アプリケーションサービスへのユーザーアクセスの制御

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:5分

    • 組織内のアプリケーションサービスへのユーザーアクセスを許可するには、ユーザー ロールをサービスグループに割り当てます。セキュリティ上または機密上の理由により、組織は一部のサービスへのアクセスを制限できます。

    始める前に

    アクセスを許可するユーザーのユーザープロビジョニングタスクを実行していることを確認します。
    1. ユーザーグループにユーザーを追加します
    2. 新しいロールを作成します
    3. ユーザーまたはユーザーグループにロールをアサインします

    また、「アプリケーションサービスのグループ化」の説明に従ってサービスグループが作成されていることを確認します。

    必要なロール:app_service_admin または service_mapping_admin

    このタスクについて

    ベース システムでは、以下のロールがアプリケーションサービスへのアクセスを提供します。
    app_service_admin

    アプリケーションサービスを作成および変更し、サービスグループを作成し、アプリケーションサービスマップを表示および編集します。

    app_service_user

    運用アプリケーションサービスのマップを表示し、getContent - GET REST API を使用してサービスコンテンツを取得します。基本的なヘルプデスクの技術者ロールとして機能する itil ロールには、app_service_user ロールが含まれています。

    サービスマッピングには、以下の事前設定されたロールが用意されています。
    service_mapping_admin

    サービスマッピング アプリケーションをセットアップします。アプリケーションサービスをマッピング、修正、および管理します。また、製品の高度な構成とカスタマイズも行います。アプリケーションアドミニストレーターにこのロールをアサインします。

    service_mapping_user

    運用アプリケーションサービスのマップを表示して変更や移行を計画したり、サービスの継続性と可用性を分析することができます。このロールをアプリケーションユーザーに割り当てます。

    sm_app_owner

    アプリケーションサービスのマッピングの成功に必要な情報を提供します。サービスがマッピングされると、このユーザーは結果をレビューし、承認または変更の提案を行います。アプリケーションサービスを所有し、サービスを構成するインフラストラクチャとアプリケーションに精通しているユーザーに sm_app_owner ロールを割り当てます。

    注:
    itil ロールを持つユーザーは、すべてのアプリケーションサービスのみを表示できます。

    イベント管理 には、以下の事前設定されたロールが用意されています。

    evt_mgmt_admin
    イベント管理を設定するためのすべてのイベント管理機能に対して、読み取りまたは書き込みアクセス権があります。
    evt_mgmt_operator
    evt_mgmt_user 権限に加えて、承認、クローズ、インシデントのオープン、修復の実行など、アラートに対する操作をアクティブ化することもできます。
    evt_mgmt_user
    すべてのイベント管理機能に対する読み取りアクセス権があります。アラートの寿命を管理するために、アラートへの書き込みアクセス権を持っています。アラートから作成されたインシデントを管理できるようにするために、ITIL ロールを持っています。
    evt_mgmt_integration
    外部イベントソースと統合するために、イベント [em_event] および登録済みノード [em_registered_nodes] テーブルへの作成アクセス権を持っています。

    通常、企業には何百ものサービスがあり、個別に管理することは現実的ではありません。特に大規模な組織やサービスプロバイダーでは、サービスグループを使用することでサービスリストがずっと短くなり、管理しやすくなります。 サービスグループの階層では、親サービスグループにアクセスすると、自動的にすべての子サービスグループへのアクセスが許可されます。

    ユーザーは、割り当てられたロールから権限を継承します。ロールをサービスグループに直接割り当てることで、このロールを持つすべてのユーザーに、このグループに属するすべてのアプリケーションサービスへのアクセスを許可することができます。ただし、ほとんどの企業では、ロールは階層として編成されています。これは、複数の ServiceNow アプリケーション間でロールを管理するために役立ちます。たとえば、サービスマッピングのアドミニストレーター [service_mapping_admin] を、アドミニストレーター [admin] などのより広範なアドミニストレーターロールの一部にすることができます。ユーザーをユーザーグループに追加し、ユーザーグループにロールを割り当てて、このロールの権限をすべてのグループユーザーに同時に付与することができます。
    図 : 1. アプリケーションサービスグループへのロールのアサイン

    ユーザーアクセスのための アプリケーションサービス グループへのロールの割り当て

    デフォルトでは、すべての新しいサービスが [すべて] のサービスグループに割り当てられ、すべてのユーザーがアプリケーションサービスを表示および管理できます。ロールをサービスグループに割り当てた場合、このロールを持つユーザーは、このサービスグループ内と、[すべて] のサービスグループ内のアプリケーションサービスにアクセスできます。このロールを持つユーザーが他のサービスにアクセスできるようにするには、このロールをそれぞれのサービスグループに割り当てます。ユーザーロールを [すべて] のサービスグループに直接アサインしないでください。

    手順

    1. 次のいずれかに移動します。
      • 構成 > アプリケーションサービス > サービスグループの責任.
      • サービスマッピングがアクティブ化されている場合: サービスマッピング > サービス > サービスグループの責任.
      • イベント管理がアクティブ化されている場合: イベント管理 > サービス > サービスグループの責任.
    2. [新規] をクリックし、[アプリケーションサービスグループの責任] フォームに入力します。
      フィールド 説明
      アプリケーションサービスグループ ロールを割り当てるサービスグループ。
      ロール

      選択したサービスグループに割り当てるロール。

      financial_services_admin などです。
    3. [送信] をクリックします。

    組織内の機密財務情報を含むサービスへのアクセスを管理するには、次の操作を行います。
    1. サービスを Financial Services グループに編成します。
    2. [app_service_admin] ロールを含む Financial Services アドミン [financial_services_admin] ロールを、新しいユーザーロールとして作成します。
    3. Financial Services アドミニストレーターロールを Financial Services グループに割り当てます。
    これにより、Financial Services アドミンロールを持つユーザーのみが、Financial Services グループに属するアプリケーションサービスにアクセスできるようになります。