Évaluation de l’autorisation

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Critères d’évaluation des autorisations lors de l’utilisation de l’analyseur d’accès.

    Hiérarchie d’évaluation

    L’autorisation pour l’utilisateur, le groupe ou le rôle sélectionné est évaluée dans la hiérarchie suivante :

    • Business rule : une règle métier est un script de serveur qui s’exécute lorsqu’un enregistrement est affiché, inséré, mis à jour ou supprimé, ou lorsqu’une table est interrogée.
    • Gestionnaire d’accès : vérification interne du système à l’aide du code source masqué sur la plateforme.
    • Filtration des données : le filtre de données est une forme de contrôle d’accès conçu pour fonctionner avec les règles de contrôle d’accès (ACL) existantes sur votre instance. Le filtre de données ne prend en charge que l’opération de lecture.
    • Liste de contrôle d’accès (ACL) : les règles des listes de contrôle d’accès (ACL) restreignent l’accès aux données en exigeant que les utilisateurs satisfassent à un ensemble d’exigences avant de pouvoir interagir avec ces données. Au sein d’une ACL, la hiérarchie suivante est évaluée :
      • Rôle
      • Attribut de sécurité
      • Condition
      • Script

    Vous pouvez analyser l’accès et les autorisations pour l’utilisateur, le rôle ou le groupe sélectionné à l’aide de l’analyseur d’accès. Les autorisations sont évaluées en fonction des types de règles suivants :

    • Évaluation au niveau de la table : les ACL des attributs de rôle et de sécurité sont utilisées pour l’évaluation au niveau de la table.
    • Évaluation au niveau de l’enregistrement ou du champ : les ACL au niveau du rôle, de l’attribut de sécurité, de la condition et du script sont utilisées pour l’évaluation au niveau de l’enregistrement ou du champ.
    • Page d’interface utilisateur : prise en charge uniquement des opérations prêtes. Seules les ACL de niveau lecture sont évaluées.
    • Point de terminaison REST : prise en charge uniquement de l’opération d’exécution. Seules les ACL de niveau d’exécution sont évaluées.

    Les détails sur les champs importants dans les résultats d’accès sont les suivants :

    • Présence d'un script
    • Légende du résultat d'accès
    • Processus d’évaluation
    • IAccessHandler
    • Filtres de données
    • Règles de la liste de contrôle d'accès

    Présence d'un script

    L’icône d’alerte quel que soit l’état indique la présence d’un script dans l’ACL. Examinez les ACL en surbrillance pour comprendre l’accès final. Pour en savoir plus sur le mode d’évaluation de ces contrôles et examiner la logique de détermination de l’accès, reportez-vous à Journaux de débogage d’Analyseur d’accès.

    Légende dans l’analyseur d’accès

    Lors de l’analyse de l’accès et des autorisations, des légendes sont affichées dans le cadre du processus d’évaluation. Voici les légendes :

    • [Réussi] Accès accordé
    • [Bloqué] Accès refusé
    • [Ignoré] N'a pas évalué
    • [Non défini] Aucune règle trouvée

    Processus d’évaluation

    Le processus d’évaluation s’effectue en empruntant l’identité d’un utilisateur et en déterminant l’autorisation de la liste de contrôle d’accès (ACL) sur la ressource. Les règles d’autorisation permettent d’accéder à la ressource spécifiée si les vérifications suivantes sont évaluées comme vraies :

    • L’évaluation des IAccessHandler doit retourner la valeur « Réussi », ou est vide ou non définie
    • L’évaluation des filtres de données doit retourner la valeur « Réussi », ou est vide ou non définie
    • Les règles de contrôle d’accès (ACL) sont évaluées comme « réussies »

    IAccessHandler

    Un contrôle du système interne à l’aide du code source masqué sur la plateforme. IAccessHandler peut accorder ou refuser l’accès à une ressource sans évaluer les ACL. Si IAccessHandler est ignoré, les ACL sont évaluées.

    Vous ne pouvez pas modifier les vérifications IAccessHandler. Par exemple, une implémentation IAccessHandler est utilisée pour les vérifications d’accès sur les ressources d’application telles que l’accès en lecture.

    Filtre de données

    Le filtre de données est une forme de contrôle d'accès conçu pour fonctionner avec les règles de contrôle d'accès (ACL) existantes sur votre instance.

    Règles de la liste de contrôle d'accès

    Les règles des listes de contrôle d'accès (ACL) restreignent l'accès aux données en exigeant que les utilisateurs satisfassent à un ensemble d'exigences avant de pouvoir interagir avec ces données.