Mit Sichtbarkeitskategorien können Administratoren steuern, auf welche Inhalte angemeldete Benutzer (Besucher oder Redakteure) Zugriff haben, im Gegensatz zu nicht angemeldeten Besuchern der Website. Hierfür lassen sich Benutzergruppen beim Identity Provider (IdP) einrichten und in den Sichtbarkeitskategorien als Unterscheidungskriterium verwenden.
Im Zusammenhang mit Sichtbarkeitskategorien entspricht eine Gruppe einer Menge von Benutzern, etwa Mitarbeiter von Partnerunternehmen oder Händlern, denen es gestattet ist, in ihnen vorbehaltenen Websitebereichen Inhalte aufzurufen, zu aktualisieren oder einzustellen.
Bevor Gruppen jedoch in Sichtbarkeitskategorien angegeben werden können, müssen sie natürlich in der Konfiguration beim Identitätsprovider eingerichtet und Benutzern zugewiesen worden sein. Beachten Sie bitte, dass die Namen solcher Gruppen für den Interface Builder lediglich bedeutungslose Bezeichner mit konfigurierbaren Anzeigetexten sind. Auch kann der Interface Builder implizite, d.h. auf Regeln basierende Gruppenzuweisungen nicht berücksichtigen. Folglich müssen solche impliziten Zuweisungen (wie „alle Sales-Mitglieder sind auch Marketing-Mitglieder“) explizit gemacht werden. Aus naheliegenden Gründen ist es wichtig, Gruppennamen konsistent zu vergeben und zu verwenden.
Meldet sich ein Benutzer bei einer auf dem Interface Builder basierenden Website an, erzeugt der IdP ein OAuth-ID-Token, mit dem der Interface Builder den Benutzer identifiziert. Wenn Gruppen eingerichtet wurden, enthält das ID-Token einen groups
-Claim, mit dem der Interface Builder feststellt, ob und welche Gruppen dem Benutzer zugewiesen sind. Auf der Grundlage dieser Gruppen ermittelt der Interface Builder dann die auf den Benutzer anwendbaren Sichtbarkeitskategorien und gestattet oder unterbindet dessen Zugriff auf geschützte Inhalte.
Die Struktur eines ID-Tokens mit einem groups
-Claim sieht in etwa so aus: