Protégez les données d’application sensibles en utilisant l’administration d’application pour restreindre la façon dont les utilisateurs acquièrent des rôles spécifiques aux applications.

Fonctions de l’administration d’application

Utilisez l’administration d’application pour :
  • Empêchez les utilisateurs non autorisés d’accéder à des données sensibles telles que des dossiers financiers ou des informations personnelles identifiables.
  • Limitez les personnes qui peuvent affecter des rôles spécifiques à l’application, tels que l’administrateur et les développeurs désignés pour l’application.
  • Empêcher les utilisateurs ayant le rôle administrateur au niveau système de :
    • S’attribuer un rôle d’application protégé.
    • S’affecter à un groupe contenant un rôle d’application protégé.
    • Contournement des contrôles d’accès existants à une application protégée en créant des contrôles d’accès.
    • Modification du mot de passe des utilisateurs disposant d’un rôle d’application protégé.
    • Emprunter l’identité d’un utilisateur disposant d’un rôle d’application protégé, sauf si le développeur ou l’administrateur dispose également de ce rôle.
    • Hériter d’un rôle d’application protégé.
    • Remplacement des contrôles d’accès existants à une application protégée.
    • Exécution de scripts qui accèdent aux enregistrements d’applications protégés.
Avertissement :

L’administration d’application n’empêche pas l’accès via l’exécution de script des utilisateurs ayant un accès en écriture de script et l’accès aux données.

Rôles dans l’administration d’application

Vous pouvez faire de n’importe quel rôle un administrateur spécifique à l’application en cochant la case Administrateur d’application dans Configuration du rôle. Pour en savoir plus, consultez Restreindre l’accès à une application. Par convention, créez les rôles suivants :
Tableau 1. Rôles d’administration d’application
Nom du rôle Description
Administrateur spécifique à l’application Les utilisateurs disposant de ce rôle peuvent affecter d’autres utilisateurs à un rôle spécifique à l’application pour cette application. Par exemple, vous pouvez créer un rôle nommé my_application.admin. Il doit inclure le nom de l’application restreinte, avec un suffixe « admin » pour indiquer qu’il s’agit du rôle administrateur de l’application.
Développeur spécifique à l’application Les utilisateurs disposant de ce rôle peuvent accéder à l’application restreinte. Par exemple, vous pouvez créer un rôle nommé my_application.developer. Il doit inclure le nom de l’application restreinte, avec un suffixe de « développeur » pour indiquer qu’il s’agit du rôle de développeur de l’application. Le rôle de développeur a besoin à la fois d’autorisations d’administrateur d’application et d’autorisations de développement déléguées pour modifier les fichiers d’application.

Pour en savoir plus, reportez-vous aux sections Explorer Développement délégué et Déléguer les autorisations d’aménagement au personnel.

Rôle administrateur spécifique à l’application

Le rôle administrateur spécifique à l’application permet à un utilisateur d’accéder à une application spécifique, mais ne lui accorde aucun autre droit d’administrateur. Affectez le rôle d’administrateur au niveau système à un utilisateur pour que celui-ci puisse effectuer ces tâches :
  • Configurez la mise en page des formulaires et des listes.
  • Modifiez les tables et les champs de l’application.
  • Affectez le rôle d’administrateur spécifique à l’application aux nouveaux utilisateurs.
Si vous ne souhaitez pas qu’un utilisateur ayant le rôle administrateur spécifique à l’application ait le rôle administrateur au niveau du système :
  • N’affectez pas le rôle d’administrateur au niveau système à l’utilisateur. Affectez uniquement le rôle administrateur propre à l’application.
  • Demandez à l’utilisateur de s’affecter le rôle de développeur propre à l’application.

En tant que développeur spécifique à une application, l’utilisateur peut effectuer un sous-ensemble de tâches administratives sans avoir le rôle administrateur au niveau du système.

Remarque : Affectez le rôle administrateur spécifique à l’application à plusieurs utilisateurs. Ensuite, si un utilisateur ayant le rôle administrateur spécifique à l’application quitte l’entreprise, rien ne vous empêche de modifier l’application.

Activer l’administration des applications et affecter des rôles spécifiques aux applications

Vous pouvez activer l’administration d’une application pour une application à partir de l’enregistrement d’application et restreindre l’affectation de rôles spécifiques à l’application à partir de l’enregistrement de rôle d’utilisateur.
Remarque : Activez l’administration des applications et affectez des rôles spécifiques à l’application une fois le développement de l’application terminé, mais avant d’ajouter des enregistrements d’application. Cette pratique protège les données sensibles des enregistrements d’application contre l’accès par des utilisateurs non autorisés.
L’instance cible doit avoir au moins un utilisateur autorisé ayant le rôle administrateur spécifique à l’application.
  • Si vous activez l’administration d’application pour une application, mais que vous n’affectez pas les rôles spécifiques à l’application, aucun utilisateur ne peut accéder à l’application.
  • Si vous affectez un seul rôle spécifique à l’application, vous ne pouvez pas supprimer ce rôle.

Un avertissement s’affiche si vous activez l’administration d’application pour une application, mais qu’aucun utilisateur ne dispose du rôle administrateur spécifique à l’application requis pour affecter des rôles à l’application. L’avertissement vous rappelle d’affecter les rôles spécifiques à l’application aux administrateurs et aux développeurs de l’application.

Définissez sur pour [scoped_app_name].min_admin_count property exiger que plusieurs utilisateurs aient le rôle administrateur spécifique à l’application. L’affectation du rôle administrateur spécifique à l’application à plusieurs utilisateurs réduit le risque d’être bloqué hors de l’application incluse dans le périmètre. La [scoped_app_name].min_admin_count propriété présente les limitations suivantes :
  • Si vous spécifiez une valeur non valide pour la propriété, l’exigence par défaut d’affectation d’au moins un administrateur spécifique à l’application s’applique.
  • Si vous indiquez une valeur valide pour la propriété, vous ne pouvez pas supprimer d’administrateurs spécifiques à l’application, sauf si vous dépassez la valeur spécifiée. Par exemple, si vous spécifiez une valeur de deux et que vous avez trois administrateurs spécifiques à l’application, vous ne pouvez supprimer qu’un seul de ces rôles.
  • Vous pouvez spécifier une valeur supérieure au nombre réel d’administrateurs spécifiques à l’application affectés. Toutefois, vous ne pouvez pas supprimer d’administrateurs spécifiques à l’application tant que vous n’avez pas dépassé la valeur spécifiée. Par exemple, si vous spécifiez une valeur de six, mais que vous n’avez que trois administrateurs spécifiques à l’application, vous ne pouvez supprimer aucun de ces rôles.

Pour les procédures, reportez-vous à la section Restreindre l’accès à une application.

Déploiement d’applications avec l’administration d’application

Vous devez disposer du rôle administrateur au niveau du système dans vos instances de développeur et de production pour déployer une application protégée par l’administration d’application. Le processus est décrit dans les étapes suivantes.

  1. Développez l’application sur une instance de développement.
  2. Créez le rôle administrateur propre à l’application.
  3. Accordez le rôle administrateur spécifique à l’application à tous les utilisateurs administrateurs au niveau du système.
  4. Mettez à jour l’enregistrement de l’application pour activer l’administration de l’application et restreindre l’accès à l’application.
  5. Publiez l’application dans le référentiel d’applications.
  6. À partir d’une instance de production, installez l’application à partir du référentiel d’applications.
  7. En tant qu’administrateur au niveau système sur l’instance de production, accordez le rôle d’administrateur spécifique à l’application aux utilisateurs appropriés.
  8. Supprimez le rôle administrateur spécifique à l’application de tous les utilisateurs disposant du rôle administrateur au niveau du système.

Pour connaître les procédures permettant d’activer l’administration des applications et de restreindre l’affectation de rôles spécifiques aux applications, reportez-vous à la section Restreindre l’accès à une application.

Formation

Le ServiceNow® Site Developer a une formation pour la sécurisation des applications.