Erkunden E ServiceNow Zugriffssteuerung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Mit dem Plugin „SNC-Zugriffssteuerung“ (com.snc.snc_Access_Control) können Sie steuern, welche Kundenservice und Support Mitarbeiter können auf Ihre Instanz zugreifen und wann.

    Wenn Sie das Plugin zum ersten Mal aktivieren, Kundenservice und Support Mitarbeiter können sich nicht bei der Instanz anmelden. Alle derzeit angemeldeten Kundenservice und Support Mitarbeiter bleiben angemeldet. Sie erstellen Datensätze in der Tabelle „SNC-Zugriffssteuerung“, die bestimmten SNC-Mitarbeitern oder allen Mitarbeitern Zugriff gewähren.

    Das Plugin verhindert Kundenservice und Support Mitarbeiter, die ohne Ihre ausdrückliche Erlaubnis auf die Instanzen zugreifen können. Jedoch andere autorisiert ServiceNow Betriebspersonal in ihrer Fähigkeit, das Produkt zu unterstützen und zu verwalten und zu überprüfen, ob die Nutzung erforderlich ist, um administrative Aktionen für die zugrunde liegende Infrastruktur durchzuführen. Diese Infrastruktur umfasst Server und Datenbanken sowie andere Infrastrukturkomponenten, aus denen die SaaS-Lösung besteht. Diese Zugriffsmethode ist vollständig auditierbar und wird nachverfolgt.

    Mit diesem Plugin können Sie den Zugriff auf Ihre Instanz ohne Ihre ausdrückliche Berechtigung beschränken, sodass dies sich auf Support-Servicelevel und das Verfügbarkeits-SLA auswirken kann. Das Verfügbarkeits-SLA wird dann ab dem Zeitpunkt gemessen, zu dem Support-Mitarbeiter Zugriff auf Ihre Instanz erhalten.

    Anmeldesicherheit

    Sicherheit für autorisiert Kundenservice und Support Mitarbeiteranmeldungen bei Instanzen verwenden verschlüsselte Token, die von einem sicheren Server generiert werden. Nur ordnungsgemäß authentifiziert Kundenservice und Support Mitarbeitern wird Zugriff auf eine Instanz gewährt. Ohne das Plugin „SNC-Zugriffssteuerung“ stellt der Sicherheitsserver sicher, dass Zugriffsrechte auf hi.service-now.com durchgesetzt werden. Wenn das Plugin aktiviert ist, müssen die verschlüsselten Anmeldetoken mit den Namen in der vom Plugin bereitgestellten Zugriffsliste übereinstimmen, wobei die in diesen Datensätzen definierten Kriterien verwendet werden. Mit dieser Authentifizierungsmethode können Sie genau bestimmen, welche Kundenservice und Support Mitarbeiter können auf ihre Instanzen zugreifen, und wann diese Mitarbeiter dies tun können.

    Die für dieses System ausgewählte Architektur verfügt über mehrere Funktionen, die die Sicherheit für Ihre Instanzen verbessern:
    Sicherheitsserver
    Der Sicherheitsserver ist ein gesperrter Linux-Host, der nur das ist ServiceNow Sicherheitspersonal kann darauf zugreifen. Dieser Server ist das einzige System, das Zugriff auf den kritischen privaten Verschlüsselungsschlüssel hat, der zum Erstellen der Anmeldetoken erforderlich ist. Durch die Verwendung dieser Abteilungspraxis (eine standardmäßige Sicherheitspraxis) wird der private Schlüssel geschützt, auch im unwahrscheinlichen Fall, dass ein Angreifer die HI-Instanz gefährdet.
    Synthetic-Anwender
    Die Einrichtung in Instanzen, die autorisiert aktiviert Kundenservice und Support Für Mitarbeiter, die sich bei ihrer Instanz anmelden können, muss in dieser Instanz kein Account bereitgestellt werden. Es ist kein Anwenderdatensatz bereitgestellt und keine permanenten oder beibehaltenen Anmeldeinformationen. Stattdessen wird für jeden ein Synthetic-Anwender erstellt Kundenservice und Support Mitarbeiteranmeldung. Dieser Anwender ist nur im Arbeitsspeicher vorhanden und gewährt keine laufenden Berechtigungen. Wenn das Plugin „SNC-Zugriffssteuerung“ aktiviert ist, können Sie die Autorisierung beliebiger Elemente aufheben Kundenservice und Support Mitarbeiter jederzeit.
    Token
    Die Sicherheitstoken sind spezifisch für eine Instanz und eine bestimmte Kundenservice und Support Mitarbeiter. Darüber hinaus funktioniert der Mechanismus, der die Token generiert, nur mit Actual Kundenservice und Support Mitarbeiter meldet sich bei HI an, keine Anwender, deren Identität angenommen wurde. Sobald ein Sicherheitstoken generiert wurde, nur ein bestimmtes Kundenservice und Support Mitarbeiter können sie verwenden, um sich bei einer Instanz anzumelden.
    Zeitbegrenzung
    Sicherheitstoken laufen vier Stunden nach der Generierung ab. Dieser Ablauf begrenzt das Dienstprogramm von gekapselten Token, die nur während dieses kurzen Fensters verwendet werden können.
    Protokollierung
    Anmeldungen durch Kundenservice und Support Mitarbeiter in Instanzen werden als Anmeldereignis aufgezeichnet.
    • Jede Aktion, die vom angemeldeten ausgeführt wird Kundenservice und Support Mitarbeiter wird dem Transaktionsprotokoll in der Datenbank hinzugefügt.
    • Es wird auch dem Instanzprotokoll im Dateisystem hinzugefügt, das für die meisten nicht zugänglich ist ServiceNow Mitarbeiter.
    • Kundenservice und Support Mitarbeiteranmeldungen und -Aktionen sind leicht zu identifizieren, da die Anwendernamen alle auf @snc enden (z. B. frodo.baggins@snc).

    Diese Aktionen bieten Ihnen eine anwenderfreundliche, robuste und zuverlässige Sicherheitsprotokollierung für den Zugriff ohne Mitarbeiter.

    Sicherheitsverarbeitungs-Flow

    Wenn ein Kundenservice und Support Mitarbeiter möchte sich bei einer Instanz anmelden. Der Sicherheitsverarbeitungs-Flow lautet wie folgt:

    1. A Kundenservice und Support Der Techniker fordert eine Anmeldung für die Instanz über hi.service-now.com an.
    2. HALLO überprüft, ob der Techniker über die richtige Rolle für die Autorisierung des Zugriffs auf Instanzen verfügt.
    3. Wenn der Anwender über die richtige Rolle verfügt, sendet HI die Anforderung für den Zugriff auf den Sicherheitsserver.
    4. Der Sicherheitsserver überprüft, ob die Anforderung von der HI-IP-Adresse stammt, und wertet die Anforderung aus (Anwender, Rolle und IP-Adresse der anfordernden Person). Wenn die Anforderung gültig ist, genehmigt der Sicherheitsserver sie und erstellt ein Token. Dieses Token enthält den Anwendernamen, die Rollen, die Instanz-ID und die Zeit (der Beginn der 4-Stunden-Token-Lebensdauer). Schließlich verschlüsselt der Sicherheitsserver das Token mit dem privaten Verschlüsselungsschlüssel.
    5. Der Sicherheitsserver sendet das verschlüsselte Token an HI.
    6. Hallo sendet das Token an den Browser des Support-Technikers.
    7. Der Browser des Support-Technikers initiiert eine Anmeldung bei der Instanz mit dem speziellen Anwendernamen, der mit endet @Snc .
    8. Die Instanz verwendet den öffentlichen Schlüssel, um das Token zu entschlüsseln. Um das Token zu verifizieren, stimmt die Instanz es mit dem im vorherigen Schritt angegebenen Anwendernamen, der Instanz-ID und dem autorisierten Zeitfenster ab. Wenn das Plugin „SNC-Zugriffssteuerung“ aktiviert ist, überprüft die Instanz, ob der Anwender:
      • Aufgeführt
      • Aktiv
      • Konfiguriert für den Zugriff auf die Instanz im aktuellen Zeitfenster
    9. Wenn der Anwender authentifiziert ist, erstellt die Instanz einen Synthetic-Anwender Im Arbeitsspeicher mit den angegebenen Rollen. Dieser Anwender bleibt nicht bestehen, nachdem die Zeitbegrenzung abgelaufen ist, sich der Anwender abgemeldet hat oder die Instanz neu gestartet wurde.
    Abbildung : 1. ServiceNow Prozess-Flow für Sicherheitszugriff
    ServiceNow Prozess-Flow für Sicherheitszugriff

    Audit-Protokollierung

    Die folgende Protokollierung verfolgt Anmeldungen und Aktivitäten nach Kundenservice und Support Mitarbeiter:
    • Ereignisprotokolle: Die Ereignisprotokolle zeigen alle an Kundenservice und Support Meldet sich bei einer Instanz an.
    • Transaktionsprotokolle: Die Transaktionsprotokolle zeigen alle Aktivitäten in der Instanz an, einschließlich aller Maßnahmen zum Löschen von Protokollen.
    Hinweis:
    Weitere Informationen zu diesem Plugin finden Sie unter Plugin für SNC-Zugriffssteuerung aktivieren [aktualisiert in Security Center 1,3] In Instanzsicherheitshärtungseinstellungen.