Configuração de uma regra de ACL

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 4 min. de leitura

    • Configure uma regra de ACL personalizada para proteger o acesso a novos objetos ou para mudar o comportamento de segurança padrão.

    Antes de Iniciar

    Função necessária: security_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Para criar regras de ACL, você deve elevar os privilégios para a função security_admin.

    Para tabelas que estão em um escopo diferente do registro de regra da ACL, os tipos de regras são limitados. Para que as tabelas Mestre de escopo derivem e executem ACLS com escopo, defina a glide.enforce_security_scope.<scope_name> propriedade como true. Isso garante que as ACLs no escopo global não correspondam quando houver ACLs específicas do escopo criadas na tabela relevante. Os exemplos ocorrem ao proteger dados em tabelas de aplicação compartilhadas no escopo Global, como tabelas sys_attachment ou sys_question_answer.

    Procedimento

    1. Eleve funções de privilégios para a função security_admin.
    2. Navegar até Segurança do sistema > Controle de Acesso (ACL).
    3. Clique em Nova.
    4. Preencha o formulário.
      Tabela 1. Campos de controle de acesso
      Campo Descrição
      Tipo Selecione o tipo de objeto que esta regra de ACL protege. O tipo de objeto determina como o objeto é nomeado e quais operações estão disponíveis. Este campo se torna leitura somente depois que a regra de ACL é criada. Se você quiser mudar o tipo, deve excluir a ACL e criar uma nova com o tipo correto.
      Operação Selecione a operação que esta regra de ACL protege. Cada tipo de objeto tem sua própria lista de operações. Uma regra de ACL só pode proteger uma operação. Para proteger várias operações, crie uma regra de ACL separada para cada uma.
      Sobreposições do administrador

      Marque esta caixa de seleção para que os usuários com a função de administrador sejam aprovados automaticamente na verificação de permissões desta regra de ACL. Os usuários administradores são aprovados independentemente das restrições de script ou função aplicáveis. No entanto, a função nobody, que apenas o ServiceNow pessoal pode atribuir, tem precedência sobre a opção de substituição do administrador. Se uma ACL for atribuída à função nobody, os usuários administradores não poderão acessar o recurso mesmo quando as Sobreposições do administrador forem selecionadas. Consulte Funções do sistema base.

      Desmarque esta caixa de seleção se os administradores tiverem que atender às permissões definidas nesta regra de ACL para obter acesso ao objeto protegido. Como os administradores sempre são aprovados nas verificações de função (consulte a descrição do campo Requer função), use o construtor de condição ou campo Script para criar uma verificação de permissão na qual os administradores deve estar aprovados.
      Ativo Marque esta caixa de seleção para aplicar esta regra de ACL.
      Avançado Marque esta caixa de seleção para exibir o campo Script.
      Importante:
      Se houver script no campo Script. Este script é executado mesmo se o campo não for exibido no formulário.
      Nome Insira o nome do objeto que está sendo protegido, o nome do registro ou os nomes da tabela e do campo. Quanto mais específico for o nome, mais específica será a regra da ACL. É possível usar o caractere curinga de asterisco (*) no lugar de um registro, tabela ou nome de campo para selecionar todos os objetos que correspondem a um tipo de registro, todas as tabelas ou todos os campos. Você não pode combinar um caractere curinga e uma pesquisa de texto. Por exemplo, inc* não é um nome de regra de ACL válida, mas incident.* e *.number são nomes de regra de ACL válidos.
      Nota:
      Clique no triângulo azul para inserir manualmente o nome do registro ou os nomes de tabela e campo do objeto sendo protegido. Use esta opção para proteger um objeto que não aparece na lista suspensa.
      Descrição Insira uma descrição do objeto ou das permissões que esta regra de ACL protege.
      Requer função Use esta lista para especificar as funções que um usuário deve ter para acessar o objeto. Se você listar várias funções, um usuário com qualquer uma das funções listadas poderá acessar o objeto. A lista Requer função aparece como uma lista relacionada.
      Nota:
      Os usuários com a função de administrador sempre passam nesta verificação de permissões porque a função de administrador concede automaticamente aos usuários todas as outras funções.
      Condição Use este construtor de condição para selecionar os campos e valores que devem ser verdadeiros para que os usuários acessem o objeto.
      Script Insira um script personalizado que descreva as permissões necessárias para acessar o objeto. O script pode usar os valores das atuais e anteriores Variáveis globais em regras de negócio bem como propriedades do sistema. O script deve gerar uma resposta verdadeira ou falsa de uma de duas maneiras:
      • retornar um conjunto de variáveis de resposta definida como um valor verdadeiro ou falso
      • avaliar como verdadeiro ou falso

      Em ambos os casos, os usuários só ganham acesso ao objeto quando o script é avaliado como verdadeiro e o usuário atende a todas as condições da regra de ACL. As condições e o script devem ser avaliados como verdadeiros para que um usuário acesse o objeto.

      Nota:
      Se o item avaliado estiver em uma lista relacionada, o atual apontará para o item no qual está a lista relacionada, não para o item atual ao qual a ACL se destina. No entanto, se o item para o qual você está avaliando a ACL não estiver em uma lista relacionada, o atual apontará para o item real.
    5. Clique com o botão direito no cabeçalho do formulário e selecione Salvar.

    Proteja os registros em uma lista integrada

    Para aplicar segurança aos registros em listas integradas, limite a edição e a exclusão de registros em listas integradas a funções específicas.

    Antes de Iniciar

    Função necessária: security_admin

    Procedimento

    1. Navegar até Tudo > Segurança do sistema > Controle de Acesso (ACL).
    2. Abra o registro Gravar ou Excluir para a tabela apropriada.
    3. Na seção Requer Função do formulário, adicione as funções com permissão de gravação ou exclusão para essa tabela.
    4. Salve as mudanças.
      Quando os registros da tabela associada aparecem em uma lista integrada, as opções de edição e exclusão ficam disponíveis somente para usuários com as funções especificadas.