Contexto empresarial
Como parte de una auditoría de cumplimiento (Compliance), se debe demostrar que un usuario estándar, sin roles administrativos, no puede invocar esta acción para espiar los datos de otros colegas. Este es un caso de prueba negativo ('Cas Limite').
Sobre el conjunto : accessControl
Gestión de derechos de acceso y seguridad de datos.
Descubrir todas las acciones de accessControl Preparación de datos
No se requiere preparación de datos, ya que se prueba la restricción de acceso.
¡Copiado!
| 1 | /* Prueba de seguridad - Sin datos */ |
Étapes de réalisation
1
El usuario se asegura explícitamente de NO tener el rol de superusuario activo.
¡Copiado!
| 1 | |
| 2 | PROC CAS; |
| 3 | |
| 4 | ACCESSCONTROL.dropRole / role='superuser'; |
| 5 | |
| 6 | RUN; |
| 7 |
2
Intento de ejecutar la acción accessPersonalCaslibs sin los permisos adecuados.
¡Copiado!
| 1 | |
| 2 | PROC CAS; |
| 3 | |
| 4 | ACCESSCONTROL.accessPersonalCaslibs; |
| 5 | |
| 6 | RUN; |
| 7 |
Resultado esperado
La ejecución debe fallar. El log de SAS debe mostrar un mensaje de error claro indicando 'Permiso denegado' o que el usuario no tiene los privilegios administrativos necesarios para realizar esta acción.