- 新着としてマーク
- ブックマーク
- 購読
- ミュート
- RSS フィードを購読する
- ハイライト
- 印刷
- 不適切なコンテンツを報告
4 週間前 - 最終編集 4 週間前
はじめまして、
現在、特定なユーザーに対し、以下の操作を許可したいと考えております。
・User、Group、Roleの作成、削除
・GroupとUserへRoleの割り当て
自分で調べたところ、
・User、Group、Roleの作成、削除
→adminロールが必要
・GroupとUserへRoleの割り当て
→user_adminロールが必要
そこで2点質問があります。
1. 特定のユーザーにuser_adminロールを付与すべきでしょうか。
2. adminロールを付与せずに、上記の操作ができるような設定方法などありますでしょうか。
他にいい設定の仕方やデザインがございましたら助かります。
よろしくお願いいたします。
解決済! 解決策の投稿を見る。
- ラベル:
-
Admin Role
-
Group
-
roles
-
user_admin
-
Users
- 新着としてマーク
- ブックマーク
- 購読
- ミュート
- RSS フィードを購読する
- ハイライト
- 印刷
- 不適切なコンテンツを報告
3 週間前
結論としては、
- admin ロールは最小限に。ロールの新規作成/削除は引き続き admin のみで中央管理するのがベストだと思います。
- ユーザー/グループへのロール割当は、user_admin を広く配らず、まずは role_delegator(ロール委任)で代替することを推奨します。これにより「自分が保有しているロールに限り」グループ内メンバーへ付与でき、過剰権限を抑制できます。
- user_admin を付与する場合は ID/権限管理の専任者へ限定し、現場の付与作業は申請カタログ+承認/ワークフローで実行する設計が安全です
質問①[User・Group・Role の作成/削除]
→OOTB では admin が必要です。特に Role の作成/削除はアクセス制御の根幹に関わるため、小規模のメンバー内でadminロールを付与して管理することが推奨されます。
質問②[ adminロールを付与せずに、上記の操作ができるような設定方法などありますでしょうか。]
→いくつか方法が考えられます。
②-1:ロール割当
role_delegator(ロール委任)という機能を活用することで、委任権限をもつユーザーは、自分が保有しているロールを、指定グループのメンバーに委任付与することができるため、user_admin を配らずとも、グループ単位で現場自身で必要最小限のロール付与を実施することが可能になります。これにより、過剰権限の拡散を抑えることができます。
もし、ロールを付与できるユーザーが管理者ではなく現場のビジネスユーザーの方であれば、この方法が考えられます。
もしくはサービスカタログでロールを付与するカタログを作成し、ビジネスユーザーが指定のロールを送信することで自動で(もしくは承認後)付与するといった方法もあります。
②‐2:User/Group/Role の作成・削除
Role の新規作成/削除は引き続き admin のみに限定するほうが良いです。
User/Group 作成も原則 admin ですが、実務上は人事/IdP(Azure AD/LDAP)をソースにして ServiceNow へ取り込み、ServiceNow 側はロール/メンバー割当の制御と監査に特化するような考え方もあります。
ソースの取り込み等の検討がまだできない場合は、user_adminロールを付与して対応しますが、user_adminはロールの割り当てだけでなく、会社、部門、場所といったFoundationデータへの変更も可能です。ロールを付与する目的としての権限と考えると過剰権限なので、ServiceNow管理者に該当する方へ限定したほうが良いです。
ビジネスユーザーからのユーザー、グループの作成の要望はカタログで受付て、user_adminが作成、もしくはFlowで自動作成する方法が良いと思います。
【もし回答に納得がいただけた場合は、[解決策として承認する]ボタンを押してください。、次に疑問に思った方が、この質問にたどり着きやすくなります。】
senon
- 新着としてマーク
- ブックマーク
- 購読
- ミュート
- RSS フィードを購読する
- ハイライト
- 印刷
- 不適切なコンテンツを報告
4 週間前
Hi @shog
Regarding your questions:
- Assigning user_admin role:
Yes, if you want specific users to be able to assign roles to Users and Groups, they will need the user_admin role. This is the standard approach in ServiceNow. - Allowing creation/deletion without admin:
Unfortunately, creating or deleting Users, Groups, or Roles requires the admin role. There isn’t a supported way to allow these operations without admin, because these are sensitive actions that could affect the entire instance.
Recommendation:
- If you only want to allow role assignment, give them user_admin.
- For full management of Users, Groups, and Roles, you will need to assign admin.
- Alternatively, consider creating a custom role with limited access via ACLs if you want a more controlled approach, but this requires careful planning to avoid security risks.
- 新着としてマーク
- ブックマーク
- 購読
- ミュート
- RSS フィードを購読する
- ハイライト
- 印刷
- 不適切なコンテンツを報告
4 週間前
Hi @shog,
usually the users are managed in some 3rd party system (LDAP, Workday, Google) and ServiceNow is "mirroring" this source by integration. However if you want to manage it in SN it's not impossible...
Regarding the user_admin role, it strongly depends on each client's needs and requirements, there is no general or universal answer to this.
NOTE: be very careful about user and group deletion!
It's always better to deactivate user rather than to delete it. Imagine an incident where a User A is a caller and User B is assignee, then you delete both User A and User B, then the incident will display no value while the field will not be empty (it will still hold non-existing sys ID but with nothing to display)....
You can easily test this in PDI, create a user, assign it to incident, keep the incident open and delete this user in another tab and then go back to incident and refresh the window...
So it's a good practise to always deactivate users rather than to delete them.
/* If my response wasn’t a total disaster ↙️ ⭐ drop a Kudos or Accept as Solution ✅ ↘️ Cheers! */
- 新着としてマーク
- ブックマーク
- 購読
- ミュート
- RSS フィードを購読する
- ハイライト
- 印刷
- 不適切なコンテンツを報告
4 週間前
Users are usually provisioned and brought via LDAP.
If you need to do user management then please give user_admin role to your group and ensure you add members to that group.
Those group members will inherit the role and will be able to perform the actions.
If my response helped please mark it correct and close the thread so that it benefits future readers.
Ankur
✨ Certified Technical Architect || ✨ 9x ServiceNow MVP || ✨ ServiceNow Community Leader
- 新着としてマーク
- ブックマーク
- 購読
- ミュート
- RSS フィードを購読する
- ハイライト
- 印刷
- 不適切なコンテンツを報告
3 週間前
Thank you for marking my response as helpful.
As per new community feature you can mark multiple responses as correct.
If my response helped please mark it correct as well so that it benefits future readers.
Ankur
✨ Certified Technical Architect || ✨ 9x ServiceNow MVP || ✨ ServiceNow Community Leader
