Avaliação de permissão
Critérios de avaliação de permissão ao usar o Access Analyzer.
Hierarquia de avaliação
A permissão do usuário, grupo ou função selecionada é avaliada com base na seguinte hierarquia:
- Regra de negócios: uma regra de negócios é um script relacionado ao servidor que é executado quando um registro é exibido, inserido, atualizado, excluído ou quando uma tabela é consultada.
- Manipulador de acesso: uma verificação interna do sistema que usa um código fonte oculto na plataforma.
- Data Filtration: a filtragem de dados do Data Filtration é uma forma de controle de acesso projetada para funcionar com as ACLs (Access Control rules, Regras de controle de acesso) existentes na instância. O filtro de dados só é compatível com operações de leitura.
- ACL (Lista de controle de acesso): Regras para ACLs restringem o acesso aos dados exigindo que os usuários cumpram com um conjunto de requisitos antes de poderem interagir. A seguinte hierarquia é considerada para as ACLs:
- Função
- Atributo de segurança
- Condição
- Script
Você pode analisar o acesso e as permissões de determinado usuário, função ou grupo com o Access Analyzer. As permissões são avaliadas com base nos seguintes tipos de regra:
- Avaliação no nível de tabela: as ACLs de função e atributo de segurança são usadas para avaliação no nível de tabela.
- Avaliação no nível de registro ou campo: as ACLs de nível de função, atributo de segurança, condição e script são usadas para avaliação no nível de registro ou campo.
- Página de IU: suporte a operações de somente leitura. Somente ACLs de nível de somente leitura são avaliadas.
- REST Endpoint: suporte a operações de execução. Somente ACLs de nível de somente execução são avaliadas.
Os detalhes sobre os campos importantes nos Resultados de acesso são os seguintes:
- Quando há um script disponível
- Acessar legenda do resultado
- Processo de avaliação
- IAccessHandlers
- Filtros de dados
- Regras da lista de controle de acesso
Quando há um script disponível
O ícone de alerta em qualquer status indica a presença de um script na ACL. Revise as ACLs em destaque para entender o último acesso. Para saber mais sobre como esses controles são avaliados e revisar a lógica para determinar o acesso, consulte Logs de depuração do Access Analyzer.
Legendas no Access Analyzer
Ao analisar o acesso e as permissões, as legendas são exibidas como parte do processo de avaliação. Veja as legendas a seguir:
- (Aprovado) Acesso concedido
- [Bloqueado] Acesso negado
- [Ignorado] Não avaliou
- [Indefinido] Nenhuma regra encontrada
Processo de avaliação
O processo de avaliação é realizado representando um usuário e determinando a permissão da lista de controle de acesso (ACL) no recurso. As regras de permissão habilitam o acesso ao recurso especificado se as seguintes verificações estiverem avaliadas como verdadeiras:
- IAccessHandlers deve avaliar como "Aprovado" ou estar vazio ou indefinido
- Os filtros de dados devem avaliar como "Aprovado" ou estar vazio ou indefinido
- Regras de controle de acesso (ACLs) avaliadas como "Aprovado"
IAccessHandlers
Trata-se de uma verificação interna do sistema que usa um código fonte oculto na plataforma. IAccessHandler pode conceder ou negar acesso a um recurso sem avaliar ACLs. Se IAccessHandler for ignorado, então as ACLs serão avaliadas.
Você não pode alterar as verificações do IAccessHandler. Por exemplo, uma implementação IAccessHandler é usada para verificações de acesso em recursos da aplicação, como acessos de leitura.
Filtro de dados
O filtro de dado é uma forma de controle de acesso projetada para funcionar com as ACLs existentes na instância.
Regras da lista de controle de acesso
As regras das listas de controle de acesso (ACLs) restringem o acesso aos dados exigindo que os usuários passem por um conjunto de requisitos antes de interagir com eles.