Erkunden Sie Das Skript-Governance-Tool

  • Freigeben Version: Australia
  • Aktualisiert 6. April 2026
  • 5 Minuten Lesedauer

    • Das Skripting-Governance-Tool (SGT) bietet eine zentrale Steuerung für die Verwaltung des Skripting-Zugriffs in Ihrem ServiceNow AI Platform.

    Das Zurich-Release führt eine Funktion ein, die Administratoren eine zentrale Kontrolle darüber gibt, wer Skriptfelder auf bearbeiten kann ServiceNow AI Platform. Die Funktion fügt eine neue Berechtigungsebene hinzu, die auf erstellt wurde Bedingter Skriptverfasser Gruppe und ihre untergeordnete Rolle, snc_required_script_writer_permission . Anwender müssen Mitglieder dieser Gruppe sein, um Skriptfelder unabhängig von ihrem vorhandenen ACL-basierten Zugriff zu bearbeiten. Diese Berechtigungsebene wird durch ACLs vom Datentyp erzwungen und von geplanten Aufgaben und Systemeigenschaften verwaltet.

    So verwalten Sie diese Funktion: ServiceNow AI Platform Stellt bereit Skripting-Governance-Tool (SGT) – Ein Dashboard, in dem Administratoren sehen können, welche Anwender über Skriptzugriff verfügen, die Instanz nach Anwendern scannen, die Skriptfelder bearbeitet haben, und Anwendern den Skriptzugriff direkt hinzufügen oder widerrufen können.

    Warum es wichtig ist

    Skripting kann Daten tabellenübergreifend lesen und schreiben, Geschäftslogik umgehen und das Plattformverhalten grundlegend ändern, sodass Skriptzugriff zu einer der wichtigsten Berechtigungen für jede Instanz wird.

    Vor Zürich wurde der Skripting-Zugriff ausschließlich von ACLs für einzelne Skriptfelder gesteuert. Um zu bestimmen, welche Anwender Skripts bearbeiten können, mussten Administratoren jede ACL einzeln überprüfen. Es gab keinen einzigen Ort zum Anzeigen oder Verwalten des Skripting-Zugriffs in der gesamten Instanz.

    Die Skripting-Governance-Funktion löst dies, indem zusätzlich zu vorhandenen ACL-basierten Berechtigungen eine obligatorische zweite Ebene der Zugriffssteuerung hinzugefügt wird. Die Erfüllung einer ACL auf Feldebene allein reicht nicht mehr aus, um ein Skriptfeld zu bearbeiten. Jetzt können Sicherheitsadministratoren den Skripterstellungszugriff zentral verwalten, indem Anwender hinzugefügt oder aus entfernt werden Bedingter Skriptverfasser Gruppe.

    Das zweistufige Zugriffsmodell

    Die Skripting-Governance-Funktion erzwingt ein zweistufiges Zugriffsmodell. Beide Ebenen müssen unabhängig bestehen, bevor ein Anwender ein Skriptfeld bearbeiten kann. Das Übergeben einer Ebene allein reicht nicht aus.

    Ebene 1: Vorhandene ACL auf Feldebene
    Der Anwender muss die vorhandene ACL im Skripting-Feld übergeben (sofort einsatzbereit oder anwenderdefiniert). Diese Prüfung ist gegenüber dem Verhalten vor Zürich unverändert.
    Ebene 2: SGT-Rollenprüfung

    Der Anwender muss auch die -Taste halten snc_required_script_writer_permission Rolle, die durch Mitgliedschaft in gewährt wird Bedingter Skriptverfasser Gruppe.

    Wichtig:

    Ein Anwender, der Skriptfelder vor dem Zürich-Upgrade bearbeiten konnte – da seine Rollen die ACL auf Feldebene erfüllten – wird nach dem Upgrade blockiert, es sei denn, er erfüllt auch Ebene 2. Die snc_required_script_writer_permission Rolle gewährt keinen neuen Skripting-Zugriff. Entsperrt nur den Zugriff für Anwender, die bereits Ebene 1 übergeben haben.

    Die folgende Tabelle fasst die Zugriffsergebnisse unter dem zweistufigen Modell zusammen:

    Übergibt ACL auf Feldebene (Ebene 1)? Hält Fest snc_required_script_writer_permission (Ebene 2)? Kann Skriptfeld bearbeiten?
    Ja Ja ✅ Ja
    Ja Nein ❌ Nein
    Nein Ja ❌ Nein
    Nein Nein ❌ Nein

    Datentyp-ACLs

    Die Skripting-Governance-Funktion führt 9 ACLs vom Datentyp ein, um Ebene 2 zu erzwingen. Dies sind Verweigern, es sei denn ACLs, die erfordern snc_required_script_writer_permission Rolle für die folgenden Datentypen:

    Datentyp
    • Skript
    • Script_Client
    • Script_plain
    • Script_Server
    • Email_script
    • html_script
    • html_template
    • xml
    • Condition_string
    Hinweis:
    Die Administratorrolle hat standardmäßig keinen Skriptzugriff. Administrator-Anwender unterliegen derselben zweistufigen Prüfung und können Skriptfelder nur bearbeiten, wenn sie Mitglieder von sind Bedingter Skriptverfasser Gruppieren oder explizit enthalten snc_required_script_writer_permission Rolle.weitere Informationen finden Sie unter Datentyp-ACL.

    Geplante Aufgaben und Eigenschaften

    Als Teil der Skripting-Governance-Funktion wird Bedingter Skriptverfasser Gruppe wird eingeführt, die hat snc_required_script_writer_permission Rolle als untergeordnete Rolle. Wenn das Zürich-Upgrade abgeschlossen ist, wird eine einmalige geplante Aufgabe ausgeführt, um alle berechtigten Anwender in dieser Gruppe automatisch auszufüllen, um sicherzustellen, dass niemand nach dem Upgrade den Skriptzugriff verliert. Sobald dieser Auftrag abgeschlossen ist, wird ein wiederkehrender wöchentlicher Auftrag erstellt, um die Gruppenmitgliedschaft auf dem neuesten Stand zu halten. Sowohl Aufträge als auch ihre Berechtigungskriterien werden wie folgt beschrieben:

    Fügen Sie der bedingten Skriptverfasser-Gruppe Anwender hinzu
    Ein Auftrag, der unmittelbar nach Abschluss des Zürich-Upgrades ausgeführt wird. Fügt alle Anwender hinzu, die die Berechtigungskriterien erfüllen Bedingter Skriptverfasser Gruppe, um sicherzustellen, dass kein Anwender nach dem Upgrade den Skriptzugriff verliert. Nachdem der Auftrag abgeschlossen ist, deaktiviert die Plattform ihn.
    Der Auftrag verwendet die Eigenschaft glide.security.scripting_role.provisioning_job_running , Der während der Ausführung des Auftrags auf „wahr“ und nach Abschluss auf „falsch“ festgelegt ist. Wenn der Auftrag abgeschlossen ist, wird die Eigenschaft erstellt glide.security.scripting_role.auto_provisioning Und legt sie auf fest Wahr .
    Aktualisieren Sie Anwender in der bedingten Skriptverfasser-Gruppe
    Ein wöchentlicher Auftrag, der der Gruppe neue Anwender hinzufügt, die die Berechtigungskriterien erfüllen, und Anwender entfernt, die die Berechtigungskriterien nicht mehr erfüllen. Sie wird von gesteuert glide.security.scripting_role.auto_provisioning Eigenschaft:
    Tabelle : 1. Aktualisieren Sie das Verhalten basierend auf der Eigenschaft
    Wert Verhalten
    Wahr (Standard) Der wöchentliche Auftrag wird nach Zeitplan ausgeführt und fügt der Gruppe automatisch qualifizierende Anwender hinzu.
    falsch Der Auftrag wird nicht ausgeführt. Anwender werden der Gruppe nur manuell von einem Administrator hinzugefügt.
    Legen Sie fest, um die automatische Bereitstellung zu deaktivieren glide.security.scripting_role.auto_provisioning Bis Falsch In Systemeigenschaften.
    Hinweis:
    Die glide.security.scripting_role.auto_provisioning Eigenschaft wird zur Laufzeit erstellt und hat eine andere sys_ID Auf jeder Instanz. Verweisen Sie immer mit einem Eigenschaftsnamen.

    Berechtigungskriterien

    Beide geplanten Aufgaben verwenden dieselben Kriterien, um zu bestimmen, welche Anwender zu hinzugefügt werden Bedingter Skriptverfasser Gruppe:

    Tabelle : 2. Berechtigungskriterien
    Plugin für explizite Rolle Anwendertyp Anforderung Zu Gruppe hinzugefügt?
    Aktiviert Extern Nein
    Aktiviert Intern Muss „snc_internal“ und mindestens eine zusätzliche Rolle haben Ja
    Deaktiviert Beliebiger Anwender Muss mindestens eine Rolle haben Ja
    Hinweis:
    Die snc_external Rolle und snc_required_script_writer_permission Rolle steht in Konflikt mit Rollen. ServiceNow AI Platform Lässt nicht zu, dass beide Rollen demselben Anwender zugewiesen werden. Externe Anwender können keinen Skripting-Zugriff haben.

    Skripting-Governance-Tool

    Die Skripting-Governance-Tool Ist ein Dashboard, mit dem Administratoren den Skripterstellungszugriff auf der ServiceNow-Plattform verwalten können. Bietet Einblick in Anwender, die Mitglieder von sind Bedingter Skriptverfasser Gruppe: Gibt ein klares Bild davon, wie viele Anwender in Ihrer Instanz Skripte ausführen können.

    Sie können auch anzeigen, welche Gruppen die Skripting-Rolle enthalten und welche Rollen sie als untergeordnete Rolle enthalten. Es gibt zwei Möglichkeiten, den Skripting-Zugriff über das Tool zu verwalten:

    • Manuelle Konfiguration : Anwender manuell hinzufügen oder entfernen Bedingter Skriptverfasser Gruppe, um zu steuern, wer über Skripting-Zugriff verfügt.
    • Scannen Sie nach Anwendern, die geskriptet haben : Scannen Sie Ihre Instanz, um Anwender zu finden, die innerhalb eines bestimmten Zeitrahmens geskriptet haben. Der Scan fragt die Audit-Protokolle ab und identifiziert alle Anwender, die Schreibvorgänge oder Aktualisierungen für eine Tabelle mit Skriptfeld durchgeführt haben.

    Dashboard für Skripting-Governance-Tool

    Hinweis:
    Es wird empfohlen, den Skripting-Zugriff ausschließlich über zu verwalten Bedingter Skriptverfasser Gruppe. Hinzufügen von snc_required_script_writer_permission Die Rolle als untergeordnete Rolle für andere Rollen oder Gruppen reduziert Ihre Fähigkeit, zentral zu steuern, wer in Ihrer Instanz Skripts ausführen kann.