最近のアクセス:
GAM のオーソライズシナリオ

最初の段階では、次について自動的に解決します:
  • 実行のアクセス許可
  • トランザクションのモードに対するアクセス許可

Web アプリケーション

シナリオ 1: Web オブジェクトへのアクセス ([ URL Access ] プロパティが Yes に設定されている Web パネルおよび Web コンポーネント)

ユーザーがオブジェクトを実行する権限を持っているかどうかを検証します。ユーザーがオブジェクトを実行する権限を持っていない場合、フォームのすべてのデータを確認できないようにする必要があります (Web オブジェクトのイベントの場合、Start は実際には実行されません)。

この場合、GAM は、ユーザーが <prefix>_Execute アクセス許可 (この prefix はオブジェクト用に定義された [ Permission Prefix ] ) を持っていることをチェックします。
アクセス許可エラーが検出されると、Web アプリケーションの場合は [ Not Authorized Object for Web ] に自動的にリダイレクトされます。
次を参照してください: GAM による Web オブジェクトへのアクセス許可の自動チェック方法

シナリオ 2: 呼び出しプロトコルが HTTP のメインプロシージャーへのアクセス (ブラウザーに表示されるサンプル PDF レポート)

ユーザーがこのオブジェクトを実行する権限を持っているかどうかを検証します。
この場合、GAM は、ユーザーが <prefix>_Execute アクセス許可 (この prefix はオブジェクト用に定義された [ Permission Prefix ] ) を持っていることをチェックします。
エラーが発生し、アクセス許可が検出された場合、401 HTTP エラー (アプリケーションサーバーからスローされる) が表示されます (プログラムによって取得されます)。
PDF レポートの場合、 [ Not Authorized Object for Web ] が考慮されます。

シナリオ 3: モードがある場合とない場合の Web トランザクションへのアクセス

最初に、ユーザーがこのオブジェクトを実行する権限を持っているかどうかを検証します。この場合、GAM は、ユーザーが <prefix>_Execute アクセス許可 (この prefix はトランザクション用に定義された [ Permission Prefix ] ) を持っていることをチェックします。
<prefix>_Execute アクセス許可で、ユーザーは、トランザクションのデータを表示できます (表示モード)。
ユーザーがトランザクションに対してアクション (確認または削除) を実行する場合、別のアクセス許可が必要になります:
<prefix>_Insert
<prefix>_Update
<prefix>_Delete
実際には、ほかのアクセス許可をグループ化するアクセス許可があります (「フル コントロール アクセス許可と継承」を参照):
<prefix>.FullControl

    <prefix>_Execute
    <prefix>_Insert
    <prefix>_Update
    <prefix>_Delete
エラーが発生した場合、トランザクションがパラメーターとして KEY およびモードを受け取らないと、GeneXus の標準的なエラーメッセージが表示されます (この情報を受け取ると、アクセス許可エラーが [ Not Authorized Object for Web ] にリダイレクトされます)。
参考情報: Web トランザクションのモードに対するアクセス許可を実装する方法

シナリオ 4: Web ページのグループへの制限付きアクセス

GAM: Web オブジェクトのグループに制限付きアクセスを付与する方法」を参照してください。

SD アプリケーション

シナリオ 5: Work With オブジェクトのリスト、グリッド、または詳細を表示するアクセス許可および Panel オブジェクトを実行するアクセス許可 (SD アプリケーション)。

シナリオ 1 と非常に似ていますが、ユーザーがオブジェクトを実行するアクセス許可を持っているかどうかを検証します。
リストを表示し、WWSD パネルの詳細を表示する (表示モード) アクセス許可を検証します。
SD パネルの場合、GAM は、ユーザーが実行するアクセス許可を持っているかどうかをチェックします。
この場合、GAM は、ユーザーが <prefix>_Execute アクセス許可 (この prefix はオブジェクト用に定義された [ Permission Prefix ] ) を持っていることをチェックします。
アクセス許可エラーが検出された場合、エラーが画面に表示されるか、[ Not Authorized Object for SD ] プロパティで指定されたオブジェクトにリダイレクトされます。
詳細は、「WWSD リストおよび SD パネルの実行アクセス許可を管理する方法」を参照してください。
:
1. WWSD と SD パネルの場合、これらのオブジェクトのビジネスロジックは REST Web サービスを使用して解決されます。WWSD または SD パネルオブジェクトを生成する場合、REST Web サービスとして公開されたデータプロバイダーが生成されます。
これらの REST Web サービスは、対応するオブジェクト (WWSD および SD パネル) のセキュリティを宣言すると非公開になります。
開発者には透過的なので、GeneXus ユーザーの観点からは、このことについて心配する必要はありません。
2. WWSD パネルのアクション (挿入、更新、削除) は、WWSD に関連付けられたビジネスコンポーネントに直接関連があり、WWSD 自体には関連がないことに注意してください。たとえば、Work With for Smart Devices パターンを Product トランザクションに適用すると、Product トランザクションは、REST Web サービスとして公開されたビジネスコンポーネントとして自動的に保存されることを意味します。挿入、更新、削除の各アクションに対するアクセス許可を制御するためには、ビジネスコンポーネント自体に対してアクセス許可を宣言する必要があります (シナリオ 5 を参照)。

シナリオ 6: WWSD オブジェクトのアクションへのアクセス (挿入、更新、削除)

Work With Pattern for Smart Devices をトランザクションに適用する場合 (つまり、「Product」)、「Product」トランザクションは、REST Web サービスとして公開されたビジネスコンポーネントとして自動的に保存されます。
挿入、更新、削除の各アクションに対するアクセス許可を制御するために、ビジネスコンポーネント自体に対してアクセス許可を宣言する必要があります。
その目的は、呼び出しが発行されるメソッドに応じて、ユーザーがこのオブジェクトを実行する権限を持っているかどうかを検証することです。

GET メソッドには <prefix>_Services_execute アクセス許可 (この prefix はビジネスコンポーネント用に定義された [ Permission Prefix ] ) が必要で、これは、必要な最小限のアクセス許可です。
その他のアクセス許可は次のとおりです:
<prefix>_Services_Insert
<prefix>_Services_Update
<prefix>_Services_Delete
最後に、ほかのアクセス許可をグループ化するアクセス許可があります:
<prefix>_Services.FullControl

    <prefix>_Services_Execute
    <prefix>_Services_Insert
    <prefix>_Services_Update
    <prefix>_Services_Delete
アクセス許可のチェックは、この場合、OAuth を通じて行われます。アクセス許可エラーの場合、SD アプリケーションによって取得された 401 HTTP エラーを受け取り、エラーが画面に表示されます。
参考情報: SD アプリケーションのアクセス許可の付与方法
注: トランザクションのサービス (ビジネスコンポーネント) は、WWSD 自体とは無関係です。WWSD でアクセス許可を付与しても、ビジネスコンポーネントでは付与されません。逆も同様です。
サービスは独立しており、REST サービスなので、あらゆる REST Web サービスと同じように、ほかのアプリケーションから呼び出すことができます (シナリオ 7 を参照)。

シナリオ 7: SD オブジェクトのユーザーアクションへのアクセス

参考情報: SD オブジェクトのユーザーアクションに対するアクセス許可

REST Web サービス

シナリオ 8: REST Web サービスとして公開されたビジネスコンポーネントへのアクセス

この種の REST サービスは、GET (読み取り)、POST (更新)、PUT (作成)、DELETE (削除) の HTTP メソッドを使用して呼び出すことができます。詳しくは、「REST Web サービス」を参照してください。
これらのメソッドは、ビジネスコンポーネントへの実行、更新、挿入、削除モードに直接関連しています。
その目的は、呼び出しが発行されるメソッドに応じて、ユーザーが REST Web サービスとして公開されたビジネスコンポーネントを実行する権限を持っているかどうかを検証することです。
GET メソッドには <prefix>_Services_execute アクセス許可 (この prefix はビジネスコンポーネント用に定義された [ Permission Prefix ] ) が必要で、これは、必要な最小限のアクセス許可です。
その他のアクセス許可は次のとおりです:
<prefix>_Services_Insert
<prefix>_Services_Update
<prefix>_Services_Delete
最後に、ほかのアクセス許可をグループ化するアクセス許可があります:
<prefix>_Services.FullControl

    <prefix>_Services_Execute
    <prefix>_Services_Insert
    <prefix>_Services_Update
    <prefix>_Services_Delete
アクセス許可のチェックは、この場合、OAuth を通じて行われます。アクセス許可エラーの場合、401 HTTP エラーを受け取ります。

シナリオ 9: REST Web サービスとして公開されたデータプロバイダーへのアクセス

このような種類の REST サービスは、読み取りサービスのみです (常に GET HTTP メソッドを経由してアクセスされます)。この場合、GAM は、ユーザーが <prefix>_Services_Execute アクセス許可 (この prefix はデータプロバイダー用に定義された [ Permission Prefix ] ) を持っていることをチェックします。アクセス許可のチェックは、この場合、OAuth を通じて行われます (SD アプリケーションのセキュリティチェックで使用されるのと同じメカニズムです)。
アクセス許可エラーの場合、401 HTTP エラーを受け取ります。

シナリオ 10: REST サービスとして公開されたプロシージャーへのアクセス

これらの種類のサービスは、読み取りサービスのみです (常に POST HTTP メソッドを経由してアクセスされます)。
この場合、GAM は、ユーザーが <prefix>_Services_Execute アクセス許可 (この prefix はプロシージャー用に定義された [ Permission Prefix ] ) を持っていることをチェックします。
アクセス許可のチェックは、この場合、OAuth を通じて行われます (SD アプリケーションのセキュリティチェックで使用されるのと同じメカニズムです)。

参考情報

GAM - GeneXus によって自動的に生成されるアクセス許可
GAM - アクセス許可
GAM - フル コントロール アクセス許可と継承
GAM - ロール
GAM - アプリケーション
GAM の認証シナリオ


サブページ
Created: 14/09/18 03:10 by Admin Last update: 23/05/08 21:26 by Admin
カテゴリ
Powered by GXwiki 3.0