La gestión de permisos en el gestor documental OpenProdoc

Publicado el 28 de noviembre de 2017 por Guillermo en ECM, Software libre

La necesidad de una gestión de permisos avanzada es una de las razones que conducen a una organización a implementar un software de gestión documental. No es para menos en un contexto en el que se valora cada vez más la seguridad de los documentos electrónicos. Hoy te contaré cómo resuelve la gestión de permisos OpenProdoc, un ECM que demuestra que las aplicaciones de gestión documental libres y de código abierto no proporcionan a los usuarios menos funciones ni son menos seguras que sus alternativas privativas.

Gestión documental y reglas de acceso

Establecer qué permisos de acceso tiene cada perfil de usuario en cada fase del ciclo vital de la documentación es una de las tareas fundamentales de cualquier sistema de gestión documental. Un modelo de gestión documental contempla tres permisos básicos:

1. Lectura: El usuario puede ver el contenido del archivo.
2. Edición: El usuario puede modificar el contenido del archivo.
3. Eliminación: El usuario puede borrar el archivo.

Aunque los sistemas operativos cuentan con herramientas nativas para asignar permisos, no ofrecen la granularidad demandada por la gestión documental. Los sistemas UNIX distinguen permisos de lectura, escritura y ejecución, pero no permiten asignar permisos a usuarios y grupos de usuarios específicos: solo pueden definir permisos para el usuario del archivo, el grupo propietario del archivo y el resto de grupos y usuarios del sistema en bloque. Los sistemas DOS son más limitados todavía, ya que sólo distinguen dos tipos de permisos (solo lectura y todos los demás).

Este problema se resuelve parcialmente mediante ACL (siglas en inglés de listas de control de acceso) como los que incorporan los sistemas Microsoft Windows NT y las que podemos instalar también en sistemas UNIX, que nos permiten aplicar reglas de acceso específicas para cada usuario o grupo de usuarios.

OpenProdoc no solo utiliza ACL para gestionar los permisos sobre los documentos, sino que ofrece la opción de definir todo el abanico de tareas que el usuario puede llevar a cabo en el sistema. Utiliza para ello una lista de roles donde cada rol está relacionado con una serie de permisos específicos, como pueden ser creación de usuarios, modificación y eliminación de usuarios, creación de roles, modificación y eliminación de roles, etc. OpenProdoc trabaja con 3 permisos básicos (read, update y delete), que se gestionan desde el ACL, y 22 permisos adicionales, que se gestionan desde la lista de roles. Esta granularidad hace posible aplicar reglas de acceso complejas como las que encontramos en las organizaciones, donde no sirve la lógica del “todo o nada” de la mayoría de sistemas, incluidas algunas aplicaciones vendidas como software de gestión documental.

OpenProdoc no es el único ECM libre y de código abierto en el que encontramos una combinación de ACL y roles, pero me parece que su modelo de permisos es más flexible que el de Alfresco y OpenKM.

La gestión de permisos en OpenProdoc

La gestión de permisos en OpenProdoc se apoya en cuatro pilares:

1. ACL.
2. Usuarios.
3. Grupos.
4. Roles.

Estos cuatro aspectos pueden ser parametrizados en las opciones correspondientes del menú de administración.

Todos los documentos y carpetas tienen un ACL asociado que determina los permisos de los usuarios y grupos de usuarios sobre el elemento en cuestión. Como he comentado más arriba, los permisos básicos en OpenProdoc son lectura, actualización y eliminación. Estos valores son aditivos, lo que significa que alguien con permisos para borrar un documento también podrá actualizarlo y leerlo, por ejemplo.

Cada usuario dispone de una contraseña que debe utilizar para autenticarse y acceder a la aplicación. Desde el panel de administración se puede establecer el nombre, la contraseña y el resto de datos del usuario.

OpenProdoc permite organizar los usuarios por grupos en base a criterios orgánicos, funcionales o de otro tipo. Estos grupos no deben ser confundidos con los roles: mientras que estos últimos sirven para determinar las tareas que los usuarios pueden llevar a cabo en el sistema, los grupos son una manera de ahorrar tiempo a la hora de realizar cambios en usuarios con idéntico perfil (por ejemplo, todos los trabajadores del departamento de Marketing).

Los roles complementan los permisos que los ACL otorgan a los usuarios. Dicho de otro modo, permiten afinar el modelo de seguridad del sistema de gestión documental. OpenProdoc contempla 22 permisos adicionales:

• AllowCreateUser: Permite crear un usuario pero no modificar los existentes.
• AllowCreateGroup: Permite crear un grupo pero no modificar los existentes.
• AllowMaintainGroup: Permite modificar y borrar los grupos.
• AllowCreateAcl: Permite crear un ACL pero no modificar los existentes.
• AllowMaintainAcl: Permite modificar y borrar los ACL.
• AllowCreateRole: Permite crear un rol pero no modificar los existentes.
• AllowMaintainRole: Permite modificar y borrar los roles.
• AllowCreateObject: Permite crear una definición de objeto pero no modificar los existentes.
• AllowMaintainObject: Permite modificar y borrar las definiciones de objetos.
• AllowCreateRepos: Permite crear un repositorio pero no modificar los existentes.
• AllowMaintainRepos: Permite modificar y borrar los repositorios.
• AllowCreateFolder: Permite crear una carpeta pero no modificar los existentes.
• AllowMaintainFolder: Permite modificar y borrar las carpetas.
• AllowCreateDoc: Permite crear un documento pero no modificar los existentes.
• AllowMaintainDoc: Permite modificar y borrar los documentos.
• AllowCreateMime: Permite crear un tipo mime pero no modificar los existentes.
• AllowMaintainMime: Permite modificar y borrar los tipos mime.
• AllowCreateAuth: Permite crear un sistema de autenticación pero no modificar los existentes.
• AllowMaintainAuth: Permite modificar y borrar los sistemas de autenticación.
• AllowCreateCustom: Permite crear una personalización usuario pero no modificar los existentes.
• AllowMaintainCustom: Permite modificar y borrar las personalizaciones.

Si quieres ampliar información sobre la gestión de permisos en OpenProdoc, te recomiendo que leas la ayuda online de esa aplicación. Espero que esta entrada te haya resultado interesante y, como de costumbre, te animo a compartir en la sección de comentarios tus dudas o sugerencias.