Anwendungsverwaltung

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Schützen Sie vertrauliche Anwendungsdaten, indem Sie die Anwendungsverwaltung verwenden, um den Zugriff von Benutzern auf anwendungsspezifische Rollen einzuschränken.

    Funktionen der Anwendungsverwaltung

    Verwenden Sie die Anwendungsverwaltung, um Folgendes sicherzustellen:
    • Verhinderung des Zugriffs unberechtigter Benutzer auf sensible Daten wie Finanzdatensätze oder personenbezogene Daten
    • Einschränkung der Personen, die anwendungsspezifische Rollen zuweisen können, z. B. Administrator und bestimmte Entwickler für die Anwendung.
    • Verhindern, dass Benutzer mit der Administratorrolle auf Systemebene Folgendes tun:
      • Sich selbst eine geschützte Anwendungsrolle zuweisen
      • Sich selbst einer Gruppe mit einer geschützten Anwendungsrolle zuweisen
      • Vorhandene Zugriffskontrollen für eine geschützte Anwendung durch Erstellen von Zugriffskontrollen umgehen.
      • Passwort von Benutzern, die über eine geschützte Anwendungsrolle verfügen, ändern
      • Identität eines Benutzers mit einer geschützten Anwendungsrolle annehmen, es sei denn, der Entwickler oder der Administrator hat ebenfalls diese Rolle
      • Eine geschützte Anwendungsrolle übernehmen
      • Vorhandene Zugriffskontrollen für eine geschützte Anwendung überschreiben
      • Skripts ausführen, die auf geschützte Anwendungsdatensätze zugreifen

    Rollen in der Anwendungsverwaltung

    Sie können jede Rolle zu einem anwendungsspezifischen Administrator machen, indem Sie in der Rollenkonfiguration das Kontrollkästchen Anwendungsadministrator aktivieren. Weitere Informationen finden Sie unter Zugriff auf eine Anwendung einschränken. Erstellen Sie per Konvention die folgenden Rollen:
    Tabelle : 1. Anwendungsadministrationsrollen
    Rollenname Beschreibung
    Anwendungsspezifischer Administrator Benutzer mit dieser Rolle können einer anwendungsspezifischen Rolle andere Benutzer für diese Anwendung zuweisen. Sie können beispielsweise eine Rolle mit dem Namen my_application.admin erstellen. Sie sollte den Namen der eingeschränkten Anwendung mit dem Suffix „admin“ enthalten, um anzugeben, dass es sich um die Administratorrolle für die Anwendung handelt.
    Anwendungsspezifischer Entwickler Benutzer mit dieser Rolle können auf die eingeschränkte Anwendung zugreifen. Sie können beispielsweise eine Rolle mit dem Namen my_application.developer erstellen. Sie sollte den Namen der eingeschränkten Anwendung mit dem Suffix „developer“ enthalten, um anzugeben, dass es sich um die Entwicklerrolle für die Anwendung handelt. Die Entwicklerrolle benötigt sowohl Anwendungsadministrator- als auch delegierte Entwicklungsberechtigungen, um die Anwendungsdateien zu ändern.

    Weitere Informationen finden Sie unter Delegierte Entwicklung und Bereitstellung und Entwicklungs- und Bereitstellungsberechtigungen an Mitarbeiter delegieren.

    Anwendungsspezifische Administratorrolle

    Mit der anwendungsspezifischen Administratorrolle kann ein Benutzer auf eine bestimmte Anwendung zugreifen, erhält jedoch keine anderen Administratorrechte. Weisen Sie einem Benutzer die Administratorrolle auf Systemebene zu, bevor dieser Benutzer die folgenden Aufgaben ausführen kann:
    • Formular- und Listenlayouts konfigurieren
    • Anwendungstabellen und -felder ändern.
    • Neuen Benutzern die anwendungsspezifische Administratorrolle zuweisen
    Wenn Sie verhindern möchten, dass ein Benutzer mit der anwendungsspezifischen Administratorrolle die Administratorrolle auf Systemebene hat, beachten Sie Folgendes:
    • Weisen Sie dem Benutzer keine Administratorrolle auf Systemebene zu. Weisen Sie ihm nur die anwendungsspezifische Administratorrolle zu.
    • Bitten Sie den Benutzer, sich selbst die anwendungsspezifische Entwicklerrolle zuzuweisen.

    Als anwendungsspezifischer Entwickler kann der Benutzer eine Teilmenge von Verwaltungsaufgaben ohne die Administratorrolle auf Systemebene ausführen.

    Hinweis:
    Weisen Sie die anwendungsspezifische Administratorrolle mehr als einem Benutzer zu. Wenn dann ein Benutzer mit der anwendungsspezifischen Administratorrolle das Unternehmen verlässt, können Sie die Anwendung nicht ändern.

    Anwendungsverwaltung aktivieren und anwendungsspezifische Rollen zuweisen

    Sie können die Anwendungsverwaltung für eine Anwendung über den Anwendungsdatensatz aktivieren und die Zuweisung von anwendungsspezifischen Rollen über den Benutzerrollendatensatz einschränken.
    Hinweis:
    Aktivieren Sie die Anwendungsverwaltung und weisen Sie anwendungsspezifische Rollen nach dem Abschließen der Entwicklung zu, jedoch vor dem Hinzufügen von Anwendungsdatensätzen. Diese Vorgehensweise schützt vertrauliche Daten in den Anwendungsdatensätzen vor dem Zugriff unberechtigter Benutzer.
    Die Zielinstanz muss mindestens über einen autorisierten Benutzer mit der anwendungsspezifischen Administratorrolle verfügen.
    • Wenn Sie die Anwendungsverwaltung für eine Anwendung aktivieren, jedoch keine anwendungsspezifischen Rollen zuweisen, kann kein Benutzer auf die Anwendung zugreifen.
    • Wenn Sie nur eine anwendungsspezifische Rolle zuweisen, können Sie diese Rolle nicht löschen.

    Eine Warnung wird angezeigt, wenn Sie die Anwendungsverwaltung für eine Anwendung aktivieren, aber keine Benutzer über die anwendungsspezifische Administratorrolle verfügen, die zum Zuweisen von Rollen für die Anwendung erforderlich ist. Die Warnung erinnert Sie daran, Administratoren und Entwicklern der Anwendung anwendungsspezifische Rollen zuzuweisen.

    Legen Sie [scoped_app_name].min_admin_count property so fest, dass mehr als ein Benutzer über die anwendungsspezifische Administratorrolle verfügen muss. Durch die Zuweisung der anwendungsspezifischen Administratorrolle zu mehreren Benutzern wird das Risiko verringert, dass die bereichsbezogene Anwendung ausgesperrt wird. Für die Eigenschaft [scoped_app_name].min_admin_count gelten die folgenden Einschränkungen:
    • Wenn Sie einen ungültigen Wert für die Eigenschaft angeben, wird die Standardanforderung für die Zuweisung von mindestens einem anwendungsspezifischen Administrator erzwungen.
    • Wenn Sie einen gültigen Wert für die Eigenschaft angeben, können Sie keine anwendungsspezifischen Administratoren löschen, es sei denn, Sie überschreiten den angegebenen Wert. Wenn Sie beispielsweise einen Wert von zwei angeben und drei anwendungsspezifische Administratoren haben, können Sie nur eine dieser Rollen löschen.
    • Sie können einen höheren Wert als die tatsächliche Anzahl der zugewiesenen anwendungsspezifischen Administratoren angeben. Sie können jedoch keine anwendungsspezifischen Administratoren löschen, bis Sie den angegebenen Wert überschreiten. Wenn Sie beispielsweise einen Wert von sechs angeben, aber nur drei anwendungsspezifische Administratoren haben, können Sie keine dieser Rollen löschen.

    Hinweise zu Verfahren siehe Zugriff auf eine Anwendung einschränken.

    Anwendung mit der Anwendungsverwaltung bereitstellen

    Sie müssen über die Administratorrolle auf Systemebene sowohl in Ihren Entwickler- als auch in Ihren Produktionsinstanzen verfügen, um eine durch die Anwendungsverwaltung geschützte Anwendung bereitzustellen. Der Prozess wird in den folgenden Schritten beschrieben.

    1. Entwickeln Sie die Anwendung auf einer Entwicklungsinstanz.
    2. Erstellen Sie die anwendungsspezifische Administratorrolle.
    3. Erteilen Sie allen Benutzern mit der Administratorrolle auf Systemebene die anwendungsspezifische Administratorrolle.
    4. Aktualisieren Sie den Anwendungsdatensatz, um die Anwendungsverwaltung zu aktivieren und den Zugriff auf die Anwendung einzuschränken.
    5. Veröffentlichen Sie die Anwendung im Anwendungs-Repository.
    6. Installieren Sie die Anwendung auf einer Produktionsinstanz aus dem Anwendungs-Repository.
    7. Erteilen Sie als Administrator auf Systemebene in der Produktionsinstanz den entsprechenden Benutzern die anwendungsspezifische Administratorrolle.
    8. Entfernen Sie die anwendungsspezifische Administratorrolle bei allen Benutzern mit der Administratorrolle auf Systemebene.

    Verfahren zum Aktivieren der Anwendungsverwaltung und zum Einschränken der Zuweisung anwendungsspezifischer Rollen werden unter Zugriff auf eine Anwendung einschränken beschrieben.

    Training

    ServiceNow® Developer Site verfügt über Schulungen zum Sichern von Anwendungen.