Configuração de uma regra de ACL

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 5 min. de leitura

    • Configure uma regra de Lista de controle de acesso (ACL) personalizada para proteger o acesso a novos objetos ou para mudar o comportamento de segurança padrão.

    Antes de Iniciar

    Função necessária: security_admin

    Por Que e Quando Desempenhar Esta Tarefa

    Para criar regras de ACL, você deve elevar os privilégios para a função security_admin.

    Para tabelas que estão em um escopo diferente do registro de regra da ACL, os tipos de regras são limitados. Para que as tabelas Mestre de escopo derivam o escopo e executem ACLs com escopo, defina a propriedade glide.enforce_security_scope.<scope_name> como verdadeira. Isso garante que as ACLs no escopo global não correspondam quando houver ACLs específicas do escopo criadas na tabela relevante. Os exemplos ocorrem ao proteger dados em tabelas de aplicação compartilhadas no escopo Global, como tabelas sys_attachment ou sys_question_answer.

    Procedimento

    1. Eleve funções de privilégios para a função security_admin.
    2. Navegar até Segurança do sistema > Controle de Acesso (ACL).
    3. Clique em Nova.
      Dica:
      Ao criar uma nova ACL, é útil revisar o Deny-Unless ACL.
    4. Preencha o formulário.
      Tabela 1. Campos de controle de acesso
      Campo Descrição
      Tipo Selecione o tipo de objeto que esta regra de ACL protege. O tipo de objeto determina como o objeto é nomeado e quais operações estão disponíveis. Este campo se torna leitura somente depois que a regra de ACL é criada. Se você quiser mudar o tipo, deve excluir a ACL e criar uma nova com o tipo correto.
      Operação Selecione a operação que esta regra de ACL protege. Cada tipo de objeto tem sua própria lista de operações. Uma regra de ACL só pode proteger uma operação. Para proteger várias operações, crie uma regra de ACL separada para cada uma.

      Se você estiver criando uma regra para uma operação report_view, consulte também Report_view access control.
      Tipo de decisão Selecione o tipo de decisão da ACL. Permitir se permite o acesso após uma avaliação bem-sucedida. Negar a menos que negue o acesso a menos que haja uma avaliação bem-sucedida.Consulte Deny-Unless ACL para obter mais informações.
      Sobreposições do administrador

      Marque esta caixa de seleção para que os usuários com a função de administrador sejam aprovados automaticamente na verificação de permissões desta regra de ACL. Os usuários administradores são aprovados independentemente das restrições de script ou função aplicáveis. No entanto, a função nobody, que apenas o ServiceNow pessoal pode atribuir, tem precedência sobre a opção de substituição do administrador. Se uma ACL for atribuída à função nobody, os usuários administradores não poderão acessar o recurso mesmo quando as Sobreposições do administrador forem selecionadas. Consulte Funções do sistema base.

      Desmarque esta caixa de seleção se os administradores tiverem que atender às permissões definidas nesta regra de ACL para obter acesso ao objeto protegido. Como os administradores sempre são aprovados nas verificações de função (consulte a descrição do campo Requer função), use o construtor de condição ou campo Script para criar uma verificação de permissão na qual os administradores deve estar aprovados.
      Política de proteção Selecione esta opção para definir a política de proteção na ACL
      Nome Insira o nome do objeto que está sendo protegido, o nome do registro ou os nomes da tabela e do campo. Quanto mais específico for o nome, mais específica será a regra da ACL. É possível usar o caractere curinga de asterisco (*) no lugar de um registro, tabela ou nome de campo para selecionar todos os objetos que correspondem a um tipo de registro, todas as tabelas ou todos os campos. Você não pode combinar um caractere curinga e uma pesquisa de texto. Por exemplo, inc* não é um nome de regra de ACL válida, mas incident.* e *.number são nomes de regra de ACL válidos.
      Nota:
      Clique no triângulo azul para inserir manualmente o nome do registro ou os nomes de tabela e campo do objeto sendo protegido. Use esta opção para proteger um objeto que não aparece na lista suspensa.
      Descrição Insira uma descrição do objeto ou das permissões que esta regra de ACL protege.
      Ativo Marque esta caixa de seleção para aplicar esta regra de ACL.
      Avançado Marque esta caixa de seleção para exibir os campos Condição avançada. Consulte a etapa 6.
    5. Opcional: Para restringir o escopo da ACL, preencha os campos Condições conforme necessário.
      Requer função Use esta lista para especificar as funções que um usuário deve ter para acessar o objeto. Se você listar várias funções, um usuário com qualquer uma das funções listadas poderá acessar o objeto. A lista Requer função aparece como uma lista relacionada.
      Nota:
      Os usuários com a função de administrador sempre passam nesta verificação de permissões porque a função de administrador concede automaticamente aos usuários todas as outras funções.
      Condição de dados Use este construtor de condição para selecionar os campos e valores que devem ser verdadeiros para que os usuários acessem o objeto.
      Nota:
      O campo Condição faz distinção entre maiúsculas e minúsculas
    6. Opcional: Se a caixa Avançado estiver marcada, preencha os campos Condições avançadas conforme necessário
      Controlado por referências Impõe a ACL em registros relacionados. Consulte Acesso ao registro relacionado para obter mais detalhes.
      Script Insira um script personalizado que descreva as permissões necessárias para acessar o objeto. O script pode usar os valores das atuais e anteriores Variáveis globais em regras de negócio bem como propriedades do sistema. O script deve gerar uma resposta verdadeira ou falsa de uma de duas maneiras:
      • retornar um conjunto de variáveis de resposta definida como um valor verdadeiro ou falso
      • avaliar como verdadeiro ou falso

      Em ambos os casos, os usuários só ganham acesso ao objeto quando o script é avaliado como verdadeiro e o usuário atende a todas as condições da regra de ACL. As condições e o script devem ser avaliados como verdadeiros para que um usuário acesse o objeto.

      Se houver script no campo Script. Este script é executado mesmo se o campo não for exibido no formulário.

      Nota:
      Se o item avaliado estiver em uma lista relacionada, o atual apontará para o item no qual está a lista relacionada, não para o item atual ao qual a ACL se destina. No entanto, se o item para o qual você está avaliando a ACL não estiver em uma lista relacionada, o atual apontará para o item real.
    7. Clique com o botão direito no cabeçalho do formulário e selecione Salvar.