- 新着としてマーク
- ブックマーク
- 購読
- ミュート
- RSS フィードを購読する
- ハイライト
- 印刷
- 不適切なコンテンツを報告
4 週間前 - 最終編集 4 週間前
はじめまして、
現在、特定なユーザーに対し、以下の操作を許可したいと考えております。
・User、Group、Roleの作成、削除
・GroupとUserへRoleの割り当て
自分で調べたところ、
・User、Group、Roleの作成、削除
→adminロールが必要
・GroupとUserへRoleの割り当て
→user_adminロールが必要
そこで2点質問があります。
1. 特定のユーザーにuser_adminロールを付与すべきでしょうか。
2. adminロールを付与せずに、上記の操作ができるような設定方法などありますでしょうか。
他にいい設定の仕方やデザインがございましたら助かります。
よろしくお願いいたします。
解決済! 解決策の投稿を見る。
- ラベル:
-
Admin Role
-
Group
-
roles
-
user_admin
-
Users
- 新着としてマーク
- ブックマーク
- 購読
- ミュート
- RSS フィードを購読する
- ハイライト
- 印刷
- 不適切なコンテンツを報告
3 週間前
結論としては、
- admin ロールは最小限に。ロールの新規作成/削除は引き続き admin のみで中央管理するのがベストだと思います。
- ユーザー/グループへのロール割当は、user_admin を広く配らず、まずは role_delegator(ロール委任)で代替することを推奨します。これにより「自分が保有しているロールに限り」グループ内メンバーへ付与でき、過剰権限を抑制できます。
- user_admin を付与する場合は ID/権限管理の専任者へ限定し、現場の付与作業は申請カタログ+承認/ワークフローで実行する設計が安全です
質問①[User・Group・Role の作成/削除]
→OOTB では admin が必要です。特に Role の作成/削除はアクセス制御の根幹に関わるため、小規模のメンバー内でadminロールを付与して管理することが推奨されます。
質問②[ adminロールを付与せずに、上記の操作ができるような設定方法などありますでしょうか。]
→いくつか方法が考えられます。
②-1:ロール割当
role_delegator(ロール委任)という機能を活用することで、委任権限をもつユーザーは、自分が保有しているロールを、指定グループのメンバーに委任付与することができるため、user_admin を配らずとも、グループ単位で現場自身で必要最小限のロール付与を実施することが可能になります。これにより、過剰権限の拡散を抑えることができます。
もし、ロールを付与できるユーザーが管理者ではなく現場のビジネスユーザーの方であれば、この方法が考えられます。
もしくはサービスカタログでロールを付与するカタログを作成し、ビジネスユーザーが指定のロールを送信することで自動で(もしくは承認後)付与するといった方法もあります。
②‐2:User/Group/Role の作成・削除
Role の新規作成/削除は引き続き admin のみに限定するほうが良いです。
User/Group 作成も原則 admin ですが、実務上は人事/IdP(Azure AD/LDAP)をソースにして ServiceNow へ取り込み、ServiceNow 側はロール/メンバー割当の制御と監査に特化するような考え方もあります。
ソースの取り込み等の検討がまだできない場合は、user_adminロールを付与して対応しますが、user_adminはロールの割り当てだけでなく、会社、部門、場所といったFoundationデータへの変更も可能です。ロールを付与する目的としての権限と考えると過剰権限なので、ServiceNow管理者に該当する方へ限定したほうが良いです。
ビジネスユーザーからのユーザー、グループの作成の要望はカタログで受付て、user_adminが作成、もしくはFlowで自動作成する方法が良いと思います。
【もし回答に納得がいただけた場合は、[解決策として承認する]ボタンを押してください。、次に疑問に思った方が、この質問にたどり着きやすくなります。】
senon
- 新着としてマーク
- ブックマーク
- 購読
- ミュート
- RSS フィードを購読する
- ハイライト
- 印刷
- 不適切なコンテンツを報告
3 週間前
結論としては、
- admin ロールは最小限に。ロールの新規作成/削除は引き続き admin のみで中央管理するのがベストだと思います。
- ユーザー/グループへのロール割当は、user_admin を広く配らず、まずは role_delegator(ロール委任)で代替することを推奨します。これにより「自分が保有しているロールに限り」グループ内メンバーへ付与でき、過剰権限を抑制できます。
- user_admin を付与する場合は ID/権限管理の専任者へ限定し、現場の付与作業は申請カタログ+承認/ワークフローで実行する設計が安全です
質問①[User・Group・Role の作成/削除]
→OOTB では admin が必要です。特に Role の作成/削除はアクセス制御の根幹に関わるため、小規模のメンバー内でadminロールを付与して管理することが推奨されます。
質問②[ adminロールを付与せずに、上記の操作ができるような設定方法などありますでしょうか。]
→いくつか方法が考えられます。
②-1:ロール割当
role_delegator(ロール委任)という機能を活用することで、委任権限をもつユーザーは、自分が保有しているロールを、指定グループのメンバーに委任付与することができるため、user_admin を配らずとも、グループ単位で現場自身で必要最小限のロール付与を実施することが可能になります。これにより、過剰権限の拡散を抑えることができます。
もし、ロールを付与できるユーザーが管理者ではなく現場のビジネスユーザーの方であれば、この方法が考えられます。
もしくはサービスカタログでロールを付与するカタログを作成し、ビジネスユーザーが指定のロールを送信することで自動で(もしくは承認後)付与するといった方法もあります。
②‐2:User/Group/Role の作成・削除
Role の新規作成/削除は引き続き admin のみに限定するほうが良いです。
User/Group 作成も原則 admin ですが、実務上は人事/IdP(Azure AD/LDAP)をソースにして ServiceNow へ取り込み、ServiceNow 側はロール/メンバー割当の制御と監査に特化するような考え方もあります。
ソースの取り込み等の検討がまだできない場合は、user_adminロールを付与して対応しますが、user_adminはロールの割り当てだけでなく、会社、部門、場所といったFoundationデータへの変更も可能です。ロールを付与する目的としての権限と考えると過剰権限なので、ServiceNow管理者に該当する方へ限定したほうが良いです。
ビジネスユーザーからのユーザー、グループの作成の要望はカタログで受付て、user_adminが作成、もしくはFlowで自動作成する方法が良いと思います。
【もし回答に納得がいただけた場合は、[解決策として承認する]ボタンを押してください。、次に疑問に思った方が、この質問にたどり着きやすくなります。】
senon
