Acceso Read-Only / Solo-Lectura

arielgritti
Mega Sage

on ‎10-08-2019 11:58 PM

Buenos días,

Como está la comunidad? Espero que bien... Hoy os quería contar algo que igual todos ya sabéis, pero bueno, por dejarlo escrito no perdemos nada no?

Imagino que alguna vez se os presentó la necesidad de dar acceso "Solo-Lectura" / "Read-Only" a algún consultor externo para una auditoría, o algún perfil de la empresa que por el motivo que fuera necesitara ver ciertos registros pero no queréis que pueda modificar nada, y tampoco queréis estar todo el rato haciendo reportes, exportando a excel, para pasarlos, verdad?

Si os ha pasado, existe una solución muy práctica que os comparto.

Podéis activar un rol "especial" llamado snc_read_only (hay más roles especiales del tipo "snc_XXXXX" que podemos comentar en otro artículo) que como su nombre no deja dudas, otorga acceso del tipo solo lectura a los registros.

Hasta aquí nada muy increíble, pero lo más interesante que encontré es que lo puedes "combinar" con otros roles, para dar un acceso restringido y que además sea solo lectura.

Me explico: Si le dais snc_read_only + itil lo que pasará es que ese "consultor" podrá ver en solo lectura todos los registros que el rol itil le permite, pero obviamente, no podrá modificar nada. Todos los campos de los formularios en gris.

En nuestro caso tengo creados varios grupos combinados con el snc_read_only y según la necesidad voy poniendo/quitando usuarios de esos grupos cuando me solicitan un tipo de acceso como este.

Si no tenéis el rol snc_read_only disponible, se activa mediante un plugin. Podéis pegar un vistazo a este doc (lo puse en versión London pero está en otros versiones): https://docs.servicenow.com/bundle/london-platform-administration/page/administer/user-administratio...

Y para finalizar, un "truco" que no se si os pasará a vosotros: Si en la lista de roles para asignar al Grupo/Usuario no os aparece snc_read_only como en la imagen:

find_real_file.png

Si ponéis snc en la lupa os aparecen los roles tipo "snc_XXXXX" disponibles que tengáis activados:

find_real_file.png

Espero que os sea de utilidad.

Saludos a toda la comunidad

Ariel

Preview file
27 KB
Preview file
42 KB
  • 2,064 Views
Comments
p_espinar
Kilo Guru
‎10-09-2019 12:32 AM

Caramba, Ariel, muy útil esto que comentas. No lo conocía. Está visto que con ServiceNow nunca terminas de aprender cosas.

Un saludo,
Pablo Espinar
Consultant at Econocom Spain

arielgritti
Mega Sage
‎10-09-2019 12:43 AM

Es una caja de sorpresas (agradables!!!!!) constante!

Saludos Pablo!

0 Helpfuls
Lucas Vieites
Tera Guru
‎10-09-2019 11:41 AM

Hola,

solo quería añadir un truco al "truco" y es que, para evitar problemas de rendimiento, la cantidad de elementos que se muestran en las cajas de selección ("slushbucket" en terminología ServiceNow) está limitada a 100. Para modificar este límite solo es necesario editar el valor de la propiedad de sistema "glide.xmlhttp.excessive". Más información en la documentación: Set the number of slushbucket items visible in the available column. Eso sí, con cuidadín, aumentar este valor demasiado puede causar lentitud en la generación del formulario.

Espero que esto os sea de utilidad.

Saludos,

Lucas Vieites

arielgritti
Mega Sage
‎10-09-2019 03:13 PM
Hola Lucas Muchas gracias por compartir tu truco con la comunidad. Necesitamos más gente como tu que se anime a compartir!!! 👏 👏 👏 Ariel
0 Helpfuls
Fabio Alexander
Tera Contributor
‎12-20-2023 08:45 AM

Buen dia Ariel, muchas gracias por tu información

 

Me queda una duda, usar la combinación de snc_read_only + itil supone el uso de una licencia para esas consultas lo que no sería muy conveniente por el tema de costos al usar una licencia itil solo para consultas.

 

Es posible lograr hacer esas consultas sin usar esta licencia?

 

Veo que con el rol snc_read_only solo permite consultar los casos propios desde el backend, pero si se requiere por ejemplo para un usuario de Auditoria que quiere consultar los casos de todos los usuarios cómo se lograría?

 

De antemano gracias por tu respuesta

Pato_Herrera
Tera Contributor
‎03-25-2024 07:51 AM

Hola Ariel, muchas gracias por el comentario.
solo tengo una duda, este rol snc_read_only, consume licencia?

0 Helpfuls
arielgritti
Mega Sage
‎05-08-2024 12:39 AM

Buenos días,

 

No se que pasó con las notificaciones de la comunidad, pero veo que había 2 preguntas (del 2023 y otra de Marzo del 2024) que nunca me llegaron los mails, y hoy si han llegado (un pelín tarde).


El rol snc_read_only hasta donde se, si consume licencia. Mi post original iba enfocado a dar acceso sin posibilidad de modificar nada a un auditor por ejemplo.

 

Aquí se explica el tema de la licencia para este tipo de roles: https://www.servicenow.com/community/now-platform-forum/role-licenses/m-p/1079454

 

Respecto de la combinación snc_read_only + ITIL, efectivamente, no tiene mucho sentido. En esos casos quizás sea más conveniente una business_stakeholder (siempre son más baratas que ITIL) para dar a un "manager" por ejemplo acceso a ciertas tablas en modo solo consulta.

Saludos,
Ariel

Patricio Herrer
Tera Contributor
‎06-25-2024 09:32 AM

Hola Muchas gracias por tu post ya lo habia visto hace un tiempo. Tengo una duda y es que al momento de dar ITIL+SNC_read_only permite que la persona pueda realizar requerimientos a traves del Service Catalog, lo que no sirve para un auditor que solo debe revisar información. 

 

PatricioHerrer_0-1719333118137.png

 

0 Helpfuls
arielgritti
Mega Sage
‎06-26-2024 01:24 AM

Hola Patricio,

 

He leido tu comentario y he vuelto a verificar la configuración, y al menos en mi PDI no funciona como comentas.

Que pasos he seguido:

1. En una PDI he creado un usuario con role snc_read_only

2. He ido al Service Portal y he tratado de "crear/pedir" algo, por ejemplo una incidencia.

3. Puedes comprobar aquí que el widget de submit o botón de pedir/enviar no se muestra. Esto confirma que snc_read_only no te deja "crear" un registro, aunque sea desde el SP a través de un catalog item o record producer

 

read_only_no_create.PNG

4. Luego he añadido el rol ITIL al usuario

5. He vuelto a impersonarme, he ido al Service Portal y he probado con otro catalog item, el que verás a continuación en la imagen, y lo mismo, no puedes "pedir/enviar" la petición

read_only_no_create_with_itil.PNG

 

Basándome en esta prueba, para mi, la combinación ITIL + snc_read_only respecto de "solo ver" registros y no editarlos/crearlos funciona. La diferencia radica en que asignando ITIL podrá "solo ver" (por la combinación con snc_read_only) los registros de las tablas a las que ITIL tiene permiso (incident, change, etc, etc, todo lo que tira de la tabla task). Si solo fuera snc_read_only solo podría ver "sus propios registros".

 

Quizás debas revisar que roles tiene el usuario de tu ejemplo, si has impersonado el usuario que tocaba, etc.

Espero esto te ayude.


Saludos,

Ariel

0 Helpfuls
arielgritti
Mega Sage
‎06-26-2024 01:26 AM

Otro punto que viene a mi mente releyendo tu post. Por lo general, pero esto ya depende de cada caso, el "auditor" revisará información en la interface Backend, por ejemplo, viendo como se resolvió una incidencia, que un change se haya completado, etc. Dependerá del tipo de auditoria. El use case que comentas de que el auditor vaya a crear una petición no lo veo del todo, pero claro, puede ser que en vuestro caso el auditor no solo esté revisando información, quizás procesos, etc.

0 Helpfuls
Pato_Herrera
Tera Contributor
‎06-26-2024 04:15 PM
Gracias Ariel, efectivamente es como indicas, el auditor solo deberia ver o revisar como se cerró un ticket. Los roles que le asigne al usuario, son solo los dos que indicaste en tu post Itil + SNC_Read_only, pero con eso puede ver el menu y ahi, desde el Service Catalog podría hacer solicitudes. De todas formas, muchas gracias por tu post, fue de mucha ayuda, el resto ya son detalles, lo primordial es que puede ver tickets y cmdb en modo solo lectura.
0 Helpfuls
Version history
Last update:
‎10-08-2019 11:58 PM
Updated by: