Berechtigungsauswertung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Kriterien für Berechtigungsauswertung bei Verwendung der Zugriffsanalyse.

    Auswertungshierarchie

    Die Berechtigung für den ausgewählten Anwender, die ausgewählte Gruppe oder die ausgewählte Rolle wird in der folgenden Hierarchie ausgewertet:

    • Geschäftsregel: Eine Geschäftsregel ist ein serverseitiges Skript, das ausgeführt wird, wenn ein Datensatz angezeigt, eingefügt, aktualisiert oder gelöscht wird oder wenn eine Tabelle abgefragt wird.
    • Zugriffshandler: Eine interne Systemprüfung mit ausgeblendetem Quellcode auf der Plattform.
    • Datenfilterung: Der Datenfilter ist eine Form der Zugriffssteuerung, die auf die vorhandenen Zugriffssteuerungsregeln (ACLs) in Ihrer Instanz abgestimmt ist. Datenfilter unterstützen nur Lesevorgänge.
    • Zugriffssteuerungsliste (ACL): Regeln für Zugriffssteuerungslisten (ACLs) schränken den Zugriff auf Daten ein, indem sie von Anwendern die Erfüllung einer Reihe von Anforderungen verlangen, bevor sie mit der Interaktion beginnen können. Innerhalb einer ACL wird die folgende Hierarchie ausgewertet:
      • Rolle
      • Sicherheitsattribut
      • Bedingung
      • Skript

    Sie können den Zugriff und die Berechtigungen für den ausgewählten Anwender, die ausgewählte Rolle oder die ausgewählte Gruppe mit der Zugriffsanalyse analysieren. Die Berechtigungen werden basierend auf den folgenden Regeltypen ausgewertet:

    • Auswertung auf Tabellenebene: Rollen- und Sicherheitsattribut-ACLs werden für die Auswertung auf Tabellenebene verwendet.
    • Auswertung auf Datensatz- oder Feldebene: Für die Auswertung auf Datensatz- oder Feldebene werden ACLs für Rollen, Sicherheitsattribute, Bedingungen und Skriptebenen verwendet.
    • UI-Seite: Unterstützt nur betriebsbereite Vorgänge. Nur ACLs auf Leseebene werden ausgewertet.
    • REST-Endpunkt: Unterstützt nur Ausführungsvorgänge. Nur ACLs der Ausführungsebene werden ausgewertet.

    Details zu den wichtigen Feldern in den Zugriffsergebnissen:

    • Vorhandensein eines Skripts
    • Auf die Ergebnislegende zugreifen
    • Auswertungsvorgang
    • IAccessHandlers
    • Datenfilter
    • Regeln der Zugriffssteuerungsliste

    Vorhandensein eines Skripts

    Das Warnungssymbol in jedem Status zeigt an, dass ein Skript in der ACL vorhanden ist. Überprüfen Sie die markierten ACLs, um den endgültigen Zugriff zu verstehen. Weitere Informationen darüber, wie diese Steuerungen ausgewertet werden und wie die Logik zur Bestimmung des Zugriffs überprüft wird, finden Sie unter Debug-Protokolle der Zugriffsanalyse.

    Legende in der Zugriffsanalyse

    Bei der Analyse des Zugriffs und der Berechtigungen werden Legenden als Teil des Bewertungsprozesses angezeigt. Es folgen die Legenden:

    • [Bestanden] Zugriff gewährt
    • [Blockiert] Zugriff verweigert
    • [Übersprungen] Wurde nicht ausgewertet
    • [Nicht definiert] Keine Regel gefunden

    Auswertungsvorgang

    Der Bewertungsprozess wird durchgeführt, indem die Identität eines Benutzers angenommen und die Berechtigung der Zugriffssteuerungsliste (ACL) für die Ressource ermittelt wird. Berechtigungsregeln ermöglichen den Zugriff auf die angegebene Ressource, wenn die folgenden Prüfungen als „true“ ausgewertet werden:

    • IAccessHandlers müssen als „Bestanden“ ausgewertet werden oder sind leer oder nicht definiert
    • Datenfilter müssen als „Bestanden“ ausgewertet werden oder sind leer oder nicht definiert
    • Zugriffssteuerungsregeln (ACLs) werden als „Bestanden“ ausgewertet.

    IAccessHandlers

    Eine interne Systemprüfung mit ausgeblendetem Quellcode auf der Plattform. IAccessHandler kann den Zugriff auf eine Ressource gewähren oder verweigern, ohne ACLs auszuwerten. Wenn IAccessHandler ignoriert wird, werden die ACLs ausgewertet.

    Sie können die IAccessHandler-Prüfungen nicht ändern. Beispielsweise wird eine IAccessHandler-Implementierung für Zugriffsprüfungen auf Anwendungsressourcen wie Lesezugriff verwendet.

    Datenfilter

    Der Datenfilter ist eine Form der Zugriffssteuerung, die auf die vorhandenen Zugriffssteuerungsregeln (ACLs) in Ihrer Instanz abgestimmt ist.

    Regeln der Zugriffssteuerungsliste

    Regeln für Zugriffssteuerungslisten (ACLs) schränken den Zugriff auf Daten ein, indem sie von Anwendern die Erfüllung einer Reihe von Anforderungen verlangen, bevor sie mit der Interaktion beginnen können.