Webコンテンツストラクチャーとテンプレートへのアクセス許可の割り当て
ストラクチャーとWebコンテンツテンプレートは、LiferayのAPIへの直接アクセスを提供します。 Liferay DXP機能への不正または意図しないアクセスを回避するには、ストラクチャーとWebコンテンツテンプレートへの権限を設定する必要があります。
ベストプラクティスとして、ストラクチャーとWebコンテンツテンプレートにアクセスできる2つの異なるロールを定義します。
- コンテンツ開発者: このロールを持つユーザーには、ストラクチャーまたはWebコンテンツテンプレートを作成および編集する権限があります。
- コンテンツ制作者: このロールを持つユーザーは、ストラクチャーまたはWebコンテンツテンプレートを表示する権限を持っているため、それらを使用してコンテンツを作成できます。
ロールの作成方法については、 ロールの作成と管理 を参照してください。
ストラクチャーとWebコンテンツテンプレートへの権限を割り当てるときは、次の情報を考慮してください。
- ロールにLiferayDXPインスタンス全体のすべてのストラクチャーとWebコンテンツテンプレートに対するグローバルな権限が必要か、それとも特定のサイトに対する権限のみ必要なのかを決定します。
- 表示 権限では、ユーザーはストラクチャーまたはWebコンテンツテンプレートを表示することしかできません。
- 大半のユーザーは、ストラクチャーまたはWebコンテンツテンプレートを編集できないようにする必要があります。
Webコンテンツテンプレートのセキュリティに関する考慮事項
Webコンテンツテンプレートは、デフォルトでFreeMarkerテンプレート言語(FTL)を使用します。 FreeMarkerを使用してテンプレートを作成または編集する権限を持つユーザーは、DXPインスタンスで任意のコードを実行し、他のユーザーに関する情報を含む機密情報にアクセスできます。
important
FreeMarkerでテンプレートを作成または編集する権限は信頼できるユーザーにのみ付与してください。
テンプレートの作成を完全に無効にすることができます。 無効にすると、ユーザーはWebコンテンツテンプレートの作成オプションにアクセスできなくなります。 このアクションは、既存のテンプレートには影響しません。
- グローバルメニューの [コントロールパネル] タブを開きます。
- [設定] → [システム設定] → [コンテンツとデータ] → [動的データマッピング] に移動します。
- [動的データマッピング Web] をクリックします。
- [テンプレート作成を有効にする] のチェックを外します。
- [保存] をクリックします。
権限の割り当て
- [サイト管理者] → [コンテンツ & データ] → [Webコンテンツ] に移動します。
- [ストラクチャー] タブを選択してストラクチャーへの権限を設定するか、 [テンプレート] タブを選択してテンプレートへの権限を設定します。
- 権限を割り当てるWebコンテンツテンプレートに対して、 アクション ボタン(
)をクリックして、 [権限設定] を選択します。
- ロールに必要な権限を選択します。
- [保存] をクリックします。
.
権限の設定の詳細は、 ロール権限の定義 を参照してください。