Gestione degli utenti
Utenti admin
Gli account utente sono necessari per accedere al backoffice di Xperience. Dopo aver effettuato l'accesso, gli utenti possono lavorare con le funzionalità disponibili – gestire i contenuti del sito web, configurare il servizio di digital marketing e le funzionalità di protezione dei dati, progettare form.
Indice dei contenuti:
Account utente predefiniti
Il sistema contiene i seguenti account utente per impostazione predefinita:
- Administrator – l'account amministratore iniziale che può eseguire qualsiasi azione
- Public – rappresenta un visitatore anonimo. Presente nel sistema, ma non visibile o modificabile nelle interfacce di gestione degli utenti
Gestire gli utenti
Gli utenti sono classificati in due gruppi:
- Live site users – visitatori regolari che si registrano su un sito live gestito da Xperience
- Admin UI users – utenti che hanno accesso al backoffice e interagiscono direttamente con Xperience (ad esempio creatori di contenuti, amministratori, marketer)
Puoi invitare nuovi utenti ad accedere al backoffice e e gestire gli account utente tramite l'applicazione Users.
Seleziona New user per aggiungere un nuovo utente oppure seleziona un utente esistente nell'elenco per modificarne i dettagli.
L'elenco degli utenti consente anche di eseguire le seguenti azioni:
- Eliminare un account utente (icona: un cestino)
- Abilitare/Disabilitare un account utente. Lo stato dell'account è visibile nella colonna Status
- Reinviare l'email di invito. Disponibile solo per utenti con stato Invited o Invitation expired
Invitare utenti
Quando inviti nuovi utenti, devi inserire il loro indirizzo email e assegnargli un ruolo di sistema.
Gli utenti invitati ricevono un'email di notifica contenente un URL che permette loro di completare il processo di registrazione. Il contenuto e i metadati dell'email possono essere personalizzati per adattarsi meglio alla lingua e al tono desiderati.
Gli inviti agli utenti vengono inviati via email. L'applicazione deve avere un client email configurato (ad esempio un server SMTP o SendGrid) per l'invio di email di sistema.
Modificare gli utenti
Per modificare (edit) un utente, seleziona la riga corrispondente nell'elenco. Durante la modifica, puoi aggiornare le seguenti proprietà:
- User name – il nome utilizzato per l'accesso. Non può contenere spazi o caratteri speciali. Il nome utente deve essere univoco all'interno del sistema
- First, Last name – il nome e il cognome della persona che utilizza l'account
- Email – l'indirizzo email associato all'account
- Role – uno dei due ruoli di sistema predefiniti associati all'account
- Enabled – indica se l'account utente è attivo e permette l'accesso
Password utente
Le password sono una parte fondamentale di qualsiasi processo di autenticazione. Gli utenti devono impostare una password quando completano la registrazione nel sistema.
Policy delle password
Il sistema può essere configurato per applicare una policy delle password, il che significa che le nuove password inserite dagli utenti vengono convalidate in base a determinati requisiti. Le password che non soddisfano le condizioni specificate vengono rifiutate.
Questa policy viene applicata:
- Quando gli utenti invitati scelgono una password per il proprio account nella pagina di registrazione
- In tutte le sezioni del backoffice in cui è possibile inserire una nuova password. Di solito, questo avviene nella scheda Account → Password, accessibile selezionando l’icona dell’account nel backoffice
- Quando si reimpostano le password tramite l'opzione Forgotten password nella pagina di accesso al backoffice di Xperience
Per impostazione predefinita, Xperience richiede che le password rispettino i seguenti criteri:
- Almeno 8 caratteri
- Almeno una lettera maiuscola, una lettera minuscola, una cifra e un carattere non alfanumerico
Formato di archiviazione delle password
Il sistema memorizza le password degli utenti nel database in un formato crittografato, utilizzando lo standard di derivazione delle chiavi PBKDF2. Una funzione crittografica viene applicata all’input della password originale (insieme a un salt).
Modificare la password
Dopo aver effettuato l’accesso al backoffice, qualsiasi utente può modificare la password del proprio account. Non è possibile modificare le password di altri utenti.
- Seleziona il menu dell’account e apri la pagina Account
- Passa alla scheda Password
- Inserisci la password attuale e la nuova password
- Seleziona Save
D’ora in poi, dovrai usare la nuova password per accedere.
Reimpostare la password
Se gli editor o altri utenti del backoffice dimenticano la password, possono reimpostarla, a condizione di avere accesso all’indirizzo email associato al loro account. Per farlo, possono utilizzare il link Forgotten password nella pagina di accesso al backoffice.
La reimpostazione della password richiede un’approvazione via email da parte dell’utente interessato. Quando inviano una richiesta di reimpostazione della password, gli utenti devono inserire il proprio indirizzo email. La richiesta riguarda solo l’account utente associato a quell’indirizzo. Se l’indirizzo email inserito non corrisponde a nessun utente registrato, non verrà inviata alcuna email.
Il contenuto e i metadati dell’email di reimpostazione possono essere personalizzati per adattarsi meglio alla lingua e al tono desiderati.
I principali vantaggi in termini di sicurezza di questo approccio sono:
- Le password non sono incluse direttamente nell’email, quindi non possono essere lette da potenziali malintenzionati
- I link per la reimpostazione della password sono validi solo temporaneamente
- Dopo che un utente ha utilizzato un link di reimpostazione della password e ha completato la procedura, il link diventa non valido e non può essere riutilizzato
Il processo di reimpostazione della password utilizza le email. L’applicazione deve avere un client email configurato (ad esempio un server SMTP o SendGrid) per l’invio delle email di sistema.
Blocco dell'account
I malintenzionati possono tentare di compromettere gli account utente tramite attacchi brute force, ad esempio provando ripetutamente ad accedere con varianti comuni di password. Il backoffice di Xperience fornisce un meccanismo di blocco dell'account per proteggere da questi attacchi (oltre a funzionalità come l'autenticazione a più fattori).
Per impostazione predefinita, il sistema blocca gli account dopo 5 tentativi consecutivi di accesso non riusciti. L'autenticazione per l'account bloccato viene quindi impedita per 5 minuti.
La funzionalità di blocco dell'account può essere regolata dagli sviluppatori nel codice dell'applicazione.
Sbloccare gli account
Quando l'account di un utente viene bloccato, il sistema invia una notifica all'indirizzo email dell'utente stesso. Questa notifica contiene un link che gli consente di sbloccare immediatamente il proprio account.
I link per lo sblocco dell'account sono validi solo temporaneamente e diventano non validi dopo che l'account è stato sbloccato con successo.
Gli account vengono inoltre sbloccati automaticamente se un utente reimposta la propria password.
Glossario
Per avere una panoramica sui termini utilizzati, visita il Glossario.
Guide
Per approfondire con contenuti su misura, cerca tra le Guide.
Questa pagina ti è stata utile?
Hai trovato questa sezione della documentazione particolarmente d'aiuto? Faccelo sapere.
Mandaci un feedback