Differences

This shows you the differences between two versions of the page.

--- cn:ccr:aai:howto:authz:alfresco [2019/05/15 10:38] – enrico@infn.it
+++ cn:ccr:aai:howto:authz:alfresco [2019/05/17 07:21] (current) – enrico@infn.it
@@ Line 1: / Line 1: @@
+====== Alfresco e Gruppi LDAP INFN-AAI ======
+La maggior parte dei servizi web erogati dai Servizi Nazionali della CCR (Alfresco, Calendario, ...) sono collegati al servizio LDAP di INFN-AAI e da questo ereditano la struttura dei Gruppi.
+I Gruppi LDAP sono la trasposizione degli alberi dei domini di GODiVA. Siccome il nome di un gruppo LDAP **deve** essere univoco, sì è scelto di costruirlo concatenando  gli identificativi numerici dei nodi degli alberi dei domini di GODiVA, che contengono le strutture dati **RuoloAnangrafica** relative alle identità digitali.
+Il nome del gruppo è quindi una sequenza di numeri per niente significativa per un umano, ma in ogni gruppo LDAP è presente l'attributo "description" che contiene la concatenazione dei rispettivi nomi dei nodi degli alberi dei domini di GODiVA.
+===== Grupp Logici e Gruppi LDAP =====
+Come per tutti i nodi degli alberi dei domini di GODiVA, anche per ognuno dei nodi dell'albero dei Gruppi Logici viene generato un gruppo LDAP (base ou=Groups,dc=infn,dc=it). Anche per questi gruppi LDAP il nome è costruito  concatenando gli identificativi numerici del nodo dell'albero "Gruppi" di GODiVA, l'attributo "description" contiene la concatenazione dei nomi dei nodi dell'albero ed i suoi membri possono essere sia altri gruppi LDAP che entry LDAP relative ad identità digitali.
+Ad esempio, nella sottostante figura sono visualizzati i valori numerici di "idTipo" ed "idNodo" che comporranno il nome del gruppo LDAP e la descrizione che è usata per l'attributo "description" insieme al path completo del nodo.
+{{:cn:ccr:aai:howto:authz:gruppo-logico-aai.png?400|gruppo-logico-aai}}
+A questo nodo dell'albero del dominio dei gruppi di GODiVA, corrisponde il gruppo LDAP
+<code>
+dn: cn=66_40,ou=Groups,dc=infn,dc=it
+cn: 66_40
+objectClass: top
+objectClass: groupOfNames
+description: Gruppi->Gruppi Logici INFN->Gruppo logico INFN-AAI
+member: cn=66_40_13_37220,ou=Groups,dc=infn,dc=it
+member: cn=66_40_13_37233,ou=Groups,dc=infn,dc=it
+</code>
+Che, come è immediato vedere, contiene altri gruppi come membri. Il primo è il gruppo che contiene le Identità Digitali che afferiscono in questo gruppo in qualità di "**member**" e che in  questo caso particolare è vuoto
+<code>
+dn: cn=66_40_13_37220,ou=Groups,dc=infn,dc=it
+cn: 66_40_13_37220
+objectClass: top
+objectClass: groupOfNames
+description: Gruppi->Gruppi Logici INFN->Gruppo logico INFN-AAI::Afferente al Gruppo:Member
+</code>
+mentre il secondo contiene le Identità Digitali che afferiscono a tale gruppo in qualità di "**owner**"
+<code>
+dn: cn=66_40_13_37233,ou=Groups,dc=infn,dc=it
+member: infnUUID=f8d35e28-2532-43c8-989c-3faa58f5cba4,ou=People,dc=infn,dc=it
+description: Gruppi->Gruppi Logici INFN->Gruppo logico INFN-AAI::Afferente al Gruppo:Owner
+objectClass: top
+objectClass: groupOfNames
+cn: 66_40_13_37233
+</code>
+===== Alfresco: assegnare privilegi ad un gruppo =====
+Alfresco permette di assegnare privilegi sia a singoli utenti che a membri di gruppi LDAP (che sono popolati con i membri dei corrispondenti gruppi GODiVA).
+Per assegnare i privilegi a membri di gruppi istituzionali, basta trovare il gruppo corrispondente. Ad esempio, per assegnare il privilegio di "**Consumer**" del sito AAI al presidente della Commissione Calcolo e Reti basterà selezionare il gruppo opportuno tra quelli ottenuti con la chiave di ricerca "***nomina:presidente***", come mostrato in figura:
+{{:cn:ccr:aai:howto:authz:ricerca-alfresco-1.png?400|ricerca-alfresco-1}}
+Alfresco esegue la ricerca sia all'interno degli attributi "**description**" che all'interno del nome del gruppo. Quindi se si conosce l'identificativo numerico è possibile indirizzare la ricerca in modi più efficiente.