Erweiterbare Datensicherheitsrichtlinien​

  • 13 Minuten

Diese Lerneinheit bietet einen Überblick über Erweiterbare Datensicherheit (XDS)-Richtlinien in Finanz‑ und Betriebs-Apps. XDS ermöglicht es Entwicklern, die rollenbasierte Sicherheit zu ergänzen, indem der Zugriff auf Tabellendatensätze basierend auf Sicherheitsrichtlinien beschränkt wird. Die Abfrage in der Richtlinie verwendet einen Filter. Nur Datensätze, die den Filterbedingungen entsprechen, sind von den eingeschränkten Tabellen aus zugänglich.

Komponenten der Datensicherheitsrichtlinie

Bild des konzeptionellen Modells von XDS mit Rollenkonzepten, Richtlinien und Anwendungskontext

Die Komponenten der Datensicherheitsrichtlinie sind:

  • Eingeschränkte Tabellen – Die Tabelle oder die Tabellen, aus denen Daten gefiltert oder gesichert werden. Beispielsweise in einer Richtlinie, die den Zugriff auf Transaktionen basierend auf dem Kunden sichert, wäre CustTrans ein Beispiel für eine eingeschränkte Tabelle.
  • Primärtabelle – Wird verwendet, um den Inhalt der zugehörigen eingeschränkten Tabelle zu sichern. Im folgenden Beispiel wäre die Tabelle CustTable die primäre Tabelle. Die primäre Tabelle muss eine explizite Beziehung zu den eingeschränkten Tabellen haben.
  • Richtlinienabfrage – Wird benutzt, um den eingeschränkten Tabelleninhalt mithilfe einer Bereichsbedingung für den primären Tabelleninhalt zu sichern. Nur Datensätze, die zum Bereich gehören, sind zugänglich. Der Bereich kann z. B. auf einem bestimmten Wert für den Kunden basieren.
  • Kontext – Steuert die Bedingungen, unter denen eine Richtlinie anwendbar ist. Zwei Haupttypen von Kontexten sind verfügbar: Rollen‑ und Anwendungskontext:
    • Rollenkontext – Basiert auf den Rollen, die dem Benutzer zugewiesen sind. Für den Rollenkontext gibt es zwei Unteroptionen:
      • Rollenname – Zeigt an, dass die Sicherheitsrichtlinie nur auf den Anwendungsbenutzer angewendet wird, der der Rolle gleich dem Wert von Rollenname zugewiesen ist
      • Rolleneigenschaft – Dieser Wert wird in Kombination mit der Eigenschaft ContextString verwendet, um den Kontext mehrerer Benutzerrollen anzugeben. Er wird angewendet, wenn der Wert Kontextzeichenfolge im Feld Rolleneigenschaft für die Richtlinie dem Feldwert ContextString für die zugewiesenen Benutzerrollen gleicht.
    • Anwendungskontext – Wird angewendet, wenn die Kontextzeichenfolge von der Anwendung mit dem XDS::SetContext-API dieselbe ist wie der im Feld Kontextzeichenfolge definierte Wert für die Richtlinie. In der Entwicklungsumgebung (Application Object Tree, AOT) werden Richtlinien und ihre Komponenten unter Sicherheit > Richtlinien angezeigt.

Wichtige Überlegungen

Die Richtlinienabfrage wird der WHERE‑ oder ON-Klausel bei SELECT‑, UPDATE‑, DELETE‑ und INSERT-Operationen hinzugefügt, die die angegebenen eingeschränkten Tabellen betreffen. Wenn Richtlinienabfragen nicht sorgfältig entworfen und getestet wurden, können sie signifikante Auswirkungen auf die Leistung haben. Befolgen Sie aus diesem Grund bei der Entwicklung einer erweiterbaren Datensicherheitsrichtlinie einfache, aber wichtige Richtlinien. Weitere Informationen finden Sie unter Erweiterbare Datensicherheitsrichtlinien entwickeln (Whitepaper).

Wenn zwei oder mehr Sicherheitsrichtlinien gelten, sind die Datensätze in der Schnittmenge (nicht die Vereinigung), die von jeder Richtlinie enthalten sind, die einzigen, auf die zugegriffen werden kann. Dies bedeutet, dass ein Datensatz alle anwendbaren Sicherheitsrichtlinien erfüllen muss, bevor der Zugriff auf den Datensatz gestattet wird.

Das folgende Video ist eine Demonstration des Erstellens und Implementierens einer XDS-Richtlinie.

Zusätzliche Ressourcen

Informationen zum Debuggen von Richtlinien, Erstellen erweiterter Richtlinien, einschließlich Verkettung eingeschränkter Tabellen, Tabellenbeziehungen basierend auf Ausdrücken und vieles mehr, finden Sie in diesen Ressourcen: