Difference between revisions of "Access Control List Tutorial/es"

El sistema ACL de Joomla puede ser pensado como dividido en dos sistemas completamente independientes. Uno de los sistema controla que cosas pueden ver los usuarios en el sitio. El otro controla que cosas pueden hacer los usuarios (que acciones puede tomar un usuario). La ACL para cada uno es diferente.

La configuración para controlar que pueden ver los usuarios se hace de la siguiente manera:

• Crea un conjunto de Niveles de Acceso de acuerdo a las Categorías y/o la combinación de categorías que desees y que sólo los usuarios registrados podrán ver. N.B. no asignes grupos de usuarios a los nuevos Niveles de Acceso en este momento.

• Crea un Grupo de usuarios, con 'Registrado' como los padre, para cada Nivel de Acceso. Utilizando los mismos nombres tanto para los Grupos de usuarios como los Niveles de Acceso para evitar confusiones en el futuro.

• Edita tus nuevos Niveles de Acceso y asigna el (nuevo) Grupo de usuarios que corresponda a cada uno de ellos. También puedes desear asignar el Grupo de Super Usuarios (y/o otros Grupos de Usuarios de forma predetermianda, pero no el Grupo de Usuarios 'Invitados') a todos los nuevos Niveles de Acceso

Cada vez que un usuario se acerca a ver un elemento en una página de Joomla!, el programa comprueba si el usuario tiene acceso al ítem, de la siguiente manera:

1. Crea una lista de todos los Niveles de Acceso a los que tiene acceso el Usuario, basado en todos los Grupos a los que pertenece el Usuario. También, si un grupo tiene un grupo padre, los niveles de acceso para el grupo padre también se incluyen a la lista.

1. Comprueba si el Nivel de Acceso para el em (artículo, módulo, elemento del menú, y así sucesivamente) está en la lista. Si esta, entonces el ítem se mostrará al usuario. Si no esta, entonces el elemento no se muestra.

El sistema de configuración sobre lo que los usuarios en un Grupo de usuarios pueden hacer (qué acciones se pueden tomar en un determinado punto) es configurado con los Permisos de la pestaña Configuración Global y la pestaña de Permisos de la pantalla de Opciones de cada componente. Los permisos también se pueden configurar en el nivel de Categoría de componentes principales y en el nivel de Artículo para los artículos.

• Si deseas que los usuarios conectados puedan Crear, Eliminar, Editar Estado o Editar sus Propia ítem, para Categorías específicas entonces:

• • Crea un Grupo de Usuarios con uno de los Grupos de Usuarios, que tiene Acceso a la Categoría (o Categorías), como Padre; este nuevo Grupo de Usuarios será el que vamos a modificar.

• • Asigna a tu nuevo Grupo de usuarios el Nivel de Acceso adecuado(s). A continuación, cambia los permisos necesarios a tu nuevo Grupo de Usuarios, ya sea a nivel global o por Categoría/Artículo.

• • • Esto se debe a que es más fácil elevar los permisos por Componente/Categoría/Artículo donde se necesitan permisos adicionales, que eliminar los permisos de los otros Componentes/Categorías/Artículos.

• • • • (ejemplo: Tienes 10 Categorías, pero deseas dar permiso Crear para 1 sola. Si estableces permisos Globales para Permitir Crear a un grupo tendrás que quitar el permiso Crear para todas las demás categorías. Y tendrás que quitar el permiso Crear del grupo para cualquier nueva Categoría que agregues a futuro.)

• • Sólo crea un Grupo de Usuarios con uno de los Grupos de Usuarios predeterminado como padre, si ninguno de ellos tiene los permisos exactos que necesitas y deseas para todas las Categorías

Ten en cuenta que esta configuración es independiente de la configuración para la visualización, pero es necesario asignar a un Grupo de Usuarios el(los) Nivel(es) de acceso adecuado(s) para que el usuario de ese Grupo para contar con esos Permisos.

Cuando un usuario quiere iniciar una acción específica sobre un ítem del componente (por ejemplo, editar un artículo), el sistema (después de comprobar que el Grupo del usuario tiene acceso) comprueba el permiso para esta combinación de usuario, ítem y acción. Si está permitido, el usuario puede proceder. De lo contrario, la acción no será permitida.

El resto de este tutorial explica cómo podemos controlar lo que los usuarios pueden hacer --que permisos de acción tienen.

El otro lado de la ACL es la concesión de permisos a los usuarios para tomar acciones sobre los objetos.

• Sin establecer: de forma predeterminada es "negar" pero, a diferencia del permiso Denegar, este permiso puede ser reemplazado por la configuración "Permitir" a un grupo hijo o de un nivel inferior en la jerarquía de permisos. Este permiso sólo se aplica a la Configuración Global de los permisos.

• Denegar: Niega esta acción para este nivel y grupo. IMPORTANTE: Esto también niega esta acción para todos los grupos hijos y todos los niveles inferiores en la jerarquía de permisos. Poner Permitir a un grupo hijo o de un nivel inferior no tendrá ningún efecto. La acción siempre será negado para cualquier miembro del grupo hijo y cualquier nivel inferior en la jerarquía de permisos.

1. Componente Opciones->Permisos': puede anular los permisos predeterminados para este componente (por ejemplo, Artículos, Menús, los Usuarios, Banners, etc).

1. Categoría: Puede anular los permisos predeterminados de los objetos en una o más categorías. Se aplica a todos los componentes con categorías, incluyendo Artículos, Banners, Contactos, fuentes de Noticias y Enlaces web.

Configuración Global

A la que se accede desde Sistema (Administrador) → Configuración Global → Permisos. Esta pantalla te permite establecer el nivel superior de permisos para cada grupo por cada acción, como se muestra en la siguiente captura de pantalla.

Componente: Opciones->Permisos

Categoría

Los permisos de Categorías tienen acceso en el Gestor de Categorías: A la pantalla Editar Categoría, se accede por un botón en la parte superior de la pantalla y luego en la pestaña Permisos. Esta pantalla tiene cinco permisos, como se muestra a continuación.

Ten en cuenta también que las Categorías pueden ser organizadas de forma jerárquica. Si es así, entonces los permisos a una acción en la categoría principal se heredan automáticamente por una categoría hija. Por ejemplo, si tenías unas categorías jerarquizadas Animales → Mascotas → Perros, entonces los niveles de permisos completos jerarquizados para un artículo en la categoría Perros sería como sigue:

• Configuración Global
  • Gestor de Artículos → Opciones → Permiso
    • Categoría Animales
      • Categoría Mascotas
        • Categoría Perros
          • Artículo específico

Los permisos para un solo artículo son accesibles desde el Gestor de artículos: A la pantalla Editar Artículo, se accede por un botón en la partes superior de la pantalla y luego en la pestaña Permisos. Esta pantalla tiene tres acciones, como se muestra a continuación.

Una vez que los Niveles de Acceso se crean, se utilizan de la misma manera como en la versión 1.5. A cada objeto del lado cliente se le asigna un Nivel de Acceso. Si el nivel es Público, cualquier persona puede tener acceso a ese objeto. De lo contrario, sólo los miembros de los grupos asignados a ese nivel de acceso puede tener acceso a ese objeto. Los niveles de acceso se asignan a los Ítems del Menú y a los Módulos. Cada uno sólo puede tener asignado un nivel de acceso.

La versión 3.x te permite definir tus propios Grupos. Al instalar la versión 3.x, se incluyen un conjunto predeterminado de grupos, que se muestran a continuación y son la base de grupos de usuarios predeterminados. (Otros grupos de usuarios predeterminados se instalan con los datos de ejemplo)

La versión 2.5 de Joomla! se instala con los mismos permisos del lado servidor, ya conocidos, como en la versión 1.5. Sin embargo, en 2.5, puedes fácilmente cambiar estos permisos para satisfacer las necesidades de tu sitio.

Como se discutió anteriormente, los permisos para cada acción se heredan desde el nivel superior en la jerarquía de permisos y de un grupo de padre del grupo. Vamos a ver cómo funciona esto. El nivel superior de esto es para toda la web. Esto se configura en Sitio->Configuración Global->Permisos, como se muestra a continuación.

La primera cosa a tener en cuenta son las diez Acciones: Inicio de Sesión en el Sitio, inicio de Sesión en el Administrador, Acceso sin conexión, Súper Usuario, Acceso a la Interfaz de Administración, Crear, Borrar, Editar, Editar Estado y Edición Propia. Estas son las acciones que puede realizar un usuario en un objeto en Joomla!. El significado específico de cada acción depende del contexto. Para la pantalla de Configuración Global, se definen como sigue:

Inicio de Sesión en el sitio

Inicio de Sesión en el lado cliente del sitio

Inicio de Sesión en el Administrador

Inicio Sesión en el lado servidor del sitio

Acceso sin conexión

inicio de Sesión para el Lado Cliente del sitio cuando el sitio web está fuera de línea (cuando en la Configuración Global el valor de "Sitio fuera de línea" está ajustado a Sí)

Súper Usuario

Otorga al usuario estado de "super usuario". Los usuarios con este permiso puede hacer cualquier cosa en el sitio. Sólo los usuarios con este permiso puede cambiar las opciones de Configuración Global (esta pantalla). Estos permisos no pueden ser restringidos. Es importante entender que, si un usuario es miembro del grupo Súper Administrador, cualquier otro permiso asignado a este usuario es irrelevante. El usuario puede realizar cualquier acción en el sitio. Sin embargo, los Niveles de Acceso todavía pueden ser asignado para controlar lo que este grupo puede ver en el sitio. (Obviamente, un usuario Súper Administrador puede cambiar los Niveles de Acceso si lo desea, por lo que los Niveles de Acceso no restringe totalmente lo que puede ver un usuario Súper Administrador).

Crear

Creación de nuevos objetos (por ejemplo, usuarios, ítems del menú, artículos, enlaces web, etc)

Cada Grupo en el sitio tiene su propio control deslizante que se abre haciendo clic en el nombre del grupo. En este caso (con los datos de ejemplo instalados), tenemos el estándar de 7 grupos que teníamos en la versión 1.5, además de dos grupos adicionales llamado "Proveedores de la Tienda" y "Grupo Clientes". Nota que nuestros grupos tienen establecidos los mismos permisos que los que tenían en la versión 1.5. Ten en cuenta que podemos cambiar cualquiera de estos permisos para lograr que la seguridad trabaje de la manera que queremos. Vamos a ir a través de esto para ver cómo funciona.

• • Esto puede ser un poco confuso. Básicamente, "No Establecido" es lo mismo que "Heredado". Porque Público es nuestro grupo de nivel superior y debido a que en la Configuración Global es el nivel superior en la jerarquía de componentes, no hay nada que heredar. Por lo que "No Establecido" se utiliza en lugar de "Heredar".

• • El valor predeterminado en este caso es que no hay permisos. Así que, como era de esperar, el grupo Público no tiene permisos especiales. También, es importante destacar que, dado que nada esta Negado todos estos permisos se puede reemplazar por los de grupos hijos o de niveles inferiores en la jerarquía de permisos.

• Gestor es un grupo 'hijo' del grupo Público. Tiene permisos Permitido para todo, excepto el de Acceso a Componentes y de Súper Administrador. Por lo que un miembro de este grupo puede hacer todo en la parte cliente y en la parte servidor del sitio, excepto el cambiar los Permisos Globales y las Opciones del Componente.

• Administrador los miembros del grupo heredan todos los permisos del grupo Gestor y también tienen Permitido el Acceso a los Componentes. Así que los miembros de este grupo de forma predeterminada puede acceder a las pantallas de Opciones para cada componente.

• Autor es un grupo hijo del grupo Registrado y hereda sus permisos y se le suman también Crear y Editar Propios. Ya que Autor, Editor y Supervisor (Publisher) no tienen permisos para acceder al lado servidor, vamos a discutir más adelante sobre ellos, cuando hablemos de los permisos del lado cliente.

• Súper Usuarios es un grupo que tiene los permisos Permitido para las acciones del Súper Administrador. Debido a esto, los miembros de este grupo tienen permisos de súper usuario en todo el sitio. Ellos son los únicos usuarios que pueden acceder y editar los valores de la pantalla Configuración Global. Los usuarios con permisos de acción de Súper Administrador tienen algunas características especiales:

• Si un usuario tiene permisos de Súper Administrador, no hay otros permisos para el usuario en cuestión. El usuario puede realizar cualquier acción en el sitio.

• Sólo los usuarios Súper Administrador pueden crear, editar, o eliminar otros usuarios o grupos Súper Administrador.

Hay dos puntos muy importantes a entender para esta pantalla. La primera es ver cómo los permisos pueden ser heredados de los padres del Grupo. El segundo es ver cómo puedes controlar los permisos predeterminados por Grupo y por Acción.

Esto proporciona una gran flexibilidad. Por ejemplo, si quieres que Proveedores de al Tienda sea capaz de tener la posibilidad de iniciar sesión en el lado servidor, sólo debes cambiar el valor de inicio de Sesión de Administración a "Permitido". Si lo que quieres es no permitir que los miembros del grupo Administrador pueda eliminar objetos o cambiar su estado, puedes cambiar sus permisos en estas columnas a Heredado (o Denegado).

Componente: Opciones y Permisos

Con sólo mirar a la panatalla Configuración Global de arriba, parecería que el grupo Administrador y el grupo Gestor tienen los mismos permisos. Sin embargo, en la versión 1.5 los Administradores pueden hacer de todo, excepto la Configuración Global, mientras que los Gestores no están autorizados a añadir usuarios o trabajar con los elementos de menú. Esto también es igual en el valor predeterminado de configuración de la versión 2.5. Vamos a ver cómo se logra esto.

Si navegamos a Usuarios->Gestor de usuarios y hacemos clic en el botón Opciones en la barra de herramientas, podemos ver la siguiente pantalla:

Primero, observa que el grupo Administrador tiene el permiso Permitido para la acción Administrador y el grupo Gestor tiene el permiso Denegado para esta acción. Recuerde que la acción Administrador en la pantalla de Configuración Global proporciona los permisos al grupo de "súper usuario". En esta pantalla, la acción del Administrador le permite editar los valores de las Opciones. Así, el grupo Administrador puede hacer esto, pero el grupo Gestor no puede.

Siguiente, observa que el Administrador hereda la acción Gestionar y el grupo Gestor tiene el permiso Denegado. En esta pantalla, la acción Gestionar le da a grupo de acceso de Usuario Gestor. Ya que el Administrador Permite la acción Gestionar de forma predeterminada, entonces heredar permisos aquí significa que heredan el permiso Permitido para la acción Gestionar. Desde el grupo Administrador hay que Denegar el permiso para la acción gestionar, los miembros del grupo Gestor no pueden tener acceso al Usuario Administrador y por lo tanto no puede hacer cualquiera de las otras acciones.

Si miras en las Opciones de los Menús->Gestor de Menús, verás la misma configuración predeterminada para el Usuario gestor. De nuevo, el grupo Administrador puede administrar y configurar los permisos predeterminados para los objetos del Gestor de Menús, mientras que el grupo Gestor no puede.

En resumen, podemos ver que los diferentes permisos para los grupos Administrador y Gestor se establecen mediante el formulario Opciones->Permisos en las pantallas del Gestor de Usuarios y Gestor del Menús.

También es importante entender que este mismo formulario de Opciones->Permisos para la configuración de permisos predeterminados está disponible para todos los objetos Joomla!, incluyendo el Gestor de Medios, Anuncios, Contactos, Fuentes de Noticias, Redirigir, Estadísticas de Búsqueda, Enlaces Web, Extensiones, Módulos, Plugins, Plantillas, e Idioma. Así que ahora tienes la opción de crear grupos de usuarios con conjuntos de permisos afinados para el lado servidor.

Permisos Lado Cliente

Los permisos predeterminados para el lado cliente también se establecen utilizando el formulario de Opciones. Veamos en Contenido->Gestor de artículos->Opciones->Permisos. En primer lugar, echemos un vistazo a los permisos del Gestor, como se muestra a continuación.

Todos estos grupos tienen los permisos heredado para Configurar y Acceder a Componentes. Recuerde que Autor es un hijo del grupo Registrado y Registrado no tiene ningún permiso excepto para el inicio de Sesión. O sea que Registrado no tiene permiso para Configurar y Acceder a Componente y ya que el permiso del Autor para estas acciones es "Heredado", entonces el Autor no tiene estos permisos. Este mismo permiso se pasa de Autor a Editor y de Editor a Supervisor(Publisher). Así que, de forma predeterminada, a ninguno de estos grupos se les permite trabajar con los artículos en el lado servidor.

Gestor de Artículos y Diagrama de Acciones

• Borrar permite eliminar artículos de la papelera. Ten en cuenta que el icono Eliminar se muestra en la barra de herramientas cuando el filtro "Seleccionar Estado" esta en "Movido a la papelera".

La versión 1.6 introdujo la capacidad de crear un Nivel de Acceso a Visualizaciones que es sólo para los invitados al sitio (es decir, un usuario que no ha iniciado sesión). El siguiente ejemplo muestra cómo se puede configurar esta nueva característica. (Nota: los pasos 1 a 3 no son necesarios en Joomla! 3.x ya que existen de forma predeterminada en la instalación)

1. Crea un nuevo grupo de usuarios llamado Invitado. Haz que sea hijo del grupo Público como se muestra a continuación.

1. Ve a Gestión de usuarios→Opciones→Componente y cambia en el Grupo Usuario Invitado el valor predeterminado de "Público" a "Invitado", como se muestra a continuación.

Ahora, si se asigna un ítem del menú, módulo u otro objeto al nivel de acceso Invitado, tendrán acceso sólo los usuarios no registrados. Por ejemplo, si queremos crear un nuevo ítem del menú con nivel de acceso Invitado, como se muestra a continuación,

este ítem del menú sólo será visible para los visitantes del sitio no conectados.

Si se requiere de otros grupos de usuarios como Autor, pueda acceder al nivel de acceso invitado, permitiría a los Autores ver los artículos en el lado cliente para su edición.

N. B. Inicio/Cierre de Sesión en el lado cliente (por cambios de datos en la sesión) para ver el cambio.

Esta doble herencia puede ser confusa, pero también puede ser útil. Vamos a considerar un ejemplo de la siguiente manera. Tenemos una escuela con una jerarquía de gruposː Maestros → Profesores de Historia → Asistente de los Profesores de Historia. También tenemos una jerarquía de categoríasː Tareas → Historial de Tareas. Queremos que los Profesores de Historia y Ayudantes de los Profesores de Historia tengan los siguientes permisos:

Este esquema ACL es muy fácil de implementar. El siguiente diagrama muestra cómo podrían ser establecidos para la Acción Crear.

Ejemplos de Permisos en Acciones ACL

Aquí hay algunos ejemplos de cómo puedes configurar las ACL para algunas situaciones específicas.

Lado Servidor, Administrador de Artículos

Problema:

Queremos crear un grupo llamado "Administrador de Artículos" con permisos del lado servidor sólo para los artículos y no para cualquier otra opción del menú del lado servidor. Los miembros de este grupo debe ser capaz de utilizar todas las características del gestor de artículos, incluyendo la configuración de permisos del artículo.

Solución:

1. En Usuarios → Niveles de Acceso, editar el nivel Acceso Especial para agregar el nuevo grupo. De esta forma se puede obtener acceso a los ítems del menú y módulos del lado servidor (Esto presupone que los módulos del menú de administración y los iconos tienen asignado el nivel Acceso Especial, que es el valor predeterminado.)

De forma predeterminada, a los ítems del menú y los módulos del lado servidor se le establecen el acceso Especial, así que si usted se olvida de agregar un nuevo grupo al nivel de acceso Especial, no verán todos los módulos o ítems de menú al iniciar la sesión como un usuario del nuevo grupo.

1. En Sitio(Administrador) → Configuración Global → Permisos, haz clic en el grupo Administrador de Artículos y cambiar los permisos a Permitido para las siguientes acciones: inicio de Sesión de Administrador, Crear, Borrar, Editar, Editar Estado, y Edición Propia. La pantalla de abajo muestra lo que se mostrará antes de pulsar Guardar.

Ten en cuenta que el permiso para el Acceso al Componente es Heredado, lo que se traduce en No Permitido. Esto es importante. Esto significa que este grupo sólo será capaz de acceder a los componentes si le damos el permiso "Permitido" al grupo para el Acceso al Componente. Tan sólo tenemos que cambiar el componente al que queremos darles acceso y no tenemos que cambiar la configuración de los componentes donde no queremos que tengan acceso. Si hemos tenido un caso en el que hemos querido dar a un grupo acceso a todo, excepto para uno de los componentes, se puede establecer el valor predeterminado a Permitido y, a continuación, establecemos como Denegar para el componente. También ten en cuenta que nosotros no damos permiso al grupo para Inicio de Sesión en el Sitio, por lo que los usuarios de este grupo no será capaz de iniciar sesión en el lado cliente. (Si queremos permitirlo, se debe cambiar el permiso a Permitido para el Inicio de Sesión en el Sitio.)

1. En Gestor de Artículos → Opciones → Permisos, cambiar los permisos a Permitido para este grupo, para la acción de Acceso al Componente, como se muestra a continuación.

Eso es todo lo que necesitas hacer. Los miembros de este grupo pueden acceder al lado servidor y hacer todo en el Gestor de artículos, pero no puede hacer nada más en el lado servidor. Por ejemplo, la pantalla de abajo muestra lo que un usuario en el Gestor de artículos verá al inicio de sesión del lado servidor.

Un concepto básico del uso de Niveles de Acceso es que todos los ítems con el mismo Acceso será visible para el mismo grupo de usuarios. En otras palabras, si dos ítems tienen el mismo Acceso, no se puede tener uno visible para un usuario y que no se pueda ver por otro usuario del mismo grupo. Por otro lado, es fácil tener un Grupo de vistas con cualquier número de ems con diferentes niveles de Acceso.

Del mismo modo, cada Grupo tiene exactamente la misma combinación de niveles de Acceso, pero un Usuario puede ser miembro de más de un grupo. Dependiendo de la situación, puede que desees tener sólo usuarios en un Grupo o puedes necesitar tener un Usuario en más de un Grupo.

En este ejemplo, los niveles de Acceso son jerárquicos, por ejemplo, al igual que los códigos de autorización de seguridad de un gobierno. Digamos, por ejemplo, tenemos los siguientes conjuntos de documentos clasificados: Clasificado, Secreto, y Muy Secreto. Los usuarios tienen sus códigos correspondiente a cada espacio. Los usuarios código Clasificado sólo puede ver los documentos Clasificados y no pueden ver Secreto o Muy Secreto. Los usuarios con código Secreto puede ver los documentos Clasificado y Secreto, pero no los Muy Secreto. Los usuarios con código Muy Secreto puede ver todos los documentos.

En este caso, todos los usuarios son exactamente de un grupo, pero algunos grupos tienen acceso a los ítems de más de un Nivel de Acceso. En otras palabras, tenemos una relación uno-a-uno entre los usuarios y los grupos, pero una relación uno-a-muchos entre los Grupos y Niveles de Acceso.

Otro posible caso de uso es un conjunto de equipos no jerárquicos. Supongamos que tenemos tres equipos, T1, T2 y T3. Algunos usuarios están en un sólo equipo, pero otros pueden estar en dos o más equipos. En este caso, podemos configurar nuestros Niveles de Acceso y Grupos por equipo. Los documentos para cada equipo tiene el nivel de acceso para ese equipo y el Grupo del equipo sólo tiene ese nivel de acceso. Cuando un Usuario se encuentra en más de un equipo, se agregan al grupo para cada equipo, de la siguiente manera:

En una situación real, podrías tener una combinación de estos dos modelos. Digamos, por ejemplo, tenemos los Gerentes y el Personal. El Personal sólo puede ver los documentos del Personal y los Gerentes pueden ver los documentos de los Gerentes y el Personal. Ambos tipos de usuarios pueden ser asignados a los equipos y en cuyo caso se puede ver todos los documentos de ese equipo. Además, decir que los Gerentes pueden acceder a algunos, pero no todos, los documentos del equipo. El Personal sólo puede tener acceso a documentos del equipo, si son miembros de ese equipo.

A continuación, los usuarios pueden ser asignados a los grupos de la siguiente manera: