FastComments.com

Menu Icon

Sprache 🇩🇪 Deutsch
🇺🇸 English 🇧🇬 Български 🇨🇳 简体中文 🇹🇼 繁體中文 🇭🇷 Hrvatski 🇩🇰 Dansk 🇳🇱 Nederlands 🇺🇸 English (US) 🇨🇦 Français (Canada) 🇫🇷 Français (France) 🇩🇪 Deutsch 🇨🇾 Ελληνικά (Κύπρος) 🇬🇷 Ελληνικά 🇮🇱 עברית 🇮🇹 Italiano 🇯🇵 日本語 🇰🇷 한국어 🇵🇱 Polski 🇧🇷 Português (Brasil) 🇷🇺 Русский 🇺🇦 Русский (Украина) 🇧🇦 Српски (БиХ) 🇷🇸 Srpski (Latinica) 🇲🇪 Српски (Црна Гора) 🇷🇸 Српски 🇸🇮 Slovenščina 🇪🇸 Español 🇺🇦 Українська 🇹🇷 Türkçe

Hintergrund

Was ist Zugriffskontrolle?
Wie es funktioniert

Implementierung

Die Spezifikation
Implementierung
Beispiel-API-Aufrufe

Was ist Zugriffskontrolle? Internal Link

Mit FastComments SSO Access Control, manchmal als RBAC bezeichnet, können Benutzer darauf beschränkt werden, nur auf bestimmte Seiten oder Kommentar-Threads zuzugreifen. Zusätzlich, können sich Benutzer nur gegenseitig @mention in derselben Gruppe.

Im Detail

Wir können Users und optional Pages in Gruppen einteilen.

Wenn Users in Gruppen eingeordnet werden und Limit Comments by SSO User Groups in den Widget-Einstellungen aktiviert ist, dann sehen Benutzer nur Kommentare von Benutzern in ihren eigenen Gruppen und können nur Benutzer in denselben Gruppen @mention.

Außerdem können Pages in Gruppen eingeordnet werden, und dann können Benutzer nur auf Kommentare von Seiten zugreifen, auf die sie Zugriff haben.

Wir nennen das "User-Level"-Gruppen im Gegensatz zu "Page-Level"-Gruppen.

Welche ist also die richtige für Sie?

Verwenden Sie User-Level-Gruppen, wenn...

  • Sie denselben urlId-Wert (Seiten-URL oder Artikel-ID) verwenden möchten, aber Kommentare nach Gruppe einschränken wollen.
  • Zum Beispiel möchten Sie Gruppen "New User" und "Veteran User" haben, und sie sollten niemals die Kommentare der jeweils anderen auf denselben Seiten sehen.

Verwenden Sie Page-Level-Gruppen, wenn...

  • Ihre Gruppen spezifische Seiten haben.
  • Zum Beispiel sollten Benutzer in der Gruppe "Public Pages" niemals Artikel der Gruppe "Top Secret" ansehen.

Wie es funktioniert Internal Link

FastComments Zugriffssteuerung funktioniert, indem Pages und Users den gewünschten Gruppen zugewiesen werden.

Eine Gruppe ist einfach ein String-Kennzeichen, wie GREEN oder abc-123.

Users und Pages sind nicht auf nur eine Gruppe beschränkt. Sie sind jeweils auf 100 bzw. 1000 Gruppen begrenzt.

Zugriff auf nicht autorisierte Seiten

Wenn ein Benutzer versucht, auf eine Seite zuzugreifen, auf die er keinen Zugriff hat, sieht er eine Fehlermeldung wie unten:

Beispiel für Autorisierungsfehler
Beispiel für Autorisierungsfehler

Der Meldungstext kann angepasst werden.

Die Spezifikation Internal Link

Die Definition, wie mehrere Benutzer interagieren, und deren Test ist kompliziert. Hier ist die folgende Spezifikation, der wir für die Zugriffskontrolle folgen, die Sie zum Testen Ihrer Implementierung verwenden können:

Seite mit null Gruppen-IDs, Benutzer mit null Gruppen-IDs - sollte Zugriff haben.
Seite mit null Gruppen-IDs, Benutzer mit Gruppen-IDs - sollte Zugriff haben.
Seite mit Gruppen-IDs, Benutzer mit null Gruppen-IDs - sollte Zugriff haben.
Seite mit Gruppen-IDs, Benutzer mit leerer Liste - sollte KEINEN Zugriff haben.
Seite mit Gruppen-IDs, Benutzer mit Gruppen-IDs - Schnittmenge vorhanden - sollte Zugriff haben.
Seite mit Gruppen-IDs, Benutzer mit Gruppen-IDs - Schnittmenge nicht vorhanden - sollte KEINEN Zugriff haben.
Seite mit leerer Liste von Gruppen-IDs (niemand hat Zugriff), Benutzer mit null - sollte KEINEN Zugriff haben.

SSO User A = Keine Gruppen-IDs definiert (null = voller Zugriff).
SSO User B = Keine Gruppen-IDs definiert (null = voller Zugriff).
A kann @B.

SSO User A = Keine Gruppen-IDs definiert (null = voller Zugriff).
SSO User B = Gruppen-IDs definiert.
A kann @B.

SSO User A = Gruppen-IDs definiert.
SSO User B = Keine Gruppen-IDs definiert (null = voller Zugriff).
A kann @B.

SSO User A = Gruppen-IDs = [a].
SSO User B = Gruppen-IDs = [b].
A kann NICHT @B.

SSO User A = Gruppen-IDs = [a].
SSO User B = Gruppen-IDs = [a, b].
A kann @B.

Implementierung Internal Link

Erwähnen von Benutzern in anderen Gruppen

Wenn zwei Benutzer zu zwei verschiedenen Gruppensätzen gehören und sich diese nicht überschneiden, können sie sich nicht gegenseitig @mention.

Wenn ein Benutzer manuell ein @mention eingibt und seinen Kommentar absendet, bleibt es als Klartext. Der andere Benutzer wird nicht markiert.

Verwaltung der Gruppen

Groups werden jeweils mit den API-Ressourcen Pages und SSOUsers definiert.

Die Pages API kann aufgerufen werden, um die Menge der Gruppen zu definieren, die Zugriff auf die Seite haben. Standardmäßig haben alle Gruppen und Benutzer, die keiner Gruppe angehören, Zugriff.

Ebenso kann die SSOUsers API aufgerufen werden, um die mit jedem Benutzer verknüpften Gruppen zu definieren.

Für beide Ressourcen gibt es keine Einschränkungen, wann die Gruppen gesetzt oder aktualisiert werden können.

Wenn es nur darum geht, zu verhindern, dass Benutzer sich gegenseitig mit @mention markieren, müssen die Pages nicht berücksichtigt werden.

Hinweis!

Das Definieren und Aktualisieren der SSO-Benutzergruppen erfordert nicht die Verwendung der API und kann stattdessen automatisch aktualisiert werden, indem die Gruppen-IDs im SSO-Payload definiert werden, der an das Kommentar-Widget übergeben wird. Bei großen Gruppenlisten wird dies jedoch nicht empfohlen, da der Benutzer dieses Payload bei jedem Seitenaufruf übermitteln müsste.

Beispiel-API-Aufrufe Internal Link

Hier führen wir Schritt für Schritt durch, wie man die FastComments API aufruft, um die Zugriffskontrolle einzurichten.

Bevor wir beginnen: Es ist nicht erforderlich, eine Group-Struktur explizit zu erstellen. Gruppen sind einfach Bezeichner added to Users and Pages. Adding a group to a user or page automatically "creates" the group.

Zuerst erstellen wir zwei Benutzer, User A und User B; wir beginnen damit, sie in Group X zu platzieren:

cURL-Beispiel: Benutzer A erstellen
Copy Copy
1
2curl --request POST \
3 --url 'https://fastcomments.com/api/v1/sso-users?tenantId=demo&API_KEY=DEMO_API_SECRET' \
4 --header 'Content-Type: application/json' \
5 --data '{
6 "id": "user-a",
7 "username": "User A",
8 "email": "usera@example.com",
9 "groupIds": ["GROUP-X"]
10}'
11
cURL-Beispiel: Benutzer B erstellen
Copy Copy
1
2curl --request POST \
3 --url 'https://fastcomments.com/api/v1/sso-users?tenantId=demo&API_KEY=DEMO_API_SECRET' \
4 --header 'Content-Type: application/json' \
5 --data '{
6 "id": "user-b",
7 "username": "User B",
8 "email": "userb@example.com",
9 "groupIds": ["GROUP-X"]
10}'
11

Erstellen wir nun eine Page. Wir nennen sie unsere Confidential Page; bisher hat keiner dieser Benutzer Zugriff darauf, da sie in der Gruppe CONFIDENTIAL sein wird:

cURL-Beispiel: Seite erstellen (POST)
Copy Copy
1
2curl --request POST \
3 --url 'https://fastcomments.com/api/v1/pages?tenantId=demo&API_KEY=DEMO_API_SECRET' \
4 --header 'Content-Type: application/json' \
5 --data '{
6 "title": "Confidential Page",
7 "url": "https://mysite.com/confidential",
8 "urlId": "https://mysite.com/confidential",
9 "accessibleByGroupIds": ["CONFIDENTIAL"]
10}'
11

Benutzer A und B haben derzeit KEINEN Zugriff auf die neue Seite. Da sie jedoch in derselben Gruppe GROUP-X sind, können sie sich gegenseitig @mentionen.

Aktualisieren wir User B, damit er jetzt Zugriff auf die Seite hat:

cURL-Beispiel: Benutzer B aktualisieren
Copy Copy
1
2curl --request POST \
3 --url 'https://fastcomments.com/api/v1/sso-users?tenantId=demo&API_KEY=DEMO_API_SECRET' \
4 --header 'Content-Type: application/json' \
5 --data '{
6 "groupIds": ["GROUP-X", "CONFIDENTIAL"]
7}'
8

User B gehört jetzt beiden Gruppen an. Unsere Benutzer können sich weiterhin gegenseitig @mentionen, aber nur User B kann unsere vertrauliche Seite ansehen.

Stellen wir es so ein, dass User B nur die vertrauliche Seite ansehen kann:

cURL-Beispiel: Benutzer B aktualisieren
Copy Copy
1
2curl --request POST \
3 --url 'https://fastcomments.com/api/v1/sso-users?tenantId=demo&API_KEY=DEMO_API_SECRET' \
4 --header 'Content-Type: application/json' \
5 --data '{
6 "groupIds": ["CONFIDENTIAL"]
7}'
8

Jetzt kann er die vertrauliche Seite ansehen, aber keiner unserer Benutzer kann sich gegenseitig @mentionen, da sie in unterschiedlichen Gruppen sind.

Jeder Benutzer, der nicht Teil der Zugriffskontrolle ist, kann jedoch auf unsere Seite zugreifen. Um dies zu verhindern, stellen Sie sicher, dass keinem SSO-Benutzer groupIds auf null gesetzt ist. Erstellen wir zum Beispiel User C, der Zugriff auf alles hat:

cURL-Beispiel: Benutzer C erstellen
Copy Copy
1
2curl --request POST \
3 --url 'https://fastcomments.com/api/v1/sso-users?tenantId=demo&API_KEY=DEMO_API_SECRET' \
4 --header 'Content-Type: application/json' \
5 --data '{
6 "id": "user-c",
7 "username": "User C",
8 "email": "userc@example.com",
9 "groupIds": null
10}'
11

Indem wir groupIds auf null setzen, geben wir an, dass sie nicht durch Zugriffskontrolle eingeschränkt sind.

Erstellen wir nun eine Seite, auf die jeder Zugriff hat:

cURL-Beispiel: Seite erstellen (POST)
Copy Copy
1
2curl --request POST \
3 --url 'https://fastcomments.com/api/v1/pages?tenantId=demo&API_KEY=DEMO_API_SECRET' \
4 --header 'Content-Type: application/json' \
5 --data '{
6 "title": "Public Page",
7 "url": "https://mysite.com/public",
8 "urlId": "https://mysite.com/public",
9 "accessibleByGroupIds": null
10}'
11

Indem wir accessibleByGroupIds auf null setzen, geben wir an, dass diese Page nicht über Zugriffskontrolle gesteuert wird, und beide Benutzer können darauf zugreifen.

Damit ist unsere API-Anleitung zur Zugriffskontrolle abgeschlossen.

Zu diesem Leitfaden beitragen