Problema de permissionamento

Product Feedback Report Bug
#1

Problema de permissionamento - Usuários com acesso limitado, tendo acesso apenas aos registros criados por eles, conseguem criar automações que permitem acessos a dados de outros usuários da mesma tabela através do envio por estas automações. O usuário também está com Access User ativo, mas não vi diferença.

Não encontrei uma forma de limitar acesso às automações através dos profiles.
O acesso ao conector é o caminho para acessar as automações. Também seria adequado limitar o acesso a importação.

Como montei as regras de acesso:

{
	"manage_users": 0,
	"manage_profile": 0,
	"manage_tricks": 0,
	"manage_workspaces": 0,
	"access_actions_history": 0,
	"access_settings": 0,
	"customize_org_theme": 0,
	"development": 0,
	"create_table": 0,
	"create_dashboard": 0,
	"tables_enabled": {
						(...)
							"field": "criado_por",
							"reference": "id_user"
						(...)
			"fields_excluded": [],
			"fields_readonly": [],
			"manage_structure": 0,
			"can_delete": [
						(...)
							"field": "criado_por",
							"reference": "id_user"
						(...)
			"can_create": [
						(...)
							"field": "criado_por",
							"reference": "id_user"
						(...)
	"tables_disabled": [],
	"pages_enabled": 0,
	"pages_disabled": [],
	"dashboards_enabled": 0,
	"dashboards_disabled": []
}
#2

Opa @Ikenaga

Obrigado por reportar!

Já levei o seu caso para o time analisar e assim que tiver um retorno já te mando aqui :slight_smile:

#3

Só precisamos entender mais o que você quer dizer com automação: são chamadas de api externas? São tricks? São as triggers? Pq pelo que notamos do código, esse perfil não consegue criar trick nem nada.

Consegue nos passar o passo a passo do que esse usuário fez? Pode mandar screenshot/video para hello@jestor.com que já analisamos melhor!

#4

Demoro algumas horas para retornar para o computador. Mas adiantando…
Um profile nestes parâmetros deveria ter acesso apenas as inserir, editar e apagar os dados que for owner naquele tabela.
Com este profile consegui criar um trick (enviar novo record para gmail, destinatário qualquer). Para isso, acessar a aba connections (import xlsx csv etc) no final da página tem um criar tricker que não está bloqueado pela restrição do profile.

#5

Opa @Ikenaga

O pessoal já identificou o problema e subirão um fix ainda hoje, assim o usuário não conseguirá criar automações

#6

Oi @Ikenaga

Pessoal me informou aqui que já está no ar, então o usuário já não consegue mais criar a automacao :slight_smile:

1 Like
#7

@Ikenaga enviou:

Bom dia, jestors!

Vi que corrigiram, porém encontrei outro problema.

Se utilizar a URL do modal é possível abrir a automação. :frowning:

#8

Opa @Ikenaga

Confirmei aqui com o pessoal, e sim, ele vai conseguir acessar essa tela que nos enviou, mas ele não conseguirá salvar a automação por conta da trava de permissionamento :relaxed:

#9

Salve @marcos.figueiredo !
Aqui funcionou. :sunglasses:
Pede para o pessoal dar mais uma olhadinha.

Screenshot-20220714084218-345x311

#10

Opa @Ikenaga

Desculpa o equivoco, o pessoal estava subindo, agora sim está no ar!

Consegue testar?

1 Like
#11

Agora foi! Abre o modal mas trava ação!
Valeuuuu!!!

Screenshot-20220714165349-440x558
Screenshot-20220714165349-440x558440×558 22.2 KB

1 Like