Access Control

WordPress wurde gemacht, um Inhalte im Internet zu veröffentlichen. Insofern sollten Sie immer überlegen, ob Sie Inhalte, welche Sie nur einem bestimmten Personenkreis zur Verfügung stellen möchten, nicht lieber auf einer anderen Plattform veröffentlichen.

Sollten Sie es dennoch für sinnvoll erachten, im Rahmen Ihres Webauftritts bestimmte Informationen beispielsweise nur den Mitarbeitern und/oder den Studierenden der FAU zur Verfügung zu stellen, können Sie von dem zu diesem Zweck entwickelten Access Control Plugin Gebrauch machen.

Auf dieser Seite

  1. Möglichkeiten der Zugriffsbeschränkung
  2. Access Control aktivieren
  3. Zugangsbedingungen verstehen
  4. Berechtigungen anlegen und bearbeiten
  5. Berechtigungen für einzelne Medien konfigurieren
  6. Berechtigungen für einzelne Seiten definieren
  7. Standardberechtigung für alle Seiten

Möglichkeiten der Zugriffsbeschränkung

  • Zugang nur, wenn auf WordPress angemeldet
  • Zugang nur, wenn über FAU WebSSO angemeldet
  • Zugang nur für bestimmte Rechneradressen
  • Zugang nur für bestimmte Domänen
  • Zugang nur für bestimmte Personen
  • Zugang mit einem festgelegten Passwort

Eine durch dieses Plugin erwirkte Zugriffsbeschränkung ist nur für Seiten und Mediendateien (Bilder, Grafiken, Dokumente) möglich. Beiträge bleiben frei zugänglich. Der Zugangsschutz kann über die nebenstehenden Optionen eingerichtet werden.

Access Control aktivieren

  1. Navigieren Sie im Dashboard zum Menüpunkt Plugins
  2. Suchen Sie das Access-Control PlugIn in der Liste und wählen Sie „aktivieren“.
  3. Navigieren Sie nun im Dashboard zum neuen Menüpunkt „Zugangsschutz“.

Zugangsbedingungen verstehen

Das Access-Plugin folgt der untenstehenden Logik, wobei das zuerst eintretende Ereignis auslöser für den Zugang ist:

  1. Das Angemeldet-Feld ist aktiviert: Dann hat die Person nur dann Zugriff, wenn sie Benutzer der Website ist und angemeldet ist
  2. Das SSO-Feld ist aktiviert: Die Person hat dann Zugriff, wenn sie eine aktive SSO-Sitzung hat.

    Hinweis: Diese Bedingung kann durch die 2.a. Bedingung ergänzt werden

    2a. Das SSO-Feld ist aktiviert und mindestens eines der Attributfelder (Personenzugehörigkeit, Personenberechtigung) ist nicht leer: Die Person hat dann Zugriff, wenn sie eine aktive SSO-Sitzung hat und ihr SSO-Profil mindestens einen Wert eines der Attribute enthält
  3. Das Domain-Feld enthält eine Domain oder eine Liste von Domains: Die Person hat dann Zugriff, wenn der Domainname des Clients (PC, Smartphone, etc.) in der Domainliste enthalten ist
  4. Das IP-Adressfeld enthält eine IP-Adresse oder eine Liste von IP-Adressen: Die Person hat dann Zugriff, wenn die IP-Adresse des Clients (PC, Smartphone, etc.) in der Liste der IP-Adressen enthalten ist
  5. Das Passwort-Feld enthält ein eingetragenes Passwort: Die Person hat dann Zugriff, wenn das Passwort bei Seitenaufruf eingegeben wurde. Das Passwort wird dann für eine Stunde als Cookie im Browser des Nutzers abgespeichert.

Wenn keine der oben genannten Bedingungen erfüllt ist, hat die Person keinen Zugriff.

IP-Adressfeld – Format der Eingabe

  • Einzelne IPv4-Adresse
    z.B. 127.0.0.1
  • Einzelne IPv6-Adresse
    z.B. ::1/128
  • IPv4-Block mit CIDR-Notation
    z.B. 192.168.0.0/22 stellt die IPv4-Adressen von 192.168.0.0 bis 192.168.3.255 dar
  • IPv6-Block mit CIDR-Notation
    z.B. 2001:DB8::/48 stellt die IPv6-Adressen von 2001:DB8:0:0:0:0:0:0 bis 2001:DB8:0:FFFF:FFFF:FFFF:FFFF:FFFF dar
  • Platzhalter
    z.B. 192.168.0.* bzw. 2001:DB8:::::: 

Berechtigungen anlegen und bearbeiten

Access Control Schaubild über Berechtigungen

Grundeinstellungen

In der Grundeinstellung finden Sie unter dem Bereich Berechtigungen die beiden folgenden Berechtigungsstufen:

  • all (kein Zugriffsschutz, alle Nutzer können die Seite aus dem Internet abrufen)
  • logged-in (angemeldete Benutzer; das ist hauptsächlich für Installationen notwendig, die nicht über die RRZE-CMS-Instanz laufen, da hier der Anmeldevorgang über WordPress läuft, nicht über IdM)

Die hier aufgelisteten Berechtigungen können auf den Seiten Ihres Webauftritts aktiviert werden, wodurch die in den Berechtigungen enthaltenen Zugangsbedingungen von den entsprechenden Seiten übernommen werden. Zusätzlich zu den in der Grundeinstellung enthaltenen Berechtigungsstufen können Sie eigene Berechtigungen hinzufügen. Beispielsweise ist für Intranet-Seiten oder Dokumente, die nur Angehörigen der FAU zugänglich gemacht werden sollen, die Berechtigung über Web-SSO empfehlenswert (das ist die Anmeldung über die IdM-Benutzerkennung).

Neue Berechtigungen hinzufügen

Klicken Sie im Bereich Berechtigungen auf den Button Neue Berechtigung hinzufügen. Hier haben Sie die unten aufgezeigten Möglichkeiten, um die Seiten Ihres Webauftritts mit Zugriffsberechtigungen zu versehen. Sie finden die von Ihnen hinzugefügten Berechtigungen im Berechtigungen Menü des Access Control Plugins.

Im Allgemeinen empfehlen wir die Nutzung der Zugangsberechtigung über SSO. Der Vorteil gegenüber der IP-Adresse liegt darin, dass so auch FAU-Angehörige auf das geschützte Dokument zugreifen können, welche beispielsweise Heimarbeit betreiben oder auf Dienstreise sind. Sie können aber auch den Zugriff auf eine bestimmte IP oder einen bestimmten IP-Bereich beschränken; hierfür kontaktieren Sie bitte den entsprechenden Administrator, der Ihnen sagen kann, über welchen IP-Bereich die Nutzer zugreifen, denen Sie eine Zugriffsberechtigung geben möchten. Sollten Sie Interesse an einer Zugriffsbeschränkung auf Domänen-Ebene haben, schreiben Sie uns bitte eine E-Mail an webmaster@fau.de. Wir beraten Sie zu dieser Option gerne.

Berechtigungen bearbeiten

Nach Erstellung einer neuen Berechtigung können Sie diese jederzeit bearbeiten, indem Sie mit der Maus über dem Namen der Berechtigung schweben und „Bearbeiten“ auswählen.

Zugriffsbeschränkungen auf Personen-Ebene

Sie können den Zugriff auf Personen basierend auf bestimmten Attributen beschränken, wenn diese sich über SSO anmelden. Wichtig: Die auf diesen Attributen basierende Zugriffsbeschränkung bezieht sich auf die Zugehörigkeit zu einer Gruppe von Personen. Zum Beispiel Personen, die Mitarbeiter sind und einer bestimmten Organisation

Berechtigungen für einzelne Medien konfigurieren

Schaubild Berechtigungen fuer medien definieren
  1. Navigieren Sie in ihrem Dashboard zu „Medien“ und wählen Sie anschließend eine
    Mediendatei aus Ihrer Mediathek aus.
  2. Scrollen Sie runter zu „Zugriffsbeschränkung“ und wählen Sie in der nun verfügbaren Liste eine der vorher angelegten Berechtigungen aus.
  3. Die Mediendatei ist nun entsprechend der Auswahl nur noch für die jeweiligen Benutzergruppen verfügbar.


Für alle anderen Seitenbesucher erscheint die Mediendatei als Platzhalterbild.

Berechtigungen für einzelne Seiten definieren

AccessControl Schaubild Berechtigungen für einzelne Seiten festlegen
  1. Öffnen Sie die gewünschte Seite, auf welcher eine Zugriffsbeschränkung eingerichtet werden soll, im Bearbeitungsmodus.
  2. Scrollen Sie in den Seiteneinstellungen rechts zum Abschnitt „Zugriffsbeschränkung“ und wählen Sie dort die zuvor festgelegte Berechtigung aus.
  3. Bestätigen Sie die soeben eingestellte Zugriffsberechtigung, indem Sie die Seite mit dem Button „Aktualisieren“ oder „Veröffentlichen“ klicken.
  4. Die gewählte Seite ist nun durch die gewählte Zugangsvoraussetzung geschützt.

Beschränkungen auf IP-Adressen oder Adressräumen führen dazu, dass die Seite dann nur von dort aus aufgerufen werden kann – der Rechner muss also unter einer entsprechenden IP angemeldet sein.


Standardberechtigung für alle Seiten

Schaubild für Access Control Standardberechtigung für alle Seiten
  1. Navigieren Sie in ihrem Dashboard zu „Zugriffsbeschränkungen“ > „Einstellungen.
  2. Wählen Sie nun eine Standardberechtigung aus der Dropdownliste.