ACL-Debugging-Tools

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Debugging auf Feldebene und Ausgabenachrichten für Zugriffs-ACL-Regeln sind verfügbar, um Sie bei der Problembehandlung und beim Debuggen von ACLs zu unterstützen. Der ACL-Konfigurationsbeobachter teilt Ihnen mit, welche zugehörigen ACLs vorhanden sind, wenn Sie eine ändern.

    Debugging auf Feldebene

    Wenn das Debugging aktiviert ist, wird neben jedem Feld mit einer ACL-Regel ein kleines Fehlersymbol ( Debugger-Symbol) angezeigt. Wenn Sie auf das Symbol klicken, werden die für das Feld geltenden ACL-Regeln und die Auswertungsergebnisse aufgelistet. Aktivieren Sie das Debugging, indem Sie zu navigieren Systemsicherheit > Debugging > Sicherheitsregeln debuggen.

    Abbildung : 1. Sicherheit auf Feldebene bei einem Incident
    Sicherheit auf Feldebene bei einem Incident

    Nachdem Sie das ACL-Debugging aktiviert haben, können Sie die Identität eines anderen Benutzers annehmen, um zu sehen, welche ACL-Regeln der Benutzer durchläuft und welche nicht. Wenn Sie die Identität eines Benutzers annehmen, können Sie nur das sehen, was dieser Benutzer sehen darf. Sie können beispielsweise keinen Datensatz anzeigen, den eine ACL dem Benutzer nicht anzeigen lässt. Um das Debugging zu erleichtern, ist der schreibgeschützte Zugriff auf bestimmte ACL-bezogene Tabellen standardmäßig aktiviert, auch wenn die Identität eines Benutzers angenommen wird, der keinen Lesezugriff auf die Tabellen hat. Um diese Funktionalität zu ändern, legen Sie die folgende Eigenschaft auf falsefest.

    Um das Debugging von ACL-Regeln zu aktivieren, navigieren Sie zu Systemsicherheit > Sicherheitsregeln debuggen.

    Systemeigenschaft Beschreibung Standardeinstellung
    glide.security.access_acl_as_impersonator Ermöglicht Lesezugriff auf die folgenden Tabellen, während die Identität eines Benutzers angenommen wird: sys_security_acl, sys_security_operation, sys_security_type und sys_user_role. Dadurch kann der Benutzer, dessen Identität Sie annehmen, Daten lesen, die der Benutzer, dessen Identität Sie annehmen, nicht lesen kann. Wahr
    Hinweis:
    Wenn die Eigenschaft auf „false“ festgelegt ist, wird der Benutzer, dessen Identität Sie annehmen, möglicherweise daran gehindert, ACL-bezogene Daten zu lesen. In diesem Fall ist möglicherweise eine zweite Sitzung erforderlich, die als admin oder security_admin angemeldet ist, um ACLs zu debuggen.

    ACL-Regelausgabenachrichten

    ACL-Debugging zeigt ACL-Regelausgabenachrichten am Ende jeder Liste und jedes Formulars an. Die Ausgabenachricht zeigt Folgendes an:

    Nachrichtenelement Beschreibung
    TIME Die Gesamtzeit, die für die Verarbeitung dieser ACL-Regel benötigt wurde.
    PFAD Informationen, die jede ACL-Regel eindeutig identifizieren, im Format:<ACL rule type> /<ACL rule name> /<Operation> .
    KONTEXT Das Objekt, das von der ACL-Regel ausgewertet wird.
    RC Der Rückgabecode der ACL-Regel. Ein Wert vom Typ „true“ übergibt die ACL-Regel. Bei einem Wert vom Typ „falsch“ schlägt die ACL-Regel fehl.
    REGEL Eine kurze Zusammenfassung der Prozessoren und Skripts, gefolgt von den ACL-Ergebnissen für jede ACL-Auswertung auf Tabellen- und Feldebene. Die meisten ACL-Auswertungen zeigen ein Gesamtergebnis für „Bestanden“ oder „Fehlgeschlagen“ an, gefolgt von einer Aufgliederung der Ergebnisse für jeden Typ von ACL-Kriterien:
    • iAccessHandler: Eine interne Systemprüfung mit ausgeblendetem Quellcode auf der Plattform. Dies ist eine Systemsicherheitsprüfung, die Sie nicht ändern können. IAccessHandler kann den Zugriff auf eine Ressource gewähren oder verweigern, ohne ACLs auszuwerten. Wenn IAccessHandler ignoriert wird, werden die ACLs ausgewertet. Sie können die IAccessHandler-Prüfungen in keiner Weise ändern. Beispielsweise wird eine IAccessHandler-Implementierung für Zugriffsprüfungen auf Anwendungsressourcen verwendet, und dies kann nicht geändert werden.

      Dies ist ab Release Istanbul verfügbar.

    • Rollen: Überprüfung, ob der Benutzer die richtige Rolle hat.
    • Bedingung: Überprüfung, ob der Benutzer die in der ACL-Regel angegebene Bedingung erfüllt hat (falls vorhanden).
    • Skript: Überprüfung, ob der Benutzer das in der ACL-Regel angegebene Skript übergeben hat (falls vorhanden).

    Die angezeigten Symbole zeigen an, wie die ACL ausgewertet wurde:

    Symbol Beschreibung
    Ein grünes Häkchen ( Grünes Häkchen) Gibt an, dass die Tabelle oder das Feld die Kriterien erfüllt hat.
    Ein rotes x-Symbol ( rotes x-Symbol) Gibt an, dass die Tabelle oder das Feld nicht bestanden hat.
    Ein leeres graues Kreissymbol ( Graues Kreissymbol) Gibt an, dass die ACL-Auswertung nicht durchgeführt werden musste.
    Blaues Häkchen, x oder leerer Kreis Gibt an, dass die ACL aus einem zwischengespeicherten Ergebnis einer vorherigen ACL-Prüfung übernommen wurde. Die Symbole haben dieselbe Bedeutung wie oben.
    Sie können die folgenden Aktionen für die ACL-Debug-Ausgabe ausführen:
    • Aktivieren oder deaktivieren Sie diese Checkboxen oben in der Debug-Ausgabe:
      • Sicherheitsregeln: Ergebnisse der ACL-Prüfungen anzeigen oder ausblenden.
      • Andere: Zeigen Sie andere Warnungen oder Nachrichten an oder blenden Sie sie aus.
    • Klicken Sie auf den Namen der ACL neben einer der Ausgabenachrichten, um diesen ACL-Datensatz zu öffnen.

      Klicken Sie auf den ACL-Link

    • Bewegen Sie den Mauszeiger über eines der Symbole für die vier ACL-Prüfungen, um weitere Informationen anzuzeigen.

      Bewegen Sie den Mauszeiger über ein ACL-Häkchen