Bezpieczeństwo i uprawnienia są ostatnimi czasy odmieniane przez wszystkie przypadki. Tutaj upubliczniona lista haseł, tam wykradzione numery kart kredytowych. Na pewno słyszałeś o takich przypadkach nie raz. SharePoint jak każdy system przechowujący dane, posiada swoje metody na ich zabezpieczanie. Dzisiaj opowiem Ci właśnie o modelu uprawnień, który zaimplementowano w SharePoint.
Podstawowe pojęcia
Zacznijmy od krótkiego słowniczka pojęć. Ułatwi Ci to śledzenie nagrania i zrozumienie jak działa cały mechanizm.
Użytkownik
Konkretna osoba lub (UWAGA!) grupa z Twojego Active Directory (lokalnego lub Azure), której chcesz udzielić uprawnień. Zasada jest prosta- unikaj nadawania uprawnień bezpośrednio do użytkownika. Zawsze korzystaj z grup SharePoint
Grupa SharePoint
Obiekt, który pozwala na dodawanie wielu użytkowników lub/i grup z Active Directory (patrz punkt wyżej). Podstawowy mechanizm, który pozwala na zachowanie względnego porządku na Twoim portalu. Podstawowym ograniczeniem grup w SharePoint jest brak możliwości zagnieżdżania typy grup. Pamiętaj, że wszystkie grupy przechowywane są na poziomie kolekcji witryny (nie pojedynczej witryny!). Każda z grup może mieć swojego właściciela. Właściciel może dodawać i usuwać osoby z grupy, nawet gdy nie ma bezpośrednio nadanych uprawnień do zarządzania grupami.
Uprawnienie
SharePoint rozróżnia 34 uprawnienia. Są podzielone na trzy kategorie (listy, witryna, osobiste). Niektóre uprawnienia są ze sobą powiązane (np. edycja elementu wymaga uprawnienia do jego czytania), inne są zupełnie niezależne. Pełną listę uprawnień znajdziesz tutaj.
Poziomy uprawnień
Przypisywanie za każdym razem różnych kombinacji 34 uprawnień nie byłoby zbyt efektywne. Zamiast tego w SharePoint zaimplementowano mechanizm tzw. poziomów uprawnień. To nic innego jak zapisany pod opisową nazwą zestaw uprawnień. Wiele osób używa ich z przekonaniem, że są to uprawnienia. Nic bardziej mylnego. Pamiętaj, że nazwa „Edycja” obok grupy wcale nie musi oznaczać takich uprawnień.
Dziedziczenie
Uprawnienia „spływają” w dół z poziomu kolekcji witryn, na witryny. Z nich na listy i biblioteki w nich zawarte, następnie na foldery i pojedyncze elementy. Mechanizm dziedziczenia można blokować i ustawiać wyjątki na dowolnym poziomie. Nie nadużywaj tej funkcji. Zarządzanie środowiskiem, w którym masz dużo poblokowanych uprawnień jest mocno utrudniony.
Właściciele kolekcji witryn
Na poziomie każdej kolekcji witryn, możesz definiować grupę jej właścicieli. To tacy „superużytkownicy”, którzy będą mieli dostęp do wszystkich zasobów kolekcji i nie muszą mieć jawnie nadawanych uprawnień.
Udostępnianie
W interfejsie SharePoint znajdziesz na każdym kroku przycisk Share / Udostępnij. Pozwala on na szybsze nadawanie uprawnień, ale jak to zwykle bywa, szybciej nie oznacza lepiej. Poświęć chwilę na przestudiowanie działania mechanizmu uprawnień w SharePoint i dopiero potem zacznij korzystać z tej funkcji. Powinno to uchronić Cię przed typowymi błędami (np. przydzielaniem uprawnień do użytkowników zamiast do grup).
Jak przypisywać uprawnienia
Algorytm pracy z uprawnieniami w SharePoint jest prosty. Wymaga jednak odpowiedniego zaplanowania i przemyślenia tematu. Zacznij od zdefiniowania ról użytkowników na twoim portalu. Powinieneś mieć ich policzalną ilość. Odpowiedz sobie na pytanie, kto ma dodawać, kto tylko czytać informacje zawarte na stronach. Czy chcesz pozwalać na usuwanie elementów ze stron? Czy posiadasz zasoby (czytaj: biblioteki, listy lub/i elementy na nich), które mają być udostępnione według innych zasad? Mając te informacje, na pewno bez trudu zdefiniujesz potrzebne na Twoim środowisku grupy. Każdej z nich przyporządkuj istniejący poziom uprawnień. Jeśli nie ma takiego, to stwórz nowy. Na koniec dodaj do tych grup SharePoint, grupy z Twojego Active Directory (lepsze rozwiązanie) lub użytkowników (gorsze rozwiązanie, ale wystarczające).
Triki i smaczki
Jak to zwykle bywa w SharePoint, także w uprawnieniach jest kilka drobnostek, o których warto pamiętać. Tworząc grupę zastanów się nad jej właścicielem i widocznością. Jeśli nie ma jasnych przeciwwskazań, ustaw ją tak, aby była widoczna przez wszystkich. Rozważ włączenie mechanizmu proszenia o dostęp do witryny. To fajny i skuteczny sposób na radzenie sobie z brakiem dostępu. Pamiętaj o tym, że SharePoint nie pozwoli Ci na jawne zabronienie dostępu do zasobów. Dlatego planuj, planuj i jeszcze raz planuj uprawnienia. Najlepiej zacznij od obejrzenia poniższego filmu.
Podsumowanie
Zarządzanie uprawnieniami w SharePoint wymaga cierpliwości i odpowiedniego zaplanowania. Konfigurując je, pamiętaj o:
- Rozpisaniu wszystkich wymaganych ról użytkowników. Zastanów się nad różnymi scenariuszami pracy Twoich użytkowników. Najprawdopodobniej dla każdego z nich będziesz potrzebował oddzielnej grupy.
- Wykorzystuj wbudowane poziomy uprawnień. W ostateczności twórz własne. Pamiętaj o możliwości ich kopiowania. To znakomicie przyspiesza prace.
- Nie przypisuj uprawnień do użytkowników i grup Active Directory. Wykorzystuj do tego grupy SharePoint. Na dłuższą metę tak jest wygodniej.
- Sprawdzaj, kontroluj i audytuj. Weryfikuj wynikowe uprawnienia użytkowników korzystając z mechanizmów dostępnych w SharePoint. Im więcej czasu poświęcisz na przygotowanie planu dla swojego modelu uprawnień, tym mniej czasu zajmować Ci będzie zarządzanie nim.
Witam,
bardzo fajny kurs i super że darmowy!!!
Mam następujący problem:
Jak podejść do zagadnienia biblioteki dokumentów w ramach której różni użytkownicy powinni mieć różny dostęp, np.: 3 pliki Excel do których użytkownik X powinien mieć dostęp i edytować, a użytkownicy A,B,C powinni mieć dostęp i edytować tylko pojedyncze pliki. Czy możliwe jest przypisanie uprawnień do kilkuset plików np w EXCEL i import do SharePoint ponieważ raz na jakiś czas konieczne jest ręczne nadanie uprawnień do wielu plików w ramach jednej listy?
Katalogi nie wiele dadzą, grupy chyba też nie, bo są osoby które mogą edytować wszystkie pliki, połowę, dziesięć albo jeden. Uprawnienia są te same, ale osoby różne do każdego pliku.
Michał
Cześć, temat trzeba dobrze przemyśleć, bo bałagan w uprawnieniach to pierwszy stopień do SharePointowego piekła. Odpowiadając wprost – nie można tak zrobić (import plików z uprawnieniami). Proponowałbym zastanowić się nad przygotowaniem dedykowanych bibliotek dla określonych grup użytkowników. Oczywiście powoduje to problem z ewentualną synchronizacją. Zamiast bibliotek można użyć folderów. Generalnie uprawnienia możesz ustawiać nawet na pojedynczych plikach, ale nie jest to idealne rozwiązanie ze względu na wydajność. Im więcej unikalnie zabezpieczonych danych (pliki / itemy na liście), tym wolniej ładują się widoki. Tu proponuję nie przesadzać. Reasumując: Jeśli masz policzalną i w miarę niezmienną liczbę ról użytkowników to przygotuj im odpowiednie foldery lub biblioteki i je odpowiednio zabezpiecz. Niech lokalizacja pliku decyduje o tym, kto i co może z nim robić. Pomyśl też ewentualnie o automatycznym zarządzaniu uprawnieniami (np. przez workflow, albo lepiej Power Automate)
dzięki za szybką odpowiedź