ACL 管理者優先オプションの仕組み - Support and Troubleshooting

ACL 管理者優先オプションの仕組み Issue ACL を作成または変更する際、使用可能なフィールドの 1 つとして [管理者優先] と呼ばれるものがあります。このフィールドは、チェックを外してロールを追加しただけでは管理者ユーザーによる特定のデータへのアクセスを防ぐことが十分にできず、混乱を招く可能性があります。

このオプションは、スクリプトやロールの制限に関係なく、管理者ロールを持つユーザーがこの ACL ルールの権限チェックを自動的に通過することを許可します。ただし、nobody ロールは [管理者優先] オプションよりも優先されます。 ACL に nobody ロールが割り当てられている場合、[管理者優先] オプションが選択されていても、管理者ユーザーはリソースにアクセスできません。

管理者が保護されたオブジェクトにアクセスするにあたり、この ACL ルールで定義された権限を満たす必要がある場合は、このチェックボックスをオフにします。管理者は常にロールチェックをパスするため、条件ビルダーまたは [スクリプト] フィールドを使用して、管理者がパスしなければならない権限チェックを作成します。

つまり、単に [管理者優先] チェックボックスのチェックを外してロールを追加するだけでは、管理者ユーザーのアクセスをブロックするのに十分ではありません。

Release すべて

Resolution 条件ビルダーで条件を追加するか、[詳細] オプションをオンにして、管理者ユーザーがアクセスできないようにするスクリプトを追加します。

たとえば、管理者ユーザーがテーブル A にアクセスできないようにするには、次の操作を実行します。

読み取り ACL を作成します。 [管理者優先] オプションのチェックを外します。 (オプション) ロールを追加します。 条件またはスクリプトを追加し、[詳細] チェックボックスをオンにします。 スクリプトの簡単な例：

var answer = true; if (gs.getUser().hasRole('admin')) { answer = false; }