Webコンテンツストラクチャーとテンプレートへのアクセス許可の割り当て¶
ストラクチャーとWebコンテンツテンプレートは、LiferayのAPIへの直接アクセスを提供します。 Liferay DXP機能への不正または意図しないアクセスを回避するには、ストラクチャーとWebコンテンツテンプレートへの権限を設定する必要があります。
ベストプラクティスとして、ストラクチャーとWebコンテンツテンプレートにアクセスできる2つの異なるロールを定義します。
コンテンツ開発者: このロールを持つユーザーには、ストラクチャーまたはWebコンテンツテンプレートを作成および編集する権限があります。
コンテンツ制作者: このロールを持つユーザーは、ストラクチャーまたはWebコンテンツテンプレートを表示する権限を持っているため、それらを使用してコンテンツを作成できます。
ロールの作成方法については、 ロールの作成と管理 を参照してください。
ストラクチャーとWebコンテンツテンプレートへの権限を割り当てるときは、次の情報を考慮してください。
ロールにLiferayDXPインスタンス全体のすべてのストラクチャーとWebコンテンツテンプレートに対するグローバルな権限が必要か、それとも特定のサイトに対する権限のみ必要なのかを決定します。
表示 権限では、ユーザーはストラクチャーまたはWebコンテンツテンプレートを表示することしかできません。
大半のユーザーは、ストラクチャーまたはWebコンテンツテンプレートを編集できないようにする必要があります。
Webコンテンツテンプレートのセキュリティに関する考慮事項¶
Webコンテンツテンプレートは、デフォルトでFreeMarkerテンプレート言語(FTL)を使用します。 FreeMarkerを使用してテンプレートを作成または編集する権限を持つユーザーは、DXPインスタンスで任意のコードを実行し、他のユーザーに関する情報を含む機密情報にアクセスできます。
重要
FreeMarkerでテンプレートを作成または編集する権限は信頼できるユーザーにのみ付与してください。
テンプレートの作成を完全に無効にすることができます。 無効にすると、ユーザーはWebコンテンツテンプレートの作成オプションにアクセスできなくなります。 このアクションは、既存のテンプレートには影響しません。
グローバルメニューの [コントロールパネル] タブを開きます。
[設定] → [システム設定] → [コンテンツとデータ] → [動的データマッピング] に移動します。
[動的データマッピング Web] をクリックします。
[テンプレート作成を有効にする] のチェックを外します。
[保存] をクリックします。
権限の割り当て¶
[サイト管理者] → [コンテンツ & データ] → [Webコンテンツ] に移動します。
[ストラクチャー] タブを選択してストラクチャーへの権限を設定するか、 [テンプレート] タブを選択してテンプレートへの権限を設定します。
権限を割り当てるWebコンテンツテンプレートに対して、 アクション ボタン(
)をクリックして、 [権限設定] を選択します。
ロールに必要な権限を選択します。
[保存] をクリックします。
.
権限の設定の詳細は、 ロール権限の定義 を参照してください。