Access Analyzer のデバッグログ
デバッグログには、アクセス結果の選択操作の詳細が表示されます。
デバッグログのフィールド
Access Analyzer のデバッグログには、選択した操作に関する情報が表示され、操作に関連付けられた権限、ビジネスルール、および ACL を把握できます。
デバッグログのフィールドとその説明は次のとおりです。
| フィールド | 説明 |
|---|---|
| 名前 | ビジネスルールまたは ACL に関する詳細。ACL のビジネスルールを選択すると、詳細を確認できます。 |
| 適用先 | フィールド、レコード、またはテーブルレベルでの ACL の適用に関する詳細。 |
| ステータス | 関連するロールと権限の ACL のステータス |
| ACL が必要 (Requires ACL) | フィールド、レコード、またはテーブルへのアクセスに必要なロール |
| ロール | アクセス制御でブロック中、合格中、スキップされているロールに関する詳細。 |
| セキュリティ属性 | アクセス制御でブロック、合格、スキップされるセキュリティ属性に関する詳細。 |
| 条件 | アクセス制御に対するブロック済み、合格、スキップ済みの条件に関する詳細 |
| スクリプト | アクセス制御でブロック、合格、スキップされているスクリプトに関する詳細。 |
| カスタマイズ済み | アクセス制御用にカスタマイズされた ACL の詳細 (存在する場合)。 |
| アプリケーション | アプリケーションのステータス。グローバルまたはストア |
評価階層
選択したユーザー、グループ、ロールの権限は、次の階層で評価されます。
- ビジネスルール:ビジネスルールとは、レコードが表示、挿入、更新、または削除されるとき、またはテーブルに対してクエリが実行されるときに実行する、サーバー側スクリプトです。
- アクセスハンドラー:プラットフォーム上の非表示のソースコードを使用する内部システムチェックです。
- データフィルタリング:データフィルターは、インスタンスの既存のアクセス制御ルール (ACL) と連携して機能するように設計されたアクセス制御の形式です。データ フィルターは読み取り操作のみをサポートします。
- アクセス制御リスト (ACL):アクセス制御リスト (ACL) のルールは、まず要件のセットをユーザーに要求し、その後でユーザーとやり取りできるようにすることで、データへのアクセスを制限します。ACL 内では、次の階層が評価されます。
- ロール
- セキュリティ属性
- 条件
- スクリプト
アクセス制御リストの評価
操作の ACL は、次の順序で評価されます。
- ロール
- セキュリティ属性
- 条件
- スクリプト
スクリプトの存在
ステータスのアラートアイコンは ACL にスクリプトが存在することを示します。ハイライト表示された ACL を確認して、最終的なアクセス権を把握します。
注:
Access Analyzer のクエリでは、ビジネスルールが最初に実行され、次にアクセス制御リストが実行されます。
実行順序
さまざまなシナリオでのアクセス結果の実行順序は次のとおりです。
- 継承された ACL またはワイルドカード ACL の存在:実行順序では、継承された ACL が最初に評価され、次にワイルドカード ACL が評価されます。
- 1 つの ACL が渡され、他の ACL がスキップされます:権限の実行および評価中に、一方の ACL が合格すると、もう一方の ACL の実行と評価がスキップされます。ID のフィールド、レコード、またはテーブルにアクセスするには、選択した操作の全体的な権限に 1 つの ACL が必要であるためです。
- フィールドレベルの ACL とテーブルレベルの ACL の実行:実行では、ID のアクセスを分析するときに詳細な結果を提供するため、フィールドレベルの ACL が最初に実行され、次にテーブルレベルの ACL が実行されます。
- スクリプト化された ACL が存在する場合の評価:スクリプトが存在する場合、ACL 内のスクリプトを示すアラートアイコンとともに操作の全体的なアクセスが合格します。