Domänentrennung in Cloud Provisioning and Governance  – Überlegungen für Service Provider

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 7 Minuten Lesedauer

    • Berücksichtigen Sie die folgenden Überlegungen, um die Domänentrennung für Cloud Provisioning and Governance-Services in der Instanz, die Sie für Ihre Kunden einrichten, effektiv zu erstellen, zu implementieren und zu verwalten.

    • Umfasst die Basis-Support-Stufe.
    • Geschäftslogik: Der Service Provider (SP) erstellt oder ändert Prozesse für einzelne Kunden. Die Anwendungsfälle spiegeln die ordnungsgemäße Verwendung der Anwendung durch mehrere SP-Kunden in einer einzigen Instanz wider.
    • Der Besitzer der Instanz muss die MVP-Geschäftslogik (Minimum des lebensfähigen Produkts) und die Datenparameter pro Mandant wie erwartet für die spezifische Anwendung konfigurieren.

    So funktioniert Domain Separation in Cloud Provisioning and Governance

    Die Domänentrennung für Cloud Provisioning and Governance richtet ein oder mehrere Unternehmen an einer Domäne aus. Zur Verwendung der Domänentrennung in der Anwendung weisen Sie alle Benutzerkonten einem bestimmten Unternehmen zu, das dieser Domäne zugeordnet ist.

    Alle mit dem Unternehmen verknüpften Entitäten, z. B. Cloud-Konten und Servicekonten, werden in derselben Domäne wie das Unternehmen erstellt. Wenn ein neues Unternehmen erstellt wird, erstellen Sie eine Domäne mit einem eindeutigen Namen und weisen Sie sie dem Unternehmen zu. Alle zugehörigen Entitäten für ein Konto, z. B. Kontakte und Fälle, müssen sich in derselben Domäne befinden. Wenn eine zugehörige Entität für ein domänengetrenntes Konto erstellt wird, wird die Entität der Unternehmensdomäne zugewiesen.

    Mitglieder einer Domäne können nur die Daten aufrufen, die in ihrer Domäne oder in untergeordneten, in der Domänenhierarchie niedriger angesiedelten Domänen enthalten sind. Standardmäßig sind alle Benutzer und alle Datensätze Mitglieder der globalen Domäne, sofern Sie sie nicht einer bestimmten Domäne zuweisen. Sobald Sie einer Domäne einen Benutzer oder einen Datensatz zugewiesen haben, vergleicht die Instanz die Domäne des Benutzers mit der Domäne des Datensatzes, um zu bestimmen, ob der Benutzer den Datensatz aufrufen kann.

    Service Provider (SPs) verwenden Domänentrennung, um Daten für jeden Kunden zu trennen. Benutzer in einer bestimmten Domäne können nur Daten in ihrer eigenen oder einer untergeordneten Domäne anzeigen lassen. SPs haben üblicherweise die Kontrolle über die oberste Domäne, wodurch sie Daten aller Domänen anzeigen lassen können. Delegieren Sie die Verwaltung nicht an Cloud-Administratorbenutzer der untergeordneten Domänen in Cloud Provisioning and Governance.

    Poolfilter, Ressourcenprofil, Abrechnung, Kontingent, Berechtigungen, IPAM, Budget und Benachrichtigungen sind domänengetrennt. Nicht alle Tabellen in Cloud Provisioning and Governance sind domänengetrennt. Während die meisten Tabellen der obersten Ebene domänengetrennt sind, sind mehrere untergeordnete Tabellen nicht domänengetrennt. Die Tatsache, dass nicht alle Tabellen domänengetrennt sind, wirkt sich jedoch nicht auf das Funktionieren der Anwendung in einem domänengetrennten Kontext aus.
    Warnung:
    Ändern Sie die blaupausenbezogenen Tabellen nicht direkt in den Tabellendatensätzen.

    Überlegungen zum Instanz-Setup für Service Provider

    Die Domänentrennung bietet zwar Unterstützung für mehrere Mandanten, die Mehrmandantenfähigkeit ist jedoch auch weiterhin in einer einzelnen Instanz enthalten. Einige globale Eigenschaften, Daten und Prozesse werden über alle Domänen hinweg gemeinsam genutzt. Die folgende Abbildung zeigt die Hierarchie der Domänentrennung für uneingeschränkte und eingeschränkte Anwendungsfälle.

    Service Provider-Hierarchie
    Führen Sie die folgenden Aufgaben aus, um Ihre domänengetrennte Instanz einzurichten:
    • Erstellen Sie eine Domäne.

      • Sie können beliebig viele Domänen erstellen, stellen Sie jedoch sicher, dass Sie keine unnötigen Domänen auf der Instanz erstellen. Eine große Anzahl von Domänen auf der Instanz kann die Leistung beeinträchtigen. Bevor Sie neue Domänen erstellen, überprüfen Sie die Domänenhierarchie unter Domänenadministrator > Domänenzuordnung. Überprüfen Sie, ob Sie tatsächlich eine neue Domäne erstellen müssen oder ob stattdessen eine vorhandene Domänenhierarchie verwendet werden kann.

        Wählen Sie eine primäre Domäne aus, um die Domäne der obersten Ebene in der Domänenzuordnung anzugeben. Die Top-Domäne stellt eine einzige gemeinsame übergeordnete Domäne dar, die als einzelner übergeordneter Knoten für die Service Provider-Domänen fungiert. Weitere Informationen finden Sie unter Primäre Domäne auswählen.

      • Erstellen Sie die SP-Domäne unter der Top-Domäne, und legen Sie die Domäne als Standard fest. Die Organisation Ihrer Domänen ist ein wichtiger Teil des Domänentrennungsprozesses. Stellen Sie sicher, dass Sie sich der Wichtigkeit des Festlegens eines Standardwerts bewusst sind. Das System weist der Standarddomäne automatisch Aufgaben- und Benutzerdatensätze zu, die noch keiner Domäne zugewiesen sind. Weitere Informationen zum Festlegen einer Standarddomäne finden Sie unter Eine Domäne als Standard festlegen.

      • Erstellen Sie eine Domänenhierarchie. Weitere Informationen finden Sie unter Domänenhierarchie erstellen.

        Erstellen Sie eine Domänenhierarchie, die Organisationsstrukturen widerspiegelt, um die Gruppierung unter der obersten Domäne zu übernehmen. Da Sie Discovery und Bereitstellung nur von der Blattdomäne aus ausführen können, richten Sie Blattdomänen in der Hierarchie ein, die konkrete Entitäten und Organisationen darstellen.

        Basierend auf der Domänenhierarchie haben Benutzer Zugriff auf Daten in ihrer Stammdomäne und allen untergeordneten Domänen. Der Prozess-Flow ist nach unten gerichtet, während der Daten-Flow nach oben gerichtet ist. Sie können Benutzerdatensätzen einen Domänenwert zuweisen, der die Stammdomäne des Benutzers darstellt. Benutzer haben zwar keinen Zugriff auf Daten in übergeordneten Domänen, Peer-Domänen oder Domänen in anderen Zweigen der Hierarchie. Ein Prozess, der in einer übergeordneten Domäne eingerichtet ist, gilt aber für alle untergeordneten Domänen. Weitere Informationen finden Sie unter

        Kundendaten sind basierend auf Domänenhierarchien betroffen:

        • Über-/untergeordnet: betroffener Prozess und betroffene Daten
          • Design, das auf einem Prozess-Flow basiert.
          • Denken Sie daran, dass die übergeordneten Domänen auf alle Daten in den untergeordneten Domänen zugreifen können.
        • Domäne „Enthält“: Nur Daten sind betroffen. Beispiel: Wenn SP im Diagramm „TOP“ enthält, werden Prozesse in SP nicht in der Domäne „TOP“ und abwärts ausgeführt.
          • Gewährt Personen in Gruppen Datenzugriffsrechte, die dedizierten Zugriff auf bestimmte Domänen erfordern.
          • Enthält Ursachen oder Bedingungen, die Datenbankabfragen hinzugefügt werden sollen, die Leistungsprobleme bei großen Domänen und Datensätzen verursachen können
        • Sichtbarkeit: Hierarchie, die für Benutzer immer sichtbar ist, sobald Sie Zugriff gewähren. Nur die Daten sind betroffen, nicht die Prozesse.
          • Gewährt einer anderen Domäne, die beim Erstellen der über- und untergeordneten Hierarchie keinen Zugriff hatte, Datenzugriff auf eine Domäne
          • Ermöglicht es Benutzern, alle Daten in den Domänen zu sehen, für die sie Sichtbarkeitszugriff haben, und zwar jederzeit, unabhängig von dem Datensatz, an dem sie gerade arbeiten
            Hinweis:
            Gehen Sie sparsam damit um, da mit „Sichtbarkeit“ vollständiger Zugriff gewähren werden kann, was Sie möglicherweise nicht beabsichtigen.
      • Neues Unternehmen hinzufügen

        Sie können Unternehmen hinzufügen, die Lieferanten, Hersteller oder Kunden repräsentieren, mit denen Sie Geschäfte tätigen. Diese Unternehmen bieten eine Möglichkeit, Benutzer, Gruppen und Assets zu kategorisieren.

        Erstellen Sie Unternehmen und Blattdomänen für jeden Kunden, den Sie auf einer einzelnen Instanz unterstützen. Unternehmen helfen Ihnen, Benutzer mit der Domäne zu verknüpfen. Unternehmen und Domäne müssen entweder eine Eins-zu-Eins-Zuordnung oder eine Viele-zu-Eins-Zuordnung aufweisen. Dies macht das Zuweisen von Benutzern zu einer Domäne für SPs einfacher und überschaubarer.
        Wichtig:
        Wenn Sie ein Unternehmen für jede Domäne erstellen, verwenden Sie ein Präfix mit einem eindeutigen Bezeichner, z. B. „COMPANY_“ oder „ORG_“.
        Zum Anpassen der ServiceNow-Instanz für jedes Unternehmen können Sie Telefonnummern, Adressen und zusätzliche Hinweise eingeben. Sie können auch das Unternehmenslogo und den Bannertext anpassen, die Ihren Endbenutzern oben auf jeder Seite angezeigt werden. Weitere Informationen finden Sie unter Neues Unternehmensprofil erstellen.
    • Erstellen Sie Benutzergruppen, und weisen Sie den Benutzern jedes neuen Unternehmens Rollen und eine Domäne zu. Sie weisen Unternehmen Benutzer zu, um sie Domänen zuzuordnen. Ordnen Sie einem Unternehmen einen Benutzer zu, um den Benutzer einer Domäne zuzuordnen.
      1. Navigieren zu Organisationen > Unternehmen, und klicken Sie auf Neu, um neue Benutzer zu erstellen. Weitere Informationen zum Erstellen von Benutzern finden Sie unter Benutzer erstellen
        Hinweis:
        Verwenden Sie nicht die Option für manuell verwaltete Domänen, um die Domäne für Benutzer auszuwählen.
      2. Erstellen Sie Gruppen, und weisen Sie den Gruppen Rollen zu. Benutzer, die der Gruppe zugewiesen sind, erben die Rollen. Sie können Cloud-Benutzerportal-Benutzer für ein Unternehmen in der Blattdomäne erstellen. Weitere Informationen zum Erstellen von Gruppen finden Sie unter Benutzergruppen erstellen.
      3. Erstellen Sie diese Benutzer in jeder der Blattdomänen:
        • MID Server-Benutzer für jede Blattdomäne und jedes Unternehmen. Weisen Sie MID-Server-Benutzern die Rolle „mid_server“ zu.
        • Domänenadministrator für jede Blattdomäne und jedes Unternehmen. Weisen Sie Cloud-(Domänen-)Administratoren die Rolle „sn_cmp.cmp_root_admin“ zu.
        • Domänenbenutzer für jede Blattdomäne. Weisen Sie Cloud-Benutzern die Rolle „sn_cmp.cloud_service_user“ zu.
        • (Optional) Erstellen Sie Benutzer für zusätzliche Rollen in Blattdomänen (Rollen wie Designer, Kontrolle).

          Um bestimmten Benutzern eingeschränkte Sichtbarkeit für bestimmte Domänen bereitzustellen, fügen Sie sie über Gruppen hinzu. Weitere Informationen finden Sie unter Einzelnem Benutzer Sichtbarkeitsdomänen gewähren.

      4. Erstellen Sie eine Domänenbeziehung „Enthält“ zwischen der SP-Domäne und der TOP-Domäne.
        Hinweis:
        Indem Sie eine Beziehung vom Typ „Enthält“ erstellen, ermöglichen Sie allen Administratoren in der Service Provider-Domäne Zugriff auf alle Domänendaten. Benutzer der globalen Domäne können keine Daten aus dem Kartenlayout sehen, da die Erweiterung des Domänenbereichs standardmäßig nicht zulässig ist.

        Weitere Informationen dazu, wie Sie steuern, was bestimmte Benutzer und was eine ganze Domäne von Benutzern anzeigen können, finden Sie unter Sichtbarkeitsdomänen und Enthält Domänen.

    Nächste Schritte

    Weitere Informationen zum Onboarding von Kunden oder Unternehmen in einer domänengetrennten Instanz für Services von Cloud Provisioning and Governance finden Sie unter Onboarding eines Unternehmens.