Identitätswechsel bei ACL-Auswertung in HR-App überprüfen [Aktualisiert in Security Center 1.5]

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft sn_hr_core.impersonateCheck, um zu verhindern, dass ein Benutzer die Identität eines anderen Benutzers annimmt und auf dessen HR-Informationen zugreift.

    Eine sichere Einstellung verhindert, dass ein Administrator die HR-Informationen eines anderen Benutzers einsehen kann, während er Identitäten annimmt. Eine unsichere Einstellung für diese Eigenschaft ermöglicht es einem Administrator, die Identität eines Benutzers anzunehmen und mit dem Zugriff des Benutzers, dessen Identität Sie annehmen, auf HR-Daten wie Umfrageergebnisse oder Audit-Datensätze zuzugreifen. Aufgrund der Art dieser Art von Daten, z. B. Informationen, die nur für den Benutzer selbst verfügbar sein sollten, wie E-Mails, wird dies nicht empfohlen. Das Festlegen von sn_hr_core.impersonateCheck auf „true“ ermöglicht den Zugriff auf HR-Informationen nur, wenn der Benutzer nicht die Identität anderer annimmt.

    Weitere Informationen

    Attribut Beschreibung
    Konfigurationsname sn_hr_core.impersonateCheck
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Datentyp boolean
    Empfohlener Wert Wahr
    Standardwert false
    Kategorie Architektur, Design und Bedrohungsmodellierung
    Sicherheitsrisiko
    • Schweregradpunktzahl: 2,7
    • CVSS-Punktzahl: Niedrig
    • Details zum Sicherheitsrisiko: Eine unsichere Einstellung für diese Eigenschaft ermöglicht es einem Administrator, die Identität eines Benutzers anzunehmen und mit dem Zugriff des Benutzers, dessen Identität angenommen wird, auf HR-Daten wie Umfrageergebnisse oder Audit-Datensätze zuzugreifen.
    Abhängigkeiten und Voraussetzungen Keine
    Funktionale Auswirkung Wenn diese Eigenschaft auf „true“ festgelegt ist, wird verhindert, dass ein Administrator die HR-Informationen eines anderen Benutzers sieht, während er Identitäten annimmt. Bei „false“ kann ein Administrator die Identität eines Benutzers annehmen und mit dem Zugriff des Benutzers, dessen Identität Sie annehmen, auf HR-Daten wie Umfrageergebnisse oder Audit-Datensätze zugreifen. Aufgrund der Art dieser Art von Daten, z. B. Informationen, die nur für den Benutzer selbst verfügbar sein sollten, wie eine E-Mail, wird dies nicht empfohlen. Das Festlegen von sn_hr_core.impersonateCheck auf „true“ ermöglicht nur den Zugriff auf HR-Informationen, wenn der Benutzer nicht die Identität anderer annimmt.