Contribución de: Connie Anderson, Escritora técnica, Laserfiche

Al configurar la seguridad en Laserfiche, cada repositorio será diferente y tendrá diferentes requisitos que considerar. Si no se tiene una planificación cuidadosa y actualizaciones regulares al crecer, su sistema puede volverse caótico e inseguro. Para evitar que esto ocurra, tenga en mente las siguientes recomendaciones cuando configure la seguridad en Laserfiche.

¿Cuentas de directorio o cuentas de repositorio?

Hay varias maneras en que los usuarios pueden ser autenticados en el sistema Laserfiche. Los administradores pueden usar cuentas de directorio existentes de Windows o LDAP, añadir cuentas de directorios Laserfiche mediante el Directory Sever de Laserfiche, o crear cuentas específicas de repositorio.

Los beneficios de las cuentas de dominio incluyen lo siguiente:

  • Si se ha creado una cuenta de Windows para un nuevo usuario en el dominio, esta cuenta se añadirá posteriormente y de forma automática a Laserfiche bajo el mismo grupo de Windows.
  • Si un usuario deja la organización, el administrador puede simplemente deshabilitar o eliminar la cuenta de dominio de esa persona. El usuario será eliminado automáticamente de Laserfiche.
  • Los usuarios pueden iniciar sesión en el repositorio automáticamente sin necesidad de recordar un nombre de usuario y contraseña diferentes.
  • Los usuarios con una cuenta de directorio pueden utilizar la misma licencia para acceder a cualquier repositorio en el sitio, cuando tienen suficientes derechos en Laserfiche.

Las cuentas de directorios se pueden añadir a grupos de Laserfiche o repositorio. Es posible que un usuario esté en más de un grupo al mismo tiempo, y que un grupo sea miembro de otro grupo. Puede utilizar esto para asignar varios conjuntos de derechos al mismo usuario. Por ejemplo, un gerente en el departamento de contabilidad podría ser un miembro del grupo “Gerentes”, que tiene acceso a asignar derechos y privilegios, y también ser un miembro del grupo “Contabilidad”, que tiene acceso a las carpetas del departamento de contabilidad.

Cuatro factores en la aplicación de los derechos de acceso

Los derechos de acceso de entrada determinan las operaciones que un usuario puede realizar en carpetas o documentos. Por ejemplo, los usuarios pueden leer las facturas, pero no editarlas ni eliminarlas.

Es una buena práctica asignar derechos de acceso a grupos y no a usuarios individuales. De esta manera, usted puede simplemente agregar usuarios a los grupos y automáticamente se les asignarán los derechos apropiados.

  1. Quién: Averigüe qué usuarios necesitan estar en qué grupo.
  • Clasifique a los usuarios en grupos:
    • Por departamento. Por ejemplo, los miembros del departamento de ventas tienen derechos diferentes a los miembros del departamento de contabilidad.
    • Por función. Por ejemplo, los administradores tienen derechos diferentes a los operadores de escáner.
  • Los usuarios pueden ser miembros de más de un grupo. En ese caso, la seguridad será calculada según los derechos asignados a todos los grupos pertinentes.

De esta manera, si se contrata a nuevo personal, solo es necesario agregarlos al grupo apropiado y automáticamente heredará la seguridad correcta.

  1. Qué y cuánto: Consideré el contenido al que el grupo necesita tener acceso y qué alcance de acceso.

Por ejemplo, los miembros del departamento de contabilidad necesitan crear, leer y modificar los estados financieros, pero otros departamentos no necesitan saber dónde están almacenados los estados financieros.

  • Si a un usuario no se le concede un derecho, pero tampoco se le niega ese derecho, no podrá realizar la acción; sin embargo, todavía pueden heredar la capacidad de realizar la acción de otro grupo.
  • Si a un usuario se le niega un derecho, ya sea al propio usuario o a través del grupo, esa denegación tendrá prioridad. Incluso si se les ha permitido ese derecho mediante un grupo diferente, aún no tendrán ese derecho.

En general, es una buena práctica simplemente no asignar un derecho si un usuario no puede hacer algo, en lugar de denegarlo. Las denegaciones explícitas deben utilizarse principalmente para los casos de excepción.

  1. Alcance: Aplique los derechos de acceso de entrada al nivel más amplio posible, al mismo tiempo que seguirá restringiendo el acceso de la manera en que usted necesite.
  • Utilice el alcance “Esta carpeta, subcarpetas y archivos” para garantizar o denegar fácilmente el acceso a secciones enteras de su estructura de carpetas. Después, restrinja el acceso según las carpetas a las que deseé que grupos particulares tengan la capacidad de acceder. Ejemplo: Si desea que todos tenga acceso a todo en la carpeta “Recursos humanos”, entonces asigne el alcance “Esta carpeta, subcarpetas y archivos”.

Security1

  • Si desea que tengan acceso a todo excepto a las carpetas y archivos en la carpeta “Información de revisión anual”, entonces asigne el alcance para que sea la carpeta “Recursos humanos” y carpetas inmediatas.

security2

  • Use el árbol de carpetas para organizar su seguridad, con ciertas secciones del árbol accesibles a ciertos grupos, y use el alcance para conceder sólo las secciones apropiadas a los grupos designados.
  • Cree estructuras con derechos restringidos en niveles más altos y derechos más permisivos en niveles más bajos del árbol de carpetas.
  1. Dónde: Simplifique la concesión de seguridad verificando que los documentos con necesidades de seguridad similares se almacenen en la misma carpeta. Recomendamos encarecidamente configurar la seguridad a nivel de carpeta en vez de a nivel de archivo. Esto ayuda a asegurar que su configuración de seguridad sea consistente, que nuevos archivos mantengan la seguridad apropiada de forma automática, y que cualquier problema de seguridad que pueda encontrar sea fácil de resolver.
  • Después de configurar la seguridad en una carpeta, asumiendo que usted ha considerado el alcance correctamente, los usuarios tendrán automáticamente los derechos apropiados a los archivos que residan en ella.

Privilegios

Los privilegios son derechos especiales de cuenta que otorgan la capacidad de realizar operaciones relacionadas con la administración de un repositorio Laserfiche. Los privilegios pueden ser divididos entre diferentes tipos de administradores.

Por ejemplo, se pueden conceder a un administrador de alto nivel privilegios de acceso de entrada y de gestión de metadatos, mientras que un administrador de departamento los tendrá para gestión de plantillas y campos y de gestión de sellos.

Algunos privilegios tienen repercusiones en todo el repositorio. Por ejemplo, un usuario con el privilegio de gestionar etiquetas puede conceder etiquetas de seguridad, y un usuario con el privilegio de acceso de entrada puede navegar por todo el repositorio. La regla número uno sobre los privilegios es: conozca lo que hace un privilegio antes de otorgarlo.

El grupo “Todos”

Dado que todos los usuarios siempre serán parte del grupo “Todos”, sólo debe darle un acceso de seguridad muy limitado.

Por defecto, a todos los miembros del grupo “Todos” se les asignan dos privilegios que confieren beneficios significativos en el rendimiento del sistema. Estos privilegios les permiten ignorar cierta configuración de seguridad:

  • Omitir las expresiones de filtros
  • Búsqueda de omisión

Si va a utilizar la función de seguridad avanzada con expresiones de filtrado de carpetas o restringiendo el derecho de exploración de ciertas carpetas, tendrá que retirar el privilegio correspondiente del grupo “Todos”. De lo contrario, se recomienda que deje estos privilegios como están.

Otras consideraciones de seguridad

Etiquetas de seguridad

Dado que es una buena práctica conceder derechos de acceso de entrada a carpetas particulares, no a archivos individuales, si desea controlar el acceso a archivos independientemente de dónde se encuentren en el árbol de carpetas, puede utilizar las etiquetas de seguridad. Una etiqueta de seguridad garantiza que sólo los usuarios a los que se les haya concedido dicha etiqueta podrán ver documentos que tengan esa etiqueta aplicada a ellos, independientemente de dónde se encuentre el archivo en el repositorio.

Utilice etiquetas de seguridad para archivos que:

  • Requieran un acceso más restringido que otros archivos en la misma carpeta.
  • Sean casos especiales o requieran un manejo especial.
  • Recorran muchas carpetas durante su ciclo de vida.

Las etiquetas de seguridad no serán heredadas por los archivos de una carpeta si se aplican a una carpeta. En general, las etiquetas de seguridad se deben aplicar sólo a los documentos, no a las carpetas.

Derechos de funcionalidad

Los derechos de características proporcionan a los administradores la capacidad de habilitar o deshabilitar ciertas funciones para los usuarios en todo el repositorio. Por ejemplo, el derecho de escaneo controla la capacidad del usuario para escanear documentos. Si no tienen la función de escaneo en una carpeta, no podrán escanear nuevos documentos en esa carpeta, incluso si tienen suficientes derechos de acceso de entrada para crear archivos en esa ubicación. Los derechos de características se utilizan mejor cuando se quiere simplificar la experiencia de un usuario desactivando funciones en todo el repositorio.

Derechos de acceso por volumen, campo y plantilla

Laserfiche le da la posibilidad de configurar el acceso a partes específicas de su repositorio, tales como los archivos de volumen, campos y plantillas. En general, estos derechos de acceso tienen valores por defecto razonables; si no tiene una razón para restringir el acceso a los documentos en función de su volumen, no necesita configurar la seguridad del volumen y puede utilizar los valores pre configurados. Sin embargo, son útiles para los casos de excepción. Por ejemplo, es posible que desee utilizar la seguridad para ocultar valores de campo sensibles, como los números de la seguridad social.

Interacciones de seguridad

Recuerde que un usuario necesita tener todos los derechos aplicables para realizar una tarea en particular. Por ejemplo, para abrir un documento y ver sus páginas, un usuario necesita una combinación de los derechos apropiados de acceso de entrada y de acceso de volumen.

Related Posts