委任開発者のアクセスをブロック
この設定は、スクリプトを使用してユーザーロールを更新する委任開発者のアクセスに影響します。設定が準拠している場合、開発者は user_admin ロールなしで sys_user_has_role テーブルのレコードを更新したり挿入したりすることはできません。
このプロパティは、委任開発者がスクリプトを使用してユーザーにロールをアサインできるかどうかを決定します。com.glide.sys.security.delegateddev.block_grant_roles が推奨値の true に設定されていない場合、委任開発者は任意のユーザーにロールをアサインできます。これにより、未承認の権限エスカレーションが発生する可能性があります。
プロパティ com.glide.sys.security.delegateddev.block_grant_roles が true に設定されていることを確認します。
詳細情報
| 属性 | 説明 |
|---|---|
| 構成名 | com.glide.sys.security.delegateddev.block_grant_roles |
| 構成タイプ | システムプロパティ (/sys_properties_list.do) |
| データタイプ | ブーリアン |
| 推奨値 | true |
| デフォルト値 | <なし> |
| フォールバック値 | true |
| カテゴリ | アクセス制御 |
| セキュリティリスク |
|
| 機能への影響 | delegated_developerロールを持つユーザーがユーザーロール [sys_user_has_role] テーブルのレコードを変更しようとすると、このプロパティによって操作に対する追加のセキュリティチェックが有効になります。ユーザーがユーザーロール [sys_user_has_role] テーブルを作成または更新しようとしている場合、追加のセキュリティチェックにより、user_adminロールが付与されていることが検証されます。ユーザーに user_admin ロールがない場合、アクセスは拒否されます。プロパティが false の場合、これらの追加チェックは検証されません。 |
| 依存関係と前提条件 | なし |