be_acl para TYPO3

Cuando más de tres redactores trabajan, los permisos estándar de TYPO3 ya no son suficientes

TYPO3 trae un sistema de permisos: grupos de backend, accesos a páginas, derechos sobre tablas. Para equipos pequeños con un puñado de redactores funciona. Pero cuando un sitio web corporativo es mantenido por 15 redactores de 4 departamentos, el sistema estándar alcanza sus límites. be_acl amplía TYPO3 con Access Control Lists granulares que regulan quién puede ver, editar o eliminar qué contenidos en qué página, hasta el nivel de campo.

La extensión no es un complemento opcional, sino un requisito previo para cualquier configuración multi-redacción con más de una zona de responsabilidad. Sin be_acl, los conceptos de permisos en TYPO3 terminan regularmente en una maraña de docenas de grupos que nadie puede supervisar.

Escenarios de uso habituales

Sitios web corporativos con responsabilidad departamental. Marketing mantiene la página de inicio y las páginas de campañas, RRHH la página de empleo, los departamentos especializados sus páginas de producto. Cada departamento debe ver y editar solo sus propias páginas. El sistema estándar de TYPO3 permite accesos a páginas mediante Mount Points y derechos de grupo, pero la configuración se vuelve inmanejable con más de 10 departamentos. be_acl simplifica esto mediante ACLs basadas en páginas: en cada página del árbol de páginas se puede definir directamente qué grupo tiene qué derechos.

Instalaciones TYPO3 multi-tenant. Agencias y corporaciones operan múltiples sitios web en una sola instancia TYPO3. El mandante A no debe ver al mandante B, ni siquiera en el árbol de páginas. be_acl implementa esta separación sin necesidad de operar una instalación TYPO3 separada para cada mandante. En una agencia con 12 mandantes en una instancia TYPO3, be_acl redujo el tiempo de administración de permisos en aproximadamente un 60%.

Flujos de aprobación con profundidad de edición limitada. Proveedores externos o becarios deben editar textos de contenido, pero no subir imágenes, ni mover páginas, ni configurar plugins. be_acl permite derechos a nivel de campo: el usuario ve el campo de texto, pero no los ajustes de diseño ni la configuración del plugin.

Arquitectura técnica

be_acl amplía el sistema de permisos del backend de TYPO3 con una capa ACL que se sitúa entre el sistema de derechos del Core y la interacción del usuario. La extensión almacena reglas de permisos en la tabla tx_beacl_acl, que define por página y por grupo qué operaciones están permitidas.

El sistema trabaja con tres niveles de derechos: lectura (show), edición (edit) y eliminación (delete). Estos derechos se asignan por página o recursivamente para un subárbol de páginas. La configuración se realiza a través de una pestaña propia en el diálogo de propiedades de página: allí el administrador selecciona un grupo de usuarios y establece los derechos deseados mediante casillas de verificación.

Internamente, be_acl interviene en la BackendUserAuthentication de TYPO3 y amplía la comprobación doesUserHaveAccess. Con cada acceso a una página en el backend, TYPO3 comprueba primero los derechos estándar y luego las reglas ACL. Las reglas ACL pueden ampliar los derechos estándar, pero no restringirlos. Este es un detalle arquitectónico importante: si un grupo ya tiene acceso a través de los derechos estándar, be_acl no puede revocarlo.

La resolución de derechos sigue una cascada: derechos de usuario prevalecen sobre derechos de grupo, derechos de grupo prevalecen sobre derechos de subgrupo, y ACLs específicas de página prevalecen sobre ACLs heredadas recursivamente. Esta cascada funciona de forma fiable siempre que la estructura de grupos se mantenga plana. A partir de 4 niveles de grupos anidados, el comportamiento se vuelve difícil de predecir.

Problemas frecuentes y soluciones

Los permisos no funcionan como se esperaba. Causa más frecuente: el usuario es miembro de varios grupos, y los derechos de un grupo sobrescriben la restricción ACL de otro. El sistema de derechos de TYPO3 funciona de forma aditiva, es decir, el usuario recibe la suma de todos los derechos de sus grupos. Solución: crear una matriz de permisos, documentar todos los grupos de un usuario y eliminar solapamientos.

Problemas de rendimiento con árboles de páginas grandes. En instalaciones TYPO3 con más de 5.000 páginas y más de 20 grupos de usuarios, la comprobación ACL puede ralentizar notablemente el árbol de páginas en el backend. La extensión comprueba la tabla ACL con cada acceso a una página. Solución: activar la caché de las comprobaciones ACL y limitar el árbol de páginas mediante options.pageTree.excludeDoktypes a tipos de página relevantes.

La depuración de derechos es difícil. TYPO3 no ofrece una herramienta integrada que muestre por qué un usuario puede o no acceder a una página determinada. El área Admin “Backend User” muestra la vista simulada, pero no la cascada de derechos. Solución: analizar el System Log de TYPO3 (con el modo Debug activado, TYPO3 registra los intentos de acceso) o consultar directamente la tabla SQL tx_beacl_acl.

Migración y compatibilidad de versiones

be_acl es una de las extensiones TYPO3 mantenidas desde hace más tiempo. La versión actual soporta TYPO3 v11 y v12. Para TYPO3 v13 existe una versión beta basada en el nuevo sistema de módulos de backend. La extensión se desarrolla activamente en GitHub, los mantenedores responden a los issues.

En la migración de TYPO3 v11 a v12, las reglas ACL no necesitan migrarse manualmente, la tabla de base de datos sigue siendo compatible. Sin embargo, el registro de módulos de backend ha cambiado en v12, por lo que el módulo de configuración de be_acl requiere una actualización de la versión de la extensión.

Para empresas que migran a TYPO3 v13, se recomienda exportar las reglas ACL existentes antes de la actualización. TYPO3 v13 trae un sistema de permisos revisado que incorpora algunas funciones de be_acl en el Core. Si la extensión sigue siendo necesaria a largo plazo depende de la complejidad del concepto de permisos. Gosign analiza el setup ACL existente en las actualizaciones TYPO3 y recomienda la solución óptima, ya sea be_acl, derechos nativos del Core o una combinación.