Anwendungsverwaltung
Schützen Sie vertrauliche Anwendungsdaten, indem Sie die Anwendungsverwaltung verwenden, um den Zugriff von Benutzern auf anwendungsspezifische Rollen einzuschränken.
Funktionen der Anwendungsverwaltung
Verwenden Sie die Anwendungsverwaltung, um Folgendes sicherzustellen:
- Verhinderung des Zugriffs unberechtigter Benutzer auf sensible Daten wie Finanzdatensätze oder personenbezogene Daten
- Einschränkung der Personen, die anwendungsspezifische Rollen zuweisen können, z. B. Administrator und bestimmte Entwickler für die Anwendung.
- Verhindern, dass Benutzer mit der Administratorrolle auf Systemebene Folgendes tun:
- Sich selbst eine geschützte Anwendungsrolle zuweisen
- Sich selbst einer Gruppe mit einer geschützten Anwendungsrolle zuweisen
- Durch das Erstellen von Zugriffssteuerungen werden vorhandene Zugriffssteuerungen auf eine geschützte Anwendung umgangen.
- Passwort von Benutzern, die über eine geschützte Anwendungsrolle verfügen, ändern
- Identität eines Benutzers mit einer geschützten Anwendungsrolle annehmen, es sei denn, der Entwickler oder der Administrator hat ebenfalls diese Rolle
- Eine geschützte Anwendungsrolle übernehmen
- Vorhandene Zugriffskontrollen für eine geschützte Anwendung überschreiben
- Skripts ausführen, die auf geschützte Anwendungsdatensätze zugreifen
Rollen in der Anwendungsverwaltung
Sie können jede Rolle zu einem anwendungsspezifischen Administrator machen, indem Sie das Kontrollkästchen Anwendungsadministrator unter Rollenkonfiguration aktivieren. Weitere Informationen finden Sie unter Zugriff auf eine Anwendung einschränken. Gemäß Konvention erstellen Sie die folgenden Rollen:
| Rollenname | Beschreibung |
|---|---|
| Anwendungsspezifischer Administrator | Benutzer mit dieser Rolle können einer anwendungsspezifischen Rolle andere Benutzer für diese Anwendung zuweisen. Sie können beispielsweise eine Rolle mit dem Namen my_application.admin erstellen. Sie sollte den Namen der eingeschränkten Anwendung mit dem Suffix „admin“ enthalten, um anzugeben, dass es sich um die Administratorrolle für die Anwendung handelt. |
| Anwendungsspezifischer Entwickler | Benutzer mit dieser Rolle können auf die eingeschränkte Anwendung zugreifen. Sie können beispielsweise eine Rolle mit dem Namen my_application.developer erstellen. Sie sollte den Namen der eingeschränkten Anwendung mit dem Suffix „developer“ enthalten, um anzuzeigen, dass es sich um die Entwicklerrolle für die Anwendung handelt. Die Entwicklerrolle benötigt sowohl Anwendungsadministrator- als auch Berechtigungen für die delegierte App-Entwicklung, um die Anwendungsdateien ändern zu können. Weitere Informationen finden Sie unter Delegierte Entwicklung und Bereitstellung und Entwicklungs- und Bereitstellungsberechtigungen an Mitarbeiter delegieren. |
Anwendungsspezifische Administratorrolle
Mit der anwendungsspezifischen Administratorrolle kann ein Benutzer auf eine bestimmte Anwendung zugreifen, erhält jedoch keine anderen Administratorrechte. Weisen Sie einem Anwender die Administratorrolle auf Systemebene zu, bevor dieser Anwender die folgenden Aufgaben ausführen kann:
- Formular- und Listenlayouts konfigurieren
- Ändern Sie Anwendungstabellen und -felder.
- Neuen Benutzern die anwendungsspezifische Administratorrolle zuweisen
Wenn Sie verhindern möchten, dass ein Benutzer mit der anwendungsspezifischen Administratorrolle die Administratorrolle auf Systemebene hat, beachten Sie Folgendes:
- Weisen Sie dem Benutzer keine Administratorrolle auf Systemebene zu. Weisen Sie ihm nur die anwendungsspezifische Administratorrolle zu.
- Bitten Sie den Benutzer, sich selbst die anwendungsspezifische Entwicklerrolle zuzuweisen.
Als anwendungsspezifischer Entwickler kann der Benutzer eine Teilmenge von Verwaltungsaufgaben ohne die Administratorrolle auf Systemebene ausführen.
Hinweis:
Weisen Sie die anwendungsspezifische Administratorrolle mehr als einem Benutzer zu. Wenn dann ein Benutzer mit der anwendungsspezifischen Administratorrolle das Unternehmen verlässt, können Sie die Anwendung nicht ändern.
Anwendungsverwaltung aktivieren und anwendungsspezifische Rollen zuweisen
Sie können die Anwendungsverwaltung für eine Anwendung über den Anwendungsdatensatz aktivieren und die Zuweisung von anwendungsspezifischen Rollen über den Benutzerrollendatensatz einschränken.
Hinweis:
Aktivieren Sie die Anwendungsverwaltung und weisen Sie anwendungsspezifische Rollen nach dem Abschließen der Entwicklung zu, jedoch vor dem Hinzufügen von Anwendungsdatensätzen. Diese Vorgehensweise schützt vertrauliche Daten in den Anwendungsdatensätzen vor dem Zugriff unberechtigter Benutzer.
Die Zielinstanz muss mindestens über einen autorisierten Benutzer mit der anwendungsspezifischen Administratorrolle verfügen.
- Wenn Sie die Anwendungsverwaltung für eine Anwendung aktivieren, jedoch keine anwendungsspezifischen Rollen zuweisen, kann kein Benutzer auf die Anwendung zugreifen.
- Wenn Sie nur eine anwendungsspezifische Rolle zuweisen, können Sie diese Rolle nicht löschen.
Wenn Sie die Anwendungsverwaltung für eine Anwendung aktivieren, wird eine Warnung angezeigt, aber kein Benutzer verfügt über die anwendungsspezifische Administratorrolle, die zum Zuweisen von Rollen für die Anwendung erforderlich ist. Die Warnung erinnert Sie daran, Administratoren und Entwicklern der Anwendung anwendungsspezifische Rollen zuzuweisen.
Legen Sie [scoped_app_name].min_admin_count property so fest, dass mehr als ein Benutzer über die anwendungsspezifische Administratorrolle verfügen muss. Durch Zuweisen der anwendungsspezifischen Administratorrolle an mehrere Benutzer verringert sich das Risiko, dass die bereichsbezogene Anwendung gesperrt wird. Für die Eigenschaft [scoped_app_name].min_admin_count gelten die folgenden Einschränkungen:
- Wenn Sie einen ungültigen Wert für die Eigenschaft angeben, wird die Standardanforderung erzwungen, mindestens einen anwendungsspezifischen Administrator zuzuweisen.
- Wenn Sie einen gültigen Wert für die Eigenschaft angeben, können Sie keine anwendungsspezifischen Administratoren löschen, es sei denn, Sie überschreiten den angegebenen Wert. Wenn Sie beispielsweise einen Wert von zwei angeben und über drei anwendungsspezifische Administratoren verfügen, können Sie nur eine dieser Rollen löschen.
- Sie können einen höheren Wert als die tatsächliche Anzahl der zugewiesenen anwendungsspezifischen Administratoren angeben. Sie können jedoch keine anwendungsspezifischen Administratoren löschen, bis Sie den angegebenen Wert überschreiten. Wenn Sie beispielsweise einen Wert von sechs angeben, aber nur drei anwendungsspezifische Administratoren haben, können Sie keine dieser Rollen löschen.
Hinweise zu Verfahren siehe Zugriff auf eine Anwendung einschränken.
Anwendung mit der Anwendungsverwaltung bereitstellen
Sie müssen über die Administratorrolle auf Systemebene sowohl in Ihren Entwickler- als auch in Ihren Produktionsinstanzen verfügen, um eine durch die Anwendungsverwaltung geschützte Anwendung bereitzustellen. Der Prozess wird im Folgenden beschrieben.
- Entwickeln Sie die Anwendung auf einer Entwicklungsinstanz.
- Erstellen Sie die anwendungsspezifische Administratorrolle.
- Erteilen Sie allen Benutzern mit der Administratorrolle auf Systemebene die anwendungsspezifische Administratorrolle.
- Aktualisieren Sie den Anwendungsdatensatz, um die Anwendungsverwaltung zu aktivieren und den Zugriff auf die Anwendung einzuschränken.
- Veröffentlichen Sie die Anwendung im Anwendungs-Repository.
- Installieren Sie die Anwendung auf einer Produktionsinstanz aus dem Anwendungs-Repository.
- Erteilen Sie als Administrator auf Systemebene in der Produktionsinstanz den entsprechenden Benutzern die anwendungsspezifische Administratorrolle.
- Entfernen Sie die anwendungsspezifische Administratorrolle bei allen Benutzern mit der Administratorrolle auf Systemebene.
Verfahren zum Aktivieren der Anwendungsverwaltung und zum Einschränken der Zuweisung anwendungsspezifischer Rollen werden unter Zugriff auf eine Anwendung einschränken beschrieben.
Training
ServiceNow® Developer Site verfügt über Schulungen zum Sichern von Anwendungen.