Vai al contenuto principale

Ricevo un errore di autorizzazione negata

VaultPAM applica il controllo di accesso a ogni livello: appartenenza a Safe, autorizzazioni di ruolo, policy di sessione e ambiti dei token API. Un errore "autorizzazione negata" significa che l'account utente corrente non possiede il privilegio richiesto per l'azione richiesta. La soluzione corretta è sempre richiedere l'accesso appropriato a un amministratore — non esistono scorciatoie legittime.

Sintomi

  • Un banner di errore recita Permission denied, Access denied o You do not have permission to perform this action.
  • Fare clic su un pulsante Launch Session, Check out, Approve o Edit restituisce un errore.
  • Una chiamata API restituisce 403 Forbidden.
  • Una funzione o una voce di menu è visibile ma facendo clic si produce un errore di accesso.

Cause

1. Assegnazione di ruolo mancante

La causa più comune. L'account utente non è stato assegnato a un ruolo che include l'autorizzazione necessaria per l'azione richiesta.

Verifica: Apri Profile → My Access per visualizzare le assegnazioni di ruolo correnti. Conferma che un ruolo sia elencato per il Safe o la risorsa a cui stai cercando di accedere.

Soluzione: Contatta un amministratore Safe o un amministratore VaultPAM e chiedi loro di assegnarti un ruolo che includa l'autorizzazione richiesta per lo specifico Safe. L'assegnazione del ruolo viene eseguita tramite Safes → seleziona Safe → Members → Add member.

2. Ruolo limitato al Safe sbagliato

I ruoli in VaultPAM sono limitati ai singoli Safe. Avere un ruolo Operator sul Safe A non concede alcun accesso al Safe B. Se stai cercando di accedere a una risorsa che appartiene a un Safe diverso da quello coperto dal tuo ruolo, riceverai un errore di autorizzazione negata.

Verifica: Conferma a quale Safe appartiene la risorsa o sessione di destinazione, quindi apri Profile → My Access e verifica che l'assegnazione di ruolo copra quel Safe specifico.

Soluzione: Chiedi a un amministratore Safe di aggiungerti al Safe corretto con un ruolo appropriato.

3. Restrizione della policy di sessione

Alcuni Safe applicano policy di sessione che limitano l'accesso in base alla finestra temporale, agli attributi del richiedente o ai requisiti di approvazione. Una restrizione della policy viene applicata al momento della richiesta di sessione, anche se possiedi un ruolo che normalmente consente l'accesso.

Verifica: Apri la vista dei dettagli di Safe e cerca un badge Policy o una sezione Access policy. Le restrizioni attive come "Requires approval" o "Outside allowed hours" saranno descritte lì.

Soluzione: Se una policy richiede approvazione, invia una richiesta di sessione e attendi che un approvatore agisca su di essa. Se la policy è limitata nel tempo, riprova durante la finestra consentita. Se ritieni che la policy sia mal configurata, chiedi a un amministratore Safe di rivederla.

4. Ambito del token API insufficiente

Se stai accedendo a VaultPAM tramite API e ricevi una risposta 403 Forbidden, il token API in uso potrebbe essere stato creato con un ambito limitato che non include l'operazione richiesta.

Verifica: Rivedi l'ambito assegnato al token API. I token vengono creati in Profile → API Tokens. Conferma che l'ambito del token includa l'autorizzazione che la chiamata API richiede.

Soluzione: Crea un nuovo token API con l'ambito appropriato, o chiedi a un amministratore VaultPAM di aggiornare l'ambito sul token esistente. Non riutilizzare token tra applicazioni e non concedere ambiti più ampi del minimo necessario.

Passaggi di risoluzione

  1. Annota il messaggio di errore esatto e l'azione che stavi tentando.
  2. Apri Profile → My Access e conferma di avere un'assegnazione di ruolo per lo specifico Safe a cui appartiene la risorsa. Se nessun ruolo è elencato, contatta un amministratore.
  3. Conferma che la risorsa appartiene al Safe coperto dal tuo ruolo — un ruolo su un Safe non si trasferisce a un altro.
  4. Se il Safe mostra una policy di sessione attiva, verifica i suoi requisiti (approvazione, finestra temporale) e rispettali.
  5. Se usi l'API, verifica l'ambito del token in Profile → API Tokens e crea un token sostitutivo con l'ambito corretto se necessario.
  6. Dopo una modifica di ruolo o policy, riprova l'azione — i cambiamenti di autorizzazione hanno effetto immediato senza disconnessione.

Percorso di escalation

Se dopo aver rivisto i tuoi ruoli e policy l'errore persiste:

  1. Annota il messaggio di errore esatto, il nome del Safe, il nome della risorsa e l'azione tentata.
  2. Chiedi a un amministratore VaultPAM di rivedere le tue assegnazioni di ruolo e confermare quali autorizzazioni sono allegate al tuo ruolo attuale.
  3. Apri un ticket di supporto con: nome utente interessato, nome del Safe, messaggio di errore esatto e i risultati della revisione del ruolo da parte dell'amministratore.

Articoli correlati