstellen individueller Gruppen ist mit einem gewissen Wartungsaufwand verbunden. Wie oben bereits gezeigt, können Sie bei den Zugriffsbeschränkungen auch mehrere Gruppen auswählen. Es ist also beispielsweise möglich, institutsübergreifende interne Bereiche einzurichten, indem Sie allen betroffenen Organisationseinheiten den Zugriff erlauben. Damit sollten Sie in den meisten Fällen das Auslangen finden. Nur wenn es unbedingt notwendig ist und die Anzahl der Gruppenmitglieder überschaubar ist, sollten Sie auf selbst zusammengestellte Gruppen zurückgreifen. Erstellen Sie dafür zuerst im Seitenbaum einen eigenen Ordner. Legen Sie in diesem Ordner einen Eintrag vom Typ "Website-Benutzergruppe" an, indem Sie ganz links das Modul Liste auswählen und anschließend im Arbeitsbereich oben auf den Button "Neuen Datensatz erstellen" klicken: Auf die gleiche Weise erstellen Sie anschließend Einträge vom Typ "Website- Benutzer". Wichtig ist, dass Sie die Benutzernamen korrekt ausfüllen. Die UserID der betroffenen Accounts muss Ihnen bekannt sein. Das Passwort ist hingegen unwichtig. Füllen Sie das Feld mit einer beliebigen Zeichenkombination aus. Es ist ein Pflichtfeld, wird aber beim Login nicht berücksichtigt. Vergessen Sie nicht, den Benutzer-Eintrag der eben erstellten Gruppe zuzuordnen, bevor Sie speichern. 8 2019-05-14
TYPO3 - Login und Zugriffsschutz Nachdem Sie auf diese Weise alle Gruppenmitglieder eingetragen haben, müssen Sie noch das Seiteninhaltselement mit dem Plug-In für die Shibboleth-Anmeldung bearbeiten. Wählen Sie dort unter dem Reiter Plug-In im Feld "Nur Benutzern aus diesem Ordner Login erlauben" den Ordner mit Ihrer Gruppe aus. Jetzt können Sie die neu erstellte Gruppe für die Zugriffsbeschränkung bei Ihren Seiten und Seiteninhaltselementen verwenden. Diese Gruppe wird den BenutzerInnen Ihrer Webseite nur dann zugewiesen, wenn Sie über das gerade bearbeitete Shibboleth- Plug-In eingeloggt haben und in Ihrem Ordner gelistet sind. 4.4 - Accounts für Externe Bei individuell zusammengestellten Gruppen können Sie auch externe Accounts verwenden. Informationen, wie Sie solche Accounts anlegen, finden Sie auf den ZID- Seiten unter: http://zid.univie.ac.at/services/fuer-externe/account-e-mail/uaccount-fuer-externe/. Welche Rolle Sie beim Anlegen auswählen, ist egal. Beachten Sie bitte, dass externe Accounts nur für den angegebenen Zeitraum gültig sind. Zusätzlich zu den von Ihnen erstellten Gruppen erhalten externe Accounts noch die Standardgruppe "member" zugewiesen. Sie könnten also auch ohne Auswahl einer individuellen Gruppe in Ihren internen Bereich einloggen, wenn Sie diesen für die Gruppe "member" freigeben. Dieser Bereich wäre dann für alle Personen zugängig, die einen gültigen Account besitzen, also auch für Studierende und das gesamte Universitätspersonal. 2019-05-14 9
TYPO3 - Login und Zugriffsschutz
5 - Interner Bereich
Bei den vielfältigen Abläufen eines Logins mit den verschiedenen Weiterleitungen
den Überblick zu bewahren, ist nicht einfach. Das folgende Praxisbeispiel ist ein
Vorschlag, wie ein interner Bereich strukturiert sein könnte, der nur für
MitarbeiterInnen einer einzelnen Organisationseinheit zugängig ist.
5.1 - Seitenstruktur für internen Bereich
Für den internen Bereich benötigen wir eine Startseite mit der Bezeichnung
"Interner Bereich", die geschützten Unterseiten mit den Inhalten und eine im Menü
verborgene Seite mit dem Login. Ihr Seitenbaum sollte in etwa so aussehen:
Geschützte Seiten erkennen Sie im Seitenbaum am kleinen blauen Männchen im
Symbol. Wenn Sie einen umfangreichen Seitenbaum schützen wollen, müssen Sie
nicht jede Seite einzeln schützen, es reicht, wenn Sie die oberste Seite einschränken
und das Häkchen neben "Auf Unterseiten ausdehen" anklicken:
Der Zugriffsschutz vererbt sich nicht automatisch! Unterseiten von
geschützten Seiten können weiterhin verlinkt und direkt angesprochen
werden. Ein Login ist für ihren Aufruf nicht nötig. Sicherheitshalber sollten Sie
bei geschützten Seiten immer das Häkchen "Auf Unterseiten ausdehnen"
anklicken.
10 2019-05-14TYPO3 - Login und Zugriffsschutz
5.2 - Login-Seite für internen Bereich
Auf der Login-Seite brauchen wir nur ein Inhaltselement mit dem Plug-In für die
Shibboleth-Anmeldung. Als Ziel für die Weiterleitung nach der Anmeldung wählen
wir die oberste geschützte Seite unseres internen Bereichs.
Die Login-Seite selbst ist im Menü verborgen, hat aber sonst keine
Zugriffseinschränkungen.
Das Login muss immer frei zugängig sein. Sie können eine Tür nur aufsperren,
wenn Sie Zugang zum Schloss haben. Auch die Einstellung "Nach Anmeldung
verbergen" sollten vermeiden, da sonst die Weiterleitung nicht funktioniert und
keine Abmeldemöglichkeit besteht.
5.3 - Startseite für internen Bereich
Auf die Startseite unseres internen Bereichs stellen wir jetzt Inhaltselemente, die
angezeigt werden, bevor man eingeloggt ist, und solche, die man erst nach dem
Login sieht. Wir verwenden dafür die Zugriffsbeschränkungen "Nach Anmeldung
verbergen" und "Anzeigen, wenn angemeldet". Wir wählen bewusst nicht unsere
Institutsgruppe, weil sich diese Inhalte auch an andere BesucherInnen wenden, die
auf unserer Seite einloggen.
Das Login erfolgt immer über das zentrale Weblogin der Universität. Man kann
daher nicht verhindern, dass sich auf diesem Weg auch Studierende oder
institutsfremde MitarbeiterInnen anmelden. Man kann nur verhindern, dass
diese Personen die geschützten Inhalte sehen.
Zunächst erstellen wir ein Inhaltselement vom Typ Text und Bilder. Der Text könnte
beispielsweise lauten: "Dieser Bereich steht nur MitarbeiterInnen unseres Instituts
2019-05-14 11TYPO3 - Login und Zugriffsschutz zur Verfügung. Klicken Sie auf folgenden Link, um sich über das Weblogin der Universität Wien anzumelden: Zum Weblogin." Den Text "Zum Weblogin" verlinken wir mit unserer eben erstellten Login-Seite. Unter "Zugriff" wählen wir für dieses Inhaltselement die Option "Nach Anmeldung verbergen" aus. Vor der Anmeldung müsste die Seite dann in etwa so aussehen: Danach erstellen wir einen weiteren Text mit folgendem Inhalt: "Sie haben sich über das Weblogin der Universität Wien angemeldet. Über das Menü auf der rechten Seite steht Ihnen der interne Bereich unserer Institutsseite zur Verfügung. Sollten Sie die entsprechenden Menüpunkte dort nicht finden, heißt das, dass Ihre UserID nicht unserem Institut zugeordnet ist." Wir setzen diesen Text auf "Anzeigen, wenn angemeldet". Zum Schluss erstellen wir auf der Startseite noch einmal eine Shibboleth-Anmeldung, die wir ebenfalls auf "Anzeigen, wenn angemeldet" setzen. Sie zeigt den Verbindungsstatus an und bietet eine Abmeldemöglichkeit. Nach erfolgtem Login würde die Seite dann so aussehen: Unser interner Bereich funktioniert jetzt folgendermaßen: Zuerst ist man noch nicht eingeloggt. Man klickt im Menü auf den Punkt "Interner Bereich". Der Infotext mit dem Link zum Weblogin wird angezeigt. Klickt man diesen, wird unsere Login-Seite aufgerufen. Da der Benutzer noch nicht eingeloggt ist, erfolgt die automatische Weiterleitung auf das Weblogin der Universität Wien. Nach erfolgtem Login landet man auf der ersten geschützten Unterseite. Die Startseite selbst zeigt Hinweise für institutsfremde Personen und eine Abmeldemöglichkeit an. 12 2019-05-14
TYPO3 - Login und Zugriffsschutz Selbstverständlich können Sie dieses Schema variieren. Sie können beispielsweise die Login-Seite im Menü belassen und in "Login/Logout" umbenennen. So brauchen Sie nur ein Inhaltselement vom Typ "Shibboleth-Anmeldung". Theoretisch können Sie diese Login-Logout-Funktion auch auf der Startseite selbst unterbringen, dann erfolgt beim Klick auf den Menüpunkt "Interner Bereich" sofort die Weiterleitung zum Weblogin. 5.4 - Dateien schützen Sollten Sie auf Ihren geschützten Seiten Dateien verlinken wollen, beachten Sie bitte, dass diese nicht automatisch den Zugriffsschutz der Seite übernehmen. Sie müssen die Dateien Ihres internen Bereichs in einem eigenen Ordner ablegen, den Sie ebenfalls nur für Ihre Gruppe(n) frei geben. Die Einstellungen für den Shibboleth-Schutz von Ordnern finden Sie im Modul "Dateiliste". Klicken Sie dort auf das Symbol vor einem Ordner. Es öffnet sich ein Kontextmenü. Der unterste Eintrag lautet "Shibboleth-Schutz". Über diesen Menüpunkt kommen Sie zur bekannten Gruppenauswahl, wo Sie Ihre Organisationseinheit auswählen können. Danach sind alle im Ordner enthaltenen Dateien nur noch über Login verfügbar. Selbst wenn jemand den direkten Link zu einer Datei kennt, kann er sie nur nach vorherigem Login öffnen. 2019-05-14 13
TYPO3 - Login und Zugriffsschutz
6 - Zeitlich begrenzter Zugriff
Unabhängig vom Login können Sie den Zugriff auch zeitabhängig steuern. Das gilt
nicht nur für Seiten und Inhaltselemente, sondern auch für Nachrichten-Artikel und
viele andere Datenbankeinträge. Fast jedes Element mit einem Reiter "Zugriff" hat
auch ein Veröffentlichungsdatum und ein Ablaufdatum:
Die Angaben können Sie dabei minutengenau vornehmen. Das einzige Problem ist
nur, diese Einstellungen allein haben keine Auswirkungen auf die Sichbarkeit Ihrer
Seite. TYPO3 hat ein umfangreiches Zwischenspeicherungssystem, den sogenannten
Cache. Wenn das Veröffentlichungsdatum für ihr Inhaltselement abgelaufen ist, wird
TYPO3 weiterhin die Seite aus dem Zwischenspeicher ausliefern, und in diesem
Zwischenspeicher ist ihr Inhaltselement noch enthalten.
Um die zeitabhängige Steuerung von Inhalten nutzen zu können, müssen Sie
den Cache vorübergehend deaktivieren.
6.1 - Cache deaktivieren
Der Aufbau von TYPO3-Seiten ist komplex und erfordert serverseitig eine hohe
Rechnerleistung. Um diese Aufgabe bewältigen zu können, werden die Seiten in
einem Zwischenspeicher, dem Cache, abgelegt und im Normalfall von dort
ausgeliefert. Ohne diesen Cache könnte TYPO3 nicht funktionieren.
Zumeist müssen Sie sich um das Leeren des Caches nicht kümmern. Wenn Sie ein
Inhaltselement ändern, wird die betreffende Seite aus dem Zwischenspeicher
gelöscht und beim nächsten Aufruf neu erzeugt. Nur wenn Sie Nachrichten-Artikel
oder andere Einträge bearbeiten, die in einem eigenen Ordner abgelegt sind, müssen
14 2019-05-14TYPO3 - Login und Zugriffsschutz
Sie den Cache der Seite händisch löschen.
Wollen Sie einzelne Elemente zeitgesteuert anzeigen lassen, reicht das händische
Löschen nicht aus, Sie müssen den Cache vorübergehend deaktivieren. Diese Option
finden Sie bei den Seiten-Eigenschaften unter dem Reiter "Verhalten":
Der Cache muss immer dann deaktiviert sein, wenn sich auf Ihrer Seite zeitgesteuert
etwas ändern soll. Möchten Sie beispielsweise einen Inhalt um Mitternacht
erscheinen oder verschwinden lassen, deaktivieren Sie den Cache am Vortag, bevor
Sie das Büro verlassen, und drehen ihn am nächsten Tag in der Früh wieder auf.
Vergessen Sie nicht, den Cache nach Vollzug der Zeitsteuerung wieder zu
aktivieren. Ohne Zwischenspeicherung belastet der Seitenaufbau den Server
unnötig!
Wichtig ist auch, dass Sie immer den Cache aller betroffenen Seiten vorübergehend
deaktivieren. Wird ein Seiteninhaltselement oder ein Nachrichten-Artikel
zeitabhängig frei geschaltet, reicht es, den Cache der Seite(n) zu deaktivieren, wo
das Element angezeigt wird. Sollen ganze Seiten zeitabhängig erscheinen (oder
verschwinden), müssen Sie nicht nur den Cache dieser Seiten, sondern auch den der
übergeordneten Seite deaktivieren. Diese enthält nämlich das betroffene Menü, in
dem die Seite aufscheinen soll, und ohne den Menüeintrag wird niemand den Weg
auf die automatisch (de)aktivierte Seite finden.
2019-05-14 15TYPO3 - Login und Zugriffsschutz 7 - TYPO3-Support Sollten über die Schulung und unsere Unterlagen hinaus Fragen auftauchen, steht Ihnen der TYPO3-Support der Universität Wien unter folgenden Kontaktdaten zur Verfügung: TYPO3-Service der Universität Wien Zentraler Informatikdienst Universitätsstraße 7 (NIG) Stiege I, 1. Stock 1010 Wien T: +43-1-4277-14 180 cms.zid@univie.ac.at Weitere Hinweise zu unserem Support-Angebot finden Sie am Ende der Einführungsunterlagen. 16 2019-05-14
Sie können auch lesen
