jueves, 9 de enero de 2014

Planificando la seguridad dentro de las colecciones de sitios en SharePoint

En este artículo vamos a ver nivel de colección de sitios la estrategia de seguridad ya que es el contenedor lógico de contenido limítrofe o fronterizo para definir los permisos del contenido.  Esto quiere decir que cada colección de sitios no comparte con otras colecciones de sitios sus grupos, usuarios, permisos y contenido.

Los grupos definidos dentro de la misma colección de sitios si es compartida entre todos los sub-sitios, bibliotecas, listas y elementos.

La seguridad de SharePoint a nivel de colección de sitios no ha cambiado desde la versión 2007 y sigue vigente hasta SharePoint Online.   El Heredar los permisos en los niveles inferiores y el “romper” el vínculo de esta herencia (de permisos) siguen vigente en todas las versiones arriba mencionadas.

Abajo podemos ver un árbol de contenido de SharePoint que muestra desde la granja o conjunto de servidores, los servidores y sus roles, las aplicaciones Web, las bases de datos y dentro de cada base de datos por lo menos una o más colecciones de sitios.  Dentro de cada colección de sitios podemos encontrar sitios web o sub-sitios y dentro de ellos listas (o bibliotecas), dentro de cada lista, carpetas, dentro de cada carpeta elementos que pueden ser documentos, archivos, imágenes. Hasta a nivel de elemento puede definirse el permiso a un usuario o grupo de usuarios.

ContainerHierarchy

Una imagen habla mejor que mil palabras abajo un diagrama que muestra el plan de implementación de permisos dentro de una colección de sitios.  Los permisos deben de definirse de forma de un embudo o símbolo de filtro donde la parte más amplia es donde el contenido más público o de conocimiento general debe de ser expuesto y a medida que vamos definiendo los sub-sitios se va restringiendo el acceso a los usuarios.  La única forma para restringirlos los permisos ya que deforma predeterminada se heredan es rompiendo la herencia  en los niveles inferiores de ese modo nos garantizamos que un usuario puede navegar hasta el punto en el cual tiene acceso a colaborar o compartir información.

image

En el ejemplo de arriba podemos apreciar que el punto de entrada de una amplia cantidad de usuarios se ubica en la parte superior del portal es decir http://hostname y a medida que va descendiendo si es interrumpida la herencia hay posibilidad de disminuir la amplitud o el número de usuarios que tienen acceso a los recursos inferiores como sub-sitios.  Para explicar a detalle podemos decir que una amplia cantidad de usuarios tienen acceso a http://hostname y los sub-sitios subweb2 y subweb3 no así para el sub-sitio subweb1 que tiene interrumpida la herencia y que para el caso del sub-sitio subweb101 hereda la misma herencia del sitio superior subweb1 pero no así de la raíz http://hostname/ que es donde la mayoría de usuarios tienen acceso. El otro caso definido en la imagen de arriba es el sub-sitio subweb301 que se ha interrumpido la herencia de permisos y no contiene todos los permisos que su sitio superior hereda del sitio raíz.

La otra recomendación a tomar en cuenta al momento de definir los permisos en SharePoint es que a pesar que los permisos se pueden definir a nivel de usuarios no es una buena práctica sino por el contrario crear los grupos de SharePoint, adicionar los usuarios que pertenecen al grupo y luego asignar los grupos a los recursos de SharePoint.  Abajo una imagen donde se muestra los recursos a los cuales se le puede aplicar los permisos.

Y luego si la administración de la seguridad organizacionalmente se maneja a nivel de directorio activo se pueden definir grupos del AD y asignarlos a los grupos de SharePoint de tal forma que los usuarios se adicionen a nivel de AD y no de SharePoint, pero esto dependerá de las políticas de seguridad para el portal y la organización.  Abajo una imagen de ejemplifica esto.  Si decidimos administrar el Directorio Activo deberemos ir nos por la opción de crear los grupos en el AD y asociarlos a los grupos de SharePoint.  Si decidimos administrar directamente los usuarios desde SharePoint se aplicarán estos directamente a los grupos de SharePoint.

image

El procedimiento recomendado para asignar permisos en SharePoint es el siguiente:

1) Crea un Grupo en SharePoint desde People and Groups

image

2) Agregar los usuarios que pertenecen al grupo

image

3) Asignar el permisos algún recurso de SharePoint (Sitio, Lista/Biblioteca, Carpeta, Elemento) .  Para ello es necesario dejar de heredar los permisos y asignar el grupo creado. 

image

Selecciona la opción Conceder Permisos y aplicar el grupo creado

image

En resumen vimos la visión de como debemos de implementar la seguridad en una Colección de Sitios en SharePoint y la mejor practica para realizarlo.  Y a pesar que los imágenes de SharePoint pertenecen a la versión Online este aplica para 2013, 2010 y 2007.

Hasta la próxima,

Juan Manuel Herrera

No hay comentarios.: