Auswertungshierarchie

Die Berechtigung für den ausgewählten Benutzer, die Gruppe oder die Rolle wird in der folgenden Hierarchie ausgewertet:

• Geschäftsregel: Eine Geschäftsregel ist ein serverseitiges Skript, das ausgeführt wird, wenn ein Datensatz angezeigt, eingefügt, aktualisiert oder gelöscht wird oder wenn eine Tabelle abgefragt wird.
• Zugriffs-Handler: Eine interne Systemprüfung mit verstecktem Quellcode auf der Plattform.
• Datenfilterung: Datenfilter sind eine Form der Zugriffskontrolle, die auf die vorhandenen Zugriffskontrollregeln (ACLs) in Ihrer Instanz abgestimmt ist. Datenfilter unterstützen nur Lesevorgänge.
• Zugriffskontrollliste (ACL): Regeln für Zugriffskontrolllisten (ACLs) schränken den Zugriff auf Daten ein, indem Benutzer eine Reihe von Anforderungen erfüllen müssen, bevor sie mit ihnen interagieren können. Innerhalb einer ACL wird die folgende Hierarchie ausgewertet:
  • Rolle
  • Sicherheitsattribut
  • Bedingung
  • Skript

Sie können den Zugriff und die Berechtigungen für den ausgewählten Benutzer, die ausgewählte Rolle oder die ausgewählte Gruppe mit der Zugriffsanalyse analysieren. Die Berechtigungen werden basierend auf den folgenden Regeltypen ausgewertet:

• Auswertung auf Tabellenebene: Rollen- und Sicherheitsattribut-ACLs werden für die Auswertung auf Tabellenebene verwendet.
• Auswertung auf Datensatz- oder Feldebene: ACLs auf Rollen-, Sicherheitsattribut-, Bedingungs- und Skriptebene werden für die Auswertung auf Datensatz- oder Feldebene verwendet.
• UI-Seite: Nur bereite Vorgänge werden unterstützt. Nur ACLs auf Leseebene werden ausgewertet.
• REST-Endpunkt: Unterstützt nur Ausführungsvorgänge. Nur ACLs auf Ausführungsebene werden ausgewertet.

Details zu den wichtigen Feldern in den Zugriffsergebnissen:

• Vorhandensein eines Skripts
• Auf die Ergebnislegende zugreifen
• Auswertungsvorgang
• IAccessHandlers
• Datenfilter
• Regeln der Zugriffssteuerungsliste

Vorhandensein eines Skripts

Das Warnsymbol weist in jedem Status auf das Vorhandensein eines Skripts in der ACL hin. Überprüfen Sie die hervorgehobenen ACLs, um den endgültigen Zugriff zu verstehen. Weitere Informationen zur Auswertung dieser Steuerungen und zur Überprüfung der Logik zur Bestimmung des Zugriffs finden Sie unter Zugriffsanalyse-Debug-Protokolle.

Legende in der Zugriffsanalyse

Bei der Analyse des Zugriffs und der Berechtigungen werden Legenden als Teil des Bewertungsprozesses angezeigt. Im Folgenden finden Sie die Legenden:

• [Bestanden] Zugriff gewährt
• [Blockiert] Zugriff verweigert
• [Übersprungen] Wurde nicht ausgewertet
• [Nicht definiert] Keine Regel gefunden

Auswertungsvorgang

Der Evaluierungsprozess wird durchgeführt, indem die Identität eines Benutzers angenommen und die Berechtigung der Zugriffssteuerungsliste (ACL) für die Ressource bestimmt wird. Berechtigungsregeln ermöglichen den Zugriff auf die angegebene Ressource, wenn die folgenden Prüfungen als „wahr“ ausgewertet werden:

• IAccessHandlers müssen als „Bestanden“ ausgewertet werden oder sind leer oder undefiniert
• Datenfilter müssen als „Bestanden“ ausgewertet werden oder sind leer oder nicht definiert
• Zugriffskontrollregeln (ACLs) werden als „Bestanden“ ausgewertet.

IAccessHandlers

Eine interne Systemprüfung mit ausgeblendetem Quellcode auf der Plattform. IAccessHandler kann den Zugriff auf eine Ressource gewähren oder verweigern, ohne ACLs auszuwerten. Wenn IAccessHandler ignoriert wird, werden die ACLs ausgewertet.

Sie können die IAccessHandler-Prüfungen nicht ändern. Beispielsweise wird eine IAccessHandler-Implementierung für Zugriffsprüfungen für Anwendungsressourcen wie Lesezugriff verwendet.

Datenfilter

Der Datenfilter ist eine Form der Zugriffssteuerung, die auf die vorhandenen Zugriffssteuerungsregeln (ACLs) in Ihrer Instanz abgestimmt ist.

Regeln der Zugriffssteuerungsliste

Regeln für Zugriffssteuerungslisten (ACLs) schränken den Zugriff auf Daten ein, indem sie von Benutzern die Erfüllung einer Reihe von Anforderungen verlangen, bevor sie mit der Interaktion beginnen können.