ACL-Debugging-Tools

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Debugging auf Feldebene und Ausgabenachrichten für Zugriffs-ACL-Regeln sind verfügbar, um Sie bei der Fehlerbehebung und beim Debuggen von ACLs zu unterstützen. Der ACL-Konfigurationsbeobachter zeigt Ihnen an, welche zugehörigen ACLs vorhanden sind, wenn Sie eine ACL ändern.

    Debugging auf Feldebene

    Wenn das Debugging aktiviert ist, wird neben jedem Feld mit einer ACL-Regel ein kleines Fehlersymbol ( Debug-Symbol) angezeigt. Durch Klicken auf das Symbol werden die ACL-Regeln, die für das Feld gelten, und die Auswertungsergebnisse aufgelistet. Aktivieren Sie das Debugging, indem Sie zu navigieren Systemsicherheit > Debugging > Sicherheitsregeln debuggen.

    Abbildung : 1. Sicherheit auf Feldebene für einen Incident
    Sicherheit auf Feldebene für einen Incident

    Nachdem Sie das ACL-Debugging aktiviert haben, können Sie die Identität eines anderen Anwenders annehmen, um zu sehen, welche ACL-Regeln der Anwender besteht und welche Fehler er aufweist. Wenn Sie die Identität eines Anwenders annehmen, können Sie nur das sehen, was dieser Anwender sehen darf. Sie können beispielsweise einen Datensatz nicht anzeigen, den eine ACL für den Benutzer nicht sichtbar macht. Um das Debuggen zu erleichtern, ist standardmäßig der Lesezugriff auf bestimmte ACL-bezogene Tabellen aktiviert, auch wenn die Identität eines Benutzers angenommen wird, der keinen Lesezugriff auf die Tabellen hat. Um diese Funktionalität zu ändern, legen Sie die folgende Eigenschaft auf falsefest.

    Um das Debuggen von ACL-Regeln zu aktivieren, navigieren Sie zu Systemsicherheit > Sicherheitsregeln debuggen.

    Systemeigenschaft Beschreibung Standardeinstellung
    glide.security.access_acl_as_impersonator Ermöglicht Lesezugriff auf die folgenden Tabellen, während die Identität eines Anwenders angenommen wird: sys_security_acl, sys_security_operation, sys_security_type und sys_user_role. Daher kann der Benutzer, der die Identität angenommen hat, Daten lesen, die der Benutzer, der die Identität angenommen hat, nicht lesen kann. wahr
    Hinweis:
    Wenn die Eigenschaft auf „false“ festgelegt ist, kann der Benutzer, dessen Identität angenommen wurde, möglicherweise keine ACL-bezogenen Daten lesen. In diesem Fall ist möglicherweise eine zweite Sitzung erforderlich, in der Sie als Administrator oder Security_Administrator angemeldet sind, um ACLs zu debuggen.

    ACL-Regelausgabenachrichten

    Beim ACL-Debugging werden ACL-Regelausgabenachrichten am Ende jeder Liste und jedes Formulars angezeigt. In der Ausgabenachricht wird Folgendes angezeigt:

    Nachrichtenelement Beschreibung
    TIME Die Gesamtzeit, die für die Verarbeitung dieser ACL-Regel benötigt wird.
    PFAD Informationen, die jede ACL-Regel im Format eindeutig identifizieren:<ACL rule type> /<ACL rule name> /<Operation> .
    Kontext Das Objekt, das von der ACL-Regel ausgewertet wird.
    RC Der Rückgabecode der ACL-Regel. Der Wert „true“ übergibt die ACL-Regel. Bei einem „false“-Wert schlägt die ACL-Regel fehl.
    REGEL Eine kurze Zusammenfassung von Prozessoren und Skripts, gefolgt von ACL-Ergebnissen für die einzelnen ACL-Bewertungen auf Tabellen- und Feldebene. Die meisten ACL-Bewertungen zeigen ein Gesamtergebnis „Bestanden“ oder „Nicht bestanden“, gefolgt von einer Aufgliederung der Ergebnisse für jeden Typ von ACL-Kriterien:
    • iAccessHandler: Eine interne Systemprüfung mit ausgeblendetem Quellcode auf der Plattform. Dies ist eine Systemsicherheitsprüfung, die Sie nicht ändern können. IAccessHandler kann den Zugriff auf eine Ressource gewähren oder verweigern, ohne ACLs auszuwerten. Wenn IAccessHandler ignoriert wird, werden die ACLs ausgewertet. Sie können die IAccessHandler-Prüfungen in keiner Weise ändern. Beispielsweise wird eine IAccessHandler-Implementierung für Zugriffsprüfungen auf Anwendungsressourcen verwendet, und dies kann nicht geändert werden.

      Dies ist ab dem Release Istanbul verfügbar.

    • Rollen: Verifiziert, ob der Benutzer über die richtige Rolle verfügt.
    • Bedingung: Überprüfung, ob der Anwender die in der ACL-Regel (falls vorhanden) angegebene Bedingung erfüllt hat
    • Skript: Überprüfung, ob der Benutzer das in der ACL-Regel (falls vorhanden) angegebene Skript übergeben hat

    Die angezeigten Symbole zeigen an, wie die ACL ausgewertet wurde:

    Symbol Beschreibung
    Ein grünes Häkchen ( Grünes Häkchen) Gibt an, dass die Tabelle oder das Feld die Kriterien erfüllt hat.
    Ein rotes x-Symbol (rotes x-Symbol) Gibt an, dass die Tabelle oder das Feld nicht bestanden hat.
    Ein leeres grauer Kreissymbol ( grauer Kreissymbol) Gibt an, dass die ACL-Bewertung nicht durchgeführt werden musste.
    Ein blaues Häkchen, ein x oder ein leerer Kreis Gibt an, dass die ACL aus einem zwischengespeicherten Ergebnis einer vorherigen ACL-Prüfung übernommen wurde. Die Symbole haben die gleiche Bedeutung wie die obigen.
    Sie können diese Aktionen für die ACL-Debug-Ausgabe ausführen:
    • Aktivieren oder deaktivieren Sie diese Kontrollkästchen oben in der Debug-Ausgabe:
      • Sicherheitsregeln: Ergebnisse der ACL-Prüfungen anzeigen oder ausblenden.
      • Andere: Andere Warnungen oder Nachrichten ein- oder ausblenden.
    • Klicken Sie auf den Namen der ACL neben einer der Ausgabenachrichten, um diesen ACL-Datensatz zu öffnen.

      Klicken Sie auf den ACL-Link

    • Bewegen Sie den Mauszeiger über eines der Symbole für die vier ACL-Prüfungen, um weitere Informationen anzuzeigen.

      Bewegen Sie den Mauszeiger über ein ACL-Häkchen