Access Analyzer のデバッグログ
アクセスアナライザーのデバッグログは、特定の操作に対するアクセス制御の評価に関する詳細情報を提供します。これらのログは、アドミニストレーターと開発者がアクセス問題のトラブルシューティングを行い、セキュリティ構成を最適化し、ユーザーが ServiceNow プラットフォーム内のリソースに適切にアクセスできるようにするのに役立ちます。
デバッグログのフィールド
特定の操作について、ACL、ビジネスルール、およびその他のセキュリティ属性がどのように評価されるかが、デバッグログに詳細に表示されます。
デバッグログのフィールドとその説明は次のとおりです。
| フィールド | 説明 |
|---|---|
| 名前 | ビジネスルールまたは ACL の詳細。詳細については、ビジネスルールまたは ACL を選択できます。 |
| 適用先 | ACL が適用されるレベル ( フィールド、 レコード、 テーブルなど) を示します。 |
| ステータス | 関連付けられたロールと権限の ACL のステータス ( [合格]、[ ブロック]、[ スキップ] など)。 |
| 必要な ACL ロール | リソースへのアクセスに必要なロールを指定します。 |
| ロール | アクセス制御に関するロールのステータス (ブロック、合格、スキップなど) の詳細を提供します。 |
| セキュリティ属性 | アクセス制御に対して [ブロック]、[ 合格]、または [スキップ ] として評価されたセキュリティ属性に関する詳細。 |
| 条件 | アクセス制御に対して ブロック済み、 合格、または スキップ 済みとして評価された条件に関する詳細。 |
| スクリプト | アクセス制御に対して ブロック済み、 合格、または スキップ 済みとして評価されたスクリプトの詳細。 |
| カスタマイズ済み | カスタマイズされた ACL がアクセス制御に含まれているかどうかを示します。 |
| アプリケーション | アプリケーションのステータス。グローバル または ストア。 |
評価階層
選択したユーザー、グループ、またはロールの権限は、次の階層で評価されます。
- ビジネスルール:ビジネスルールは、レコードの読み取り、挿入、更新、削除時、またはテーブルに対してクエリが実行されるときに実行されるサーバー側スクリプトです。
- アクセスハンドラー:プラットフォーム上の非表示のソースコードを使用する内部システムチェック。
- データフィルタリング:データフィルターは、インスタンスの既存のアクセス制御ルール (ACL) と連携して機能するように設計されたアクセス制御の形式です。データフィルターは読み取り操作のみをサポートします。
- アクセス制御リスト (ACL):アクセス制御リスト (ACL) のルールは、ユーザーがデータを操作する前に、まず要件のセットをユーザーに要求することで、特定のデータへのアクセスを制限します。ACL 内では、次の階層が評価されます。
- ロール
- セキュリティ属性
- 条件
- スクリプト
アクセス制御リストの評価
操作の ACL は、次の順序で評価されます。
- ロール
- セキュリティ属性
- 条件
- スクリプト
スクリプトの存在
ステータスのアラートアイコンは ACL にスクリプトが存在することを示します。ハイライト表示された ACL を確認して、最終的なアクセス権を把握します。
注:
アクセスアナライザーのクエリでは、ビジネスルールが最初に実行され、次にアクセス制御リストが実行されます。
実行順序
さまざまなシナリオでアクセスを決定するための実行順序は次のとおりです。
- 継承された ACL またはワイルドカード ACL の存在:実行シーケンスでは、継承された ACL が最初に評価され、次にワイルドカード ACL が評価されます。
- 1 つの ACL が合格すると、他の ACL はスキップされます。権限の実行と評価中に、1 つの ACL が合格すると、他の ACL の実行と評価はスキップされます。選択した操作の全体的な権限では、ID のフィールド、レコード、またはテーブルにアクセスするために必要な ACL が 1 つだけであるため、これらはスキップされます。
- フィールドレベルの ACL とテーブルレベルの ACL の実行:実行中は、フィールドレベルの ACL が最初に実行され、次にテーブルレベルの ACL が実行されます。これにより、ID のアクセスを分析するときに、より詳細な結果が得られます。
- スクリプト化された ACL が存在する場合の評価:スクリプトが存在する場合、操作の全体的なアクセス権が合格し、ACL にスクリプトがあることを示すアラートアイコンが表示されます。