AnsweredAssumed Answered

Problema con usuarios, grupos y permisos

Question asked by softe on Apr 9, 2013
Buenas a todos,

Estamos empleando la versión Community 4.2.c y nos hemos encontrado con una serie de problemas.
Partimos de la base de tener una jerarquía de grupos en la que hay un grupo de Administradores. De él cuelgan las Delegaciones. Luego cada Delegación tiene sus Departamentos y cada Departamento tiene sus Áreas.

Partimos del hecho de que cada usuario perteneciente a un grupo SOLO puede publicar documentos del grupo al que pertenece hacia abajo. Es decir, un Administrador puede publicar para cualquier grupo pero un departamento solo lo puede hacer en sus áreas.

Ante este hecho tenemos varios problemas:

1) Al entrar en Share o en Alfresco, a la hora de buscar usuarios para asignar permisos, se ven todos. Nuestra idea es saber si es posible que se puedan ver solo los usuarios a los que realmente tendríamos acceso (por ejemplo, un usuario de un departamento solo debería ver los usuarios que pertenezcan a su departamento y a las áreas que dependen de él, pero no debería ver los usuarios de las delegaciones).

2) A raíz de lo anterior se nos plantea otro problema: si un usuario da un permiso a otro con un rol que permite alterar los permisos de ese documento, se puede dar el caso de que este segundo usuario asigne permisos a otro usuario que en teoría no debería ver el documento, lo cual nos parece peligroso. Por ejemplo: un administrador da permiso a un documento para un usuario que pertenece a un grupo de delegación, pero solo lo debe ver las delegaciones. Por su parte, este usuario de la delegación, coge y da permiso a un usuario de un área (pues los ve todos al buscarlos en el buscador) con lo cual se ha roto la seguridad buscada, pues una tercera persona tiene acceso a ese documento cuando no debería.
Esto puede ocurrir de forma deliberada pero también de forma accidental (supongamos un comercial que proporciona una oferta a clientes y resulta que se equivoca y da permisos a un cliente erróneo, lo cual puede generar problemas…).

3) Vemos que se puede asignar permisos a grupos completos, pero se nos plantea la necesidad de poder asignar permisos a todos los usuarios de un grupo menos a uno (una especie de denegar permiso). ¿Sería posible realizarlo? La solución que vemos a primera vista es ir usuario a usuario, pero nos parece inviable si el grupo contiene un número considerable de usuarios.

4) Otra duda es si es posible acumular permisos, es decir, supongamos que tenemos un grupo Áreas y dentro de cada uno de ellos podemos tener un grupo de Jefes. Entonces queremos que a cierta información solo accedan los usuarios que pertenezcan al grupo Área_1 y que a su vez estén dentro de Jefes. Entendemos que si hay una persona que pertenece al grupo Jefes, podrá acceder a esta información aunque no pertenezca al grupo Área. ¿Podría solucionarse haciendo que herede los permisos del espacio padre?

5) Cuando se realiza la búsqueda de un texto dentro de un espacio o de contenido, ¿se devuelven todos los elementos de Alfresco o solo a los que el usuario tiene permiso? En caso de que devuelva todos, volvemos a tener el problema de que un usuario puede tener acceso a algo para lo que no tenga permiso (aunque no lo pueda abrir, ya ve el documento o sabe de su existencia y no queremos que sea así).

Os estaremos muy agradecidos si nos podéis ayudar con cada uno de estos temas.

Muchas gracias.

Outcomes