Évaluation de l’autorisation

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Critères d’évaluation des autorisations lors de l’utilisation de l’analyseur d’accès.

    Hiérarchie de l’évaluation

    L’autorisation pour l’utilisateur, le groupe ou le rôle sélectionné est évaluée dans la hiérarchie suivante :

    • Règle métier : une règle métier est un script de serveur configuré pour s’exécuter lorsqu’un enregistrement est affiché, inséré, supprimé ou lorsqu’une table est interrogée.
    • Gestionnaire d’accès : une vérification interne du système à l’aide du code source masqué sur la plateforme.
    • Filtration des données : le filtre de données est une forme de contrôle d’accès conçu pour fonctionner avec les règles de contrôle d’accès (ACL) existantes sur votre instance. Le filtre de données ne prend en charge que l’opération de lecture.
    • Liste de contrôle d’accès (ACL) : les règles des listes de contrôle d’accès (ACL) restreignent l’accès aux données en exigeant que les utilisateurs satisfassent à un ensemble d’exigences avant de pouvoir interagir avec ces données. Dans une ACL, la hiérarchie suivante est évaluée :
      • Rôle
      • Attribut de sécurité
      • Condition
      • Script

    Vous pouvez analyser l’accès et les autorisations de l’utilisateur, du rôle ou du groupe sélectionné à l’aide de l’analyseur d’accès. Les autorisations sont évaluées en fonction des types de règles suivants :

    • Évaluation au niveau de la table : les ACL d’attributs de rôle et de sécurité sont utilisées pour l’évaluation au niveau de la table.
    • Évaluation au niveau de l’enregistrement ou du champ : les ACL au niveau de l’enregistrement, de l’attribut de sécurité, de la condition et du script sont utilisées pour l’évaluation au niveau de l’enregistrement ou du champ.
    • Page de l’interface utilisateur : Prise en charge Opérations prêtes uniquement. Seules les ACL de niveau lecture sont évaluées.
    • Point de terminaison REST : prise en charge de l’opération d’exécution uniquement. Seules les ACL de niveau d’exécution sont évaluées.

    Voici les détails concernant les champs importants dans les résultats de l’accès :

    • Présence d'un script
    • Légende du résultat d'accès
    • Processus d’évaluation
    • IAccessHandler
    • Filtres de données
    • Règles de la liste de contrôle d'accès

    Présence d'un script

    L’icône d’alerte quel que soit l’état indique la présence d’un script dans l’ACL. Examinez les ACL en surbrillance pour comprendre l’accès final. Pour en savoir plus sur le mode d’évaluation de ces contrôles et examiner la logique de détermination de l’accès, reportez-vous Journaux de débogage d’analyseur d’accèsà .

    Légende dans l’analyseur d’accès

    Lors de l’analyse de l’accès et des autorisations, des légendes sont affichées dans le cadre du processus d’évaluation. Voici les légendes :

    • [Réussi] Accès accordé
    • [Bloqué] Accès refusé
    • [Ignoré] N'a pas évalué
    • [Non défini] Aucune règle trouvée

    Processus d’évaluation

    Le processus d’évaluation s’effectue en empruntant l’identité d’un utilisateur et en déterminant l’autorisation de liste de contrôle d’accès (ACL) sur la ressource. Les règles d’autorisation permettent d’accéder à la ressource spécifiée si les vérifications suivantes sont évaluées comme vraies :

    • L’évaluation des IAccessHandler doit retourner la valeur « Réussi », ou est vide ou non définie
    • L’évaluation des filtres de données doit retourner la valeur « Réussi », ou est vide ou non définie
    • L’évaluation des règles de contrôle d’accès (ACL) doit retourner la valeur « Réussi »

    IAccessHandler

    Un contrôle interne du système à l’aide du code source masqué sur la plateforme. IAccessHandler peut accorder ou refuser l’accès à une ressource sans évaluer les ACL. Si IAccessHandler est ignoré, les ACL sont évaluées.

    Vous ne pouvez pas modifier les contrôles IAccessHandler. Par exemple, une implémentation IAccessHandler est utilisée pour les contrôles d’accès sur les ressources d’application telles que l’accès en lecture.

    Filtre de données

    Le filtre de données est une forme de contrôle d'accès conçu pour fonctionner avec les règles de contrôle d'accès (ACL) existantes sur votre instance.

    Règles de la liste de contrôle d'accès

    Les règles des listes de contrôle d'accès (ACL) restreignent l'accès aux données en exigeant que les utilisateurs satisfassent à un ensemble d'exigences avant de pouvoir interagir avec ces données.