あるロールにおいて他の人のレコード参照不可あるいは特定URLは参照不可にしたい

Ryouta Kodama · ‎05-22-2023

コミュニティの皆様お世話になっております。
私たちは、基幹としてるテーブルの「//XXXXXXXXXX.service-now.com/now/nav/ui/classic/params/target/XXXXX_list.do」のURLが利用者に流出すると(利用者のみアクセス可能なIPアドレス制御はかけています)ServiceNowで業務をしている情報が他人でも全部見れてしまうのが問題であり、回避したく検討しています。
ここで、利用者の組織間のアクセス制御はACLで可能だろうとは考えています。
加えてですが、
１．たとえば作成者(created)が自分以外のレコードは参照不可（しかし一部のロールでは参照可能）を実現しようとするのは、一部のロールはCRUD権限オールOKにして、利用者はACLのスクリプトで制御するのが考え方としては正しいでしょうか？検証を行おうと考えています。
２．/now/nav/ui/classic/params/target/　を含むURLには特定の権限でないとアクセス不可、は行えるか、あるいはこうしたら出来そう、などご存じな方いらっしゃいますでしょうか？
なお、利用者も全員ある程度情報を操作できるアカウントなので、アカウント的には問題なく情報が見れてしまいます。
データの種別によるアクセス制御　の投稿は参考にしています。
よろしくお願いします。

newhand · ‎05-22-2023

@Ryouta Kodama 　※検討という目的で回答しております。

こちらも最近同じ内容を勉強しています。

１．ACLはでいる、かつ　論理的にはこれが標準だと思いますが、

　　ただ、ユーザビィティはそんなに良くないようです。

　　権限範囲外のレコードは表示される際に見えないようにしているので、

　　一覧には権限範囲内のレコードしか残ってないが、

　　表示できるレコードは一ページに表示可能な分より少ない。

　　最悪の場合、空ページが表示してしまいます。

２．Business ruleのBefore　queryを使用（複雑な場合は性能問題が起こる可能性がある）。

３．Business ruleのDisplayを使用。。。未検証。。

※URLに特別なパラメータを追加などは難しいかな。。消せるだし。

Please mark my answer as correct and helpful based on Impact.

View solution in original post

Junnosuke Yamam · ‎08-10-2023

既に解決しているかもしれませんが、勉強を兼ねてスクリプトを組んでみました。

adminロールを持たないユーザが"_list.do"を含むURLにアクセスした場合、警告を出してホーム画面に戻します。

戻し先をポータルにすることもできますし、リストアクセスを許可するロールを増やすこともできます。

2023/8/14追記

非ログイン時にログイン画面でアラートが出続ける事象が発生したため、下図スクリプトはそのままだと使えないです・・・。

2023/8/14追記２

window.NOWの中身を見ていると、非ログイン時のwindow.NOW.user.name=guestとなっていたため、これを下図の中で使ってあげれば良さそうです。