Évaluation de l’autorisation

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Critères d’évaluation des autorisations lors de l’utilisation de l’analyseur d’accès.

    Hiérarchie d’évaluation

    L’autorisation pour l’utilisateur, le groupe ou le rôle sélectionné est évaluée dans la hiérarchie suivante :

    • Règle métier : une règle métier est un script côté serveur qui s’exécute lorsqu’un enregistrement est affiché, inséré, mis à jour ou supprimé, ou lorsqu’une table est interrogée.
    • Gestionnaire d’accès : vérification interne du système à l’aide du code source masqué sur la plateforme.
    • Filtrage des données : le filtre de données est une forme de contrôle d’accès conçu pour fonctionner avec les règles de contrôle d’accès (ACL) existantes sur votre instance. Opération de lecture uniquement prise en charge par le filtre de données.
    • Liste de contrôle d’accès (ACL) : les règles des listes de contrôle d’accès (ACL) restreignent l’accès aux données en exigeant que les utilisateurs satisfassent à un ensemble d’exigences avant de pouvoir interagir avec ces données. Dans une ACL, la hiérarchie suivante est évaluée :
      • Rôle
      • Attribut de sécurité
      • Condition
      • Script

    Vous pouvez analyser l’accès et les autorisations de l’utilisateur, du rôle ou du groupe sélectionné à l’aide de l’analyseur d’accès. Les autorisations sont évaluées en fonction des types de règles suivants :

    • Évaluation au niveau de la table : les ACL de rôle et d’attribut de sécurité sont utilisées pour l’évaluation au niveau de la table.
    • Évaluation au niveau de l’enregistrement ou du champ : les ACL au niveau du rôle, de l’attribut de sécurité, de la condition et du script sont utilisées pour l’évaluation au niveau de l’enregistrement ou du champ.
    • Page de l’interface utilisateur : prise en charge uniquement des opérations prêtes. Seules les ACL de niveau lecture sont évaluées.
    • Point de terminaison REST : prise en charge uniquement de l’opération d’exécution. Seules les ACL de niveau d’exécution sont évaluées.

    Les détails sur les champs importants dans les résultats d’accès sont les suivants :

    • Présence d'un script
    • Légende du résultat d'accès
    • Processus d’évaluation
    • Gestionnaires d’accès
    • Filtres de données
    • Règles de la liste de contrôle d'accès

    Présence d'un script

    Une icône d’alerte quel que soit l’état indique la présence d’un script dans l’ACL. Examinez les ACL en surbrillance pour comprendre l’accès final. Pour en savoir plus sur le mode d’évaluation de ces contrôles et sur la logique de détermination de l’accès, reportez-vous à la section Journaux de débogage d’analyseur d’accès.

    Légende dans l’analyseur d’accès

    Lors de l’analyse de l’accès et des autorisations, des légendes sont affichées dans le cadre du processus d’évaluation. Voici les légendes :

    • [Réussi] Accès accordé
    • [Bloqué] Accès refusé
    • [Ignoré] N'a pas évalué
    • [Non défini] Aucune règle trouvée

    Processus d’évaluation

    Le processus d’évaluation s’effectue en empruntant l’identité d’un utilisateur et en déterminant l’autorisation de la liste de contrôle d’accès (ACL) sur la ressource. Les règles d’autorisation activent l’accès à la ressource spécifiée si les vérifications suivantes sont évaluées comme vraies :

    • Les gestionnaires d’accès doivent avoir la valeur « Réussi », ou sont vides ou non définis
    • L’évaluation des filtres de données doit retourner la valeur « Réussi », ou est vide ou non définie
    • Les règles de contrôle d’accès (ACL) sont évaluées comme « Réussi »

    Gestionnaires d’accès

    Une vérification interne du système à l’aide du code source masqué sur la plateforme. Le gestionnaire d’accès peut accorder ou refuser l’accès à une ressource sans évaluer les ACL. Si IAccessHandler est ignoré, les ACL sont évaluées.

    Vous ne pouvez pas modifier les vérifications du gestionnaire d’accès. Par exemple, une implémentation IAccessHandler est utilisée pour les vérifications d’accès sur les ressources d’application telles que l’accès en lecture.

    Filtre de données

    Le filtre de données est une forme de contrôle d'accès conçu pour fonctionner avec les règles de contrôle d'accès (ACL) existantes sur votre instance.

    Règles de la liste de contrôle d'accès

    Les règles des listes de contrôle d'accès (ACL) restreignent l'accès aux données en exigeant que les utilisateurs satisfassent à un ensemble d'exigences avant de pouvoir interagir avec ces données.