評価階層

選択したユーザー、グループ、ロールの権限は、次の階層で評価されます。

• ビジネスルール:ビジネスルールは、レコードが表示、挿入、更新、削除されるとき、またはテーブルに対してクエリが実行されるときに実行されるサーバーサイドスクリプトです。
• アクセスハンドラー：プラットフォーム上の非表示のソースコードを使用する内部システムチェックです。
• データフィルタリング:データフィルターは、インスタンスの既存のアクセス制御ルール (ACL) と連動するように設計されたアクセス制御の形式です。データフィルターは読み取り操作のみをサポートします。
• アクセス制御リスト (ACL):アクセス制御リスト (ACL) のルールは、ユーザーがデータを操作する前に、まず要件のセットをユーザーに要求することで、指定されたデータへのアクセスを制限します。ACL 内では、次の階層が評価されます。
  • ロール
  • セキュリティ属性
  • 条件
  • スクリプト

アクセスアナライザーを使用して、選択したユーザー、ロール、またはグループのアクセスと権限を分析できます。権限は、次のルールタイプに基づいて評価されます。

• テーブルレベルの評価 (Table Level Evaluation)：テーブルレベルの評価には、ロールとセキュリティ属性の ACL が使用されます。
• レコードまたはフィールドレベルの評価 (Record or Field level Evaluation)：レコードまたはフィールドレベルの評価には、ロール、セキュリティ属性、条件、およびスクリプトレベルの ACL が使用されます。
• UI ページ:読み取り操作のみをサポートします。読み取りレベルの ACL のみが評価されます。
• REST エンドポイント (REST Endpoint)：実行操作のみをサポートします。実行レベルの ACL のみが評価されます。

アクセス結果テーブルには次のものが含まれます。

• スクリプトの存在 (アラートアイコン)
• アクセス結果の凡例
• 評価プロセス
• IAccessHandler
• データフィルター
• アクセス制御リストのルール

スクリプトの有無

ステータスの横にあるアラートアイコンは、ACL にスクリプトが存在することを示します。ハイライト表示された ACL を確認して、最終的なアクセス権を把握します。これらのコントロールを評価する方法の詳細を把握し、アクセスを決定するために使用されるロジックを確認するには、「 Access Analyzer のデバッグログ」を参照してください。

アクセスアナライザーのステータス

アクセスと権限を分析すると、アクセスアナライザーは評価の結果またはステータスを表示します。ステータスは次のとおりです。

• [合格] アクセスが許可されました
• [ブロック済み] アクセスが拒否されました
• [スキップ] 評価しませんでした
• [未定義] ルールが見つかりませんでした

評価プロセス

評価プロセスは、ユーザーの代理操作を行い、リソースに対するアクセス制御リスト (ACL) 権限を決定することによって実行されます。次のチェックが true と評価された場合、権限ルールにより、指定されたリソースへのアクセスが有効になります。

• IAccessHandler は「合格」と評価されるか、空または未定義である必要がある
• データフィルターは「合格」と評価されるか、空または未定義である必要がある
• アクセス制御ルール (ACL) が「合格」と評価される

IAccessHandler

IAccessHandlers は、プラットフォーム上の非表示のソースコードを使用する内部システムチェックです。IAccessHandler は、ACL を評価せずにリソースへのアクセスを許可または拒否できます。IAccessHandler が無視されると、ACL が評価されます。

IAccessHandler チェックは変更できません。たとえば、IAccessHandler 実装は読み取りアクセスなどのアプリケーションリソースのアクセスチェックに使用されます。

データフィルター

データフィルターは、インスタンスの既存のアクセス制御ルール (ACL) と連携して機能するように設計されたアクセス制御の形式です。

アクセス制御リストのルール

アクセス制御リスト (ACL) のルールは、まず要件のセットをユーザーに要求し、その後でユーザーとやり取りできるようにすることで、特定のデータへのアクセスを制限します。