User Tools

Site Tools


cn:ccr:aai:howto:authz:alfresco

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
cn:ccr:aai:howto:authz:alfresco [2019/05/15 07:43]
enrico@infn.it
cn:ccr:aai:howto:authz:alfresco [2019/05/17 07:21] (current)
enrico@infn.it
Line 1: Line 1:
 +====== Alfresco e Gruppi LDAP INFN-AAI ======
  
 +La maggior parte dei servizi web erogati dai Servizi Nazionali della CCR (Alfresco, Calendario, ...) sono collegati al servizio LDAP di INFN-AAI e da questo ereditano la struttura dei Gruppi.
 +
 +I Gruppi LDAP sono la trasposizione degli alberi dei domini di GODiVA. Siccome il nome di un gruppo LDAP **deve** essere univoco, sì è scelto di costruirlo concatenando  gli identificativi numerici dei nodi degli alberi dei domini di GODiVA, che contengono le strutture dati **RuoloAnangrafica** relative alle identità digitali. 
 +
 +Il nome del gruppo è quindi una sequenza di numeri per niente significativa per un umano, ma in ogni gruppo LDAP è presente l'attributo "description" che contiene la concatenazione dei rispettivi nomi dei nodi degli alberi dei domini di GODiVA.
 +
 +===== Grupp Logici e Gruppi LDAP =====
 +
 +Come per tutti i nodi degli alberi dei domini di GODiVA, anche per ognuno dei nodi dell'albero dei Gruppi Logici viene generato un gruppo LDAP (base ou=Groups,dc=infn,dc=it). Anche per questi gruppi LDAP il nome è costruito  concatenando gli identificativi numerici del nodo dell'albero "Gruppi" di GODiVA, l'attributo "description" contiene la concatenazione dei nomi dei nodi dell'albero ed i suoi membri possono essere sia altri gruppi LDAP che entry LDAP relative ad identità digitali.
 +
 +Ad esempio, nella sottostante figura sono visualizzati i valori numerici di "idTipo" ed "idNodo" che comporranno il nome del gruppo LDAP e la descrizione che è usata per l'attributo "description" insieme al path completo del nodo.
 +
 +{{:cn:ccr:aai:howto:authz:gruppo-logico-aai.png?400|gruppo-logico-aai}}
 +
 +
 +A questo nodo dell'albero del dominio dei gruppi di GODiVA, corrisponde il gruppo LDAP
 +
 +<code>
 +dn: cn=66_40,ou=Groups,dc=infn,dc=it
 +cn: 66_40
 +objectClass: top
 +objectClass: groupOfNames
 +description: Gruppi->Gruppi Logici INFN->Gruppo logico INFN-AAI
 +member: cn=66_40_13_37220,ou=Groups,dc=infn,dc=it
 +member: cn=66_40_13_37233,ou=Groups,dc=infn,dc=it
 +</code>
 +
 +Che, come è immediato vedere, contiene altri gruppi come membri. Il primo è il gruppo che contiene le Identità Digitali che afferiscono in questo gruppo in qualità di "**member**" e che in  questo caso particolare è vuoto
 +
 +<code>
 +dn: cn=66_40_13_37220,ou=Groups,dc=infn,dc=it
 +cn: 66_40_13_37220
 +objectClass: top
 +objectClass: groupOfNames
 +description: Gruppi->Gruppi Logici INFN->Gruppo logico INFN-AAI::Afferente al Gruppo:Member
 +</code>
 +
 +mentre il secondo contiene le Identità Digitali che afferiscono a tale gruppo in qualità di "**owner**"
 +
 +<code>
 +dn: cn=66_40_13_37233,ou=Groups,dc=infn,dc=it
 +member: infnUUID=f8d35e28-2532-43c8-989c-3faa58f5cba4,ou=People,dc=infn,dc=it
 +description: Gruppi->Gruppi Logici INFN->Gruppo logico INFN-AAI::Afferente al Gruppo:Owner
 +objectClass: top
 +objectClass: groupOfNames
 +cn: 66_40_13_37233
 +</code>
 +
 +===== Alfresco: assegnare privilegi ad un gruppo =====
 +
 +Alfresco permette di assegnare privilegi sia a singoli utenti che a membri di gruppi LDAP (che sono popolati con i membri dei corrispondenti gruppi GODiVA).
 +
 +Per assegnare i privilegi a membri di gruppi istituzionali, basta trovare il gruppo corrispondente. Ad esempio, per assegnare il privilegio di "**Consumer**" del sito AAI al presidente della Commissione Calcolo e Reti basterà selezionare il gruppo opportuno tra quelli ottenuti con la chiave di ricerca "***nomina:presidente***", come mostrato in figura:
 +
 +{{:cn:ccr:aai:howto:authz:ricerca-alfresco-1.png?400|ricerca-alfresco-1}}
 +
 +Alfresco esegue la ricerca sia all'interno degli attributi "**description**" che all'interno del nome del gruppo. Quindi se si conosce l'identificativo numerico è possibile indirizzare la ricerca in modi più efficiente.