Documentation

Webコンテンツストラクチャーとテンプレートへのアクセス許可の割り当て

ストラクチャーとWebコンテンツテンプレートは、LiferayのAPIへの直接アクセスを提供します。 Liferay DXP機能への不正または意図しないアクセスを回避するには、ストラクチャーとWebコンテンツテンプレートへの権限を設定する必要があります。

ベストプラクティスとして、ストラクチャーとWebコンテンツテンプレートにアクセスできる2つの異なるロールを定義します。

  • コンテンツ開発者: このロールを持つユーザーには、ストラクチャーまたはWebコンテンツテンプレートを作成および編集する権限があります。

  • コンテンツ制作者: このロールを持つユーザーは、ストラクチャーまたはWebコンテンツテンプレートを表示する権限を持っているため、それらを使用してコンテンツを作成できます。

ロールの作成方法については、 ロールの作成と管理 を参照してください。

ストラクチャーとWebコンテンツテンプレートへの権限を割り当てるときは、次の情報を考慮してください。

  • ロールにLiferayDXPインスタンス全体のすべてのストラクチャーとWebコンテンツテンプレートに対するグローバルな権限が必要か、それとも特定のサイトに対する権限のみ必要なのかを決定します。

  • 表示 権限では、ユーザーはストラクチャーまたはWebコンテンツテンプレートを表示することしかできません。

  • 大半のユーザーは、ストラクチャーまたはWebコンテンツテンプレートを編集できないようにする必要があります。

Webコンテンツテンプレートのセキュリティに関する考慮事項

Webコンテンツテンプレートは、デフォルトでFreeMarkerテンプレート言語(FTL)を使用します。 FreeMarkerを使用してテンプレートを作成または編集する権限を持つユーザーは、DXPインスタンスで任意のコードを実行し、他のユーザーに関する情報を含む機密情報にアクセスできます。

重要

FreeMarkerでテンプレートを作成または編集する権限は信頼できるユーザーにのみ付与してください。

テンプレートの作成を完全に無効にすることができます。 無効にすると、ユーザーはWebコンテンツテンプレートの作成オプションにアクセスできなくなります。 このアクションは、既存のテンプレートには影響しません。

  1. グローバルメニューの [コントロールパネル] タブを開きます。

  2. [設定] → [システム設定] → [コンテンツとデータ] → [動的データマッピング] に移動します。

  3. [動的データマッピング Web] をクリックします。

  4. [テンプレート作成を有効にする] のチェックを外します。

  5. 保存] をクリックします。

権限の割り当て

  1. サイト管理者] → [コンテンツ & データ] → [Webコンテンツ] に移動します。

  2. ストラクチャー] タブを選択してストラクチャーへの権限を設定するか、 [テンプレート] タブを選択してテンプレートへの権限を設定します。

  3. 権限を割り当てるWebコンテンツテンプレートに対して、 アクション ボタン(Actions)をクリックして、 [権限設定] を選択します。

  4. ロールに必要な権限を選択します。

  5. 保存] をクリックします。

Webコンテンツストラクチャーとテンプレートの権限設定ダイアログ.

権限の設定の詳細は、 ロール権限の定義 を参照してください。