Вы находитесь здесь:
Управление доступом посредством управления иерархией ролей
В иерархии ролей пользователи имеют доступ к записям, за которые ответственны или которые доступны нижестоящим пользователям. Роли в иерархии влияют на доступ к компонентам (например, записям и отчетам).
Управление именем
Управление доступом посредством иерархии ролей, групп и правил общего доступа
Рекомендованная конфигурация
Предоставление доступа посредством иерархий - выбрано на странице параметров общего доступа:
Настройка>Параметры общего доступа>Единые стандартные параметры общего доступа>Редактировать>Выбранный объект включить «Предоставить доступ посредством иерархий».
Общие сведения о контроле
В иерархии ролей пользователи имеют доступ к записям, за которые ответственны или которые доступны нижестоящим пользователям. Роли в иерархии влияют на доступ к компонентам (например, записям и отчетам).
Риск безопасности, если он не настроен
Отключение параметра «Предоставить доступ с использованием иерархий» для настраиваемых объектов препятствует автоматическому наследованию доступа менеджерами и вышестоящими руководителями к записям, принадлежащим их подчиненным, что приводит к значительным хранилищам данных и фрагментарной видимости.
Это отсутствие автоматического доступа вынуждает администраторов полагаться на сложные правила общего доступа, установленные вручную, чтобы поддерживать надзор, что повышает риск ошибок конфигурации и чрезмерного предоставления полномочий «Просмотреть все» или «Изменить все» в качестве рискованного решения для восстановления нужной видимости.
Сценарии угроз
Менеджер пытается создать срочный отчет о соответствии, но блокируется, поскольку иерархический доступ отключен для настраиваемого объекта, что предлагает администратору предоставить полномочия «Просмотреть все» в качестве быстрого решения.
Эта чрезмерная привилегия позволяет менеджеру или исполнителю угрозы, который компрометирует свою организацию, пропустить все параметры безопасности строки и получить доступ к конфиденциальным записям во всей компании, которые они не видели.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Повышение рисков в зависимости от структуры компании, количества пользователей и ролей и профилей в организациях.
Повышенный риск при
Риск отключения иерархического доступа усугубляется отсутствием детального управления наборами полномочий, что часто вынуждает администраторов предоставлять широкие полномочия «Просмотреть все» или «Изменить все» менеджерам в качестве быстрого, но небезопасного обходного пути.
Кроме того, отсутствие стратегии автоматического общего доступа (например, динамические правила общего доступа или общий доступ Apex) и отсутствие периодического пересмотра доступа, чтобы убедиться, что ручные "разовые" назначения общего доступа становятся неуправляемыми, что в конечном итоге приводит к значительному превышению полномочий и чрезмерному экспонированию данных.
Низкий или нулевой риск при
Чтобы минимизировать риск хранения данных при выключенном иерархическом доступе, компании могут внедрить правила общего доступа на основе критериев или ручной общий доступ, чтобы четко предоставить доступ к записям определенным менеджерам или общедоступным группам на основе бизнес-потребностей.
Кроме того, использование управляемого общего доступа Apex для сложных сценариев или использование общедоступных групп и рабочих групп обеспечивает сохранение надзора посредством детальных, документированных исключений, а не использования широких и рискованных административных полномочий "Просмотреть все".
Рекомендации по бизнесу и интеграции
Доступ и полномочие пользователя на основе ролей.
Рекомендованное исправление
Внедрите периодическую проверку доступа и включите доступ посредством иерархий.
Руководство по проверке состояния безопасности
Нет/нет - в настоящее время не проверяется средством проверки состояния безопасности.
