Zugriffssteuerung ServiceNow erkunden

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Mit dem Plugin „SNC Access Control“ (com.snc.snc_access_control) können Sie steuern, welche Kundenservice und Support Mitarbeiter wann auf Ihre Instanz zugreifen können.

    Wenn Sie das Plugin zum ersten Mal aktivieren, können sich die Mitarbeiter Kundenservice und Support nicht bei der Instanz anmelden. Alle derzeit angemeldeten Kundenservice und Support Mitarbeiter bleiben angemeldet. In der Tabelle „SNC-Zugriffssteuerung“ erstellen Sie Datensätze, die bestimmten SNC-Mitarbeitern oder allen Mitarbeitern Zugriff gewähren.

    Das Plugin verhindert, dass Mitarbeiter von Kundenservice und Support ohne Ihre ausdrückliche Genehmigung auf die Instanzen zugreifen. Allerdings sind andere autorisierte ServiceNow Operations-Mitarbeiter in ihrer Kapazität für Support und Verwaltung des Produkts sowie für die Überprüfung der Nutzung erforderlich, um administrative Aktionen an der zugrunde liegenden Infrastruktur durchzuführen. Diese Infrastruktur umfasst neben anderen Infrastrukturkomponenten, aus denen die SaaS-Lösung besteht, Server und Datenbanken. Diese Zugriffsmethode ist vollständig überprüfbar und wird nachverfolgt.

    Mit diesem Plugin können Sie den Zugriff auf Ihre Instanz ohne Ihre ausdrückliche Genehmigung einschränken. Dies kann sich auf die Servicelevel des Supports und das Verfügbarkeits-SLA auswirken. Das Verfügbarkeits-SLA wird dann ab dem Zeitpunkt gemessen, zu dem Support-Mitarbeitern Zugriff auf Ihre Instanz gewährt wird.

    Anmeldesicherheit

    Zur Sicherheit werden für die Anmeldung autorisierter Kundenservice und Support -Mitarbeiter bei Instanzen verschlüsselte Token verwendet, die von einem sicheren Server generiert werden. Nur ordnungsgemäß authentifizierte Mitarbeiter Kundenservice und Support erhalten Zugriff auf eine Instanz. Ohne das Plugin „SNC Access Control“ stellt der Sicherheitsserver sicher, dass Zugriffsrechte auf hi.service-now.com erzwungen werden. Wenn das Plugin aktiviert ist, müssen die verschlüsselten Anmeldetoken mit den Namen in der vom Plugin bereitgestellten Zugriffsliste übereinstimmen und die in diesen Datensätzen definierten Kriterien verwenden. Mit dieser Authentifizierungsmethode können Sie genau bestimmen, welche Kundenservice und Support -Mitarbeiter wann auf ihre Instanzen zugreifen dürfen.

    Die für dieses System ausgewählte Architektur weist mehrere Funktionen auf, um die Sicherheit für Ihre Instanzen zu erhöhen:
    Sicherheitsserver
    Der Sicherheitsserver ist ein gesperrter Linux-Host, auf den nur das -Sicherheitspersonal von ServiceNow zugreifen kann. Dieser Server ist das einzige System, das Zugriff auf den kritischen privaten Verschlüsselungsschlüssel hat, der zur Erstellung der Anmeldetoken erforderlich ist. Durch diese Aufteilung (eine standardmäßige Sicherheitsmethode) wird der private Schlüssel geschützt, selbst in dem unwahrscheinlichen Fall, dass ein Angreifer die HI-Instanz kompromittiert.
    Synthetic-Benutzer
    Für die Einrichtung in Instanzen, mit der sich autorisierte Mitarbeiter Kundenservice und Support bei ihrer Instanz anmelden können, muss in dieser Instanz kein Account bereitgestellt werden. Es ist kein Benutzerdatensatz bereitgestellt und keine permanenten oder persistenten Anmeldeinformationen vorhanden. Stattdessen wird für jede Kundenservice und Support -Mitarbeiteranmeldung ein Synthetic User erstellt. Dieser Anwender ist nur im Arbeitsspeicher vorhanden und bietet keine laufenden Berechtigungen. Wenn das Plugin „SNC Access Control“ aktiviert ist, können Sie jedem Kundenservice und Support -Mitarbeiter jederzeit die Autorisierung aufheben.
    Token
    Die Sicherheitstoken sind spezifisch für eine Instanz und einen bestimmten Mitarbeiter Kundenservice und Support. Darüber hinaus funktioniert der Mechanismus, der die Token generiert, nur mit tatsächlichen Kundenservice und Support -Mitarbeiteranmeldungen bei HI, nicht mit Benutzern, die die Identität von angenommen haben. Sobald ein Sicherheitstoken generiert wurde, kann sich nur ein bestimmter Kundenservice und Support -Mitarbeiter damit bei einer Instanz anmelden.
    Zeitbegrenzung
    Sicherheitstoken laufen vier Stunden nach ihrer Generierung ab. Dieser Ablauf schränkt die Nützlichkeit der gekaperten Token ein, die nur während dieses kurzen Zeitfensters verwendet werden können.
    Protokollierung
    Anmeldungen von Kundenservice und Support Mitarbeitern bei Instanzen werden als Anmeldeereignis aufgezeichnet.
    • Jede Aktion des angemeldeten Mitarbeiters Kundenservice und Support wird dem Transaktionsprotokoll in der Datenbank hinzugefügt.
    • Es wird auch dem Instanzprotokoll im Dateisystem hinzugefügt, auf das die meisten Mitarbeiter von ServiceNow nicht zugreifen können.
    • Kundenservice und Support Anmeldungen und Aktionen von Mitarbeitern sind leicht erkennbar, da die Anwendernamen alle auf @snc enden (z. B. frodo.beutlins@snc).

    Diese Aktionen bieten Ihnen eine einfach zu verwendende, robuste und zuverlässige Sicherheitsprotokollierung für den Zugriff durch Nicht-Mitarbeiter.

    Sicherheitsverarbeitungs-Flow

    Wenn sich ein -Mitarbeiter Kundenservice und Support bei einer Instanz anmelden möchte, sieht der Sicherheitsverarbeitungs-Flow wie folgt aus:

    1. Ein Kundenservice und Support -Techniker fordert über hi.service-now.com eine Anmeldung für die Instanz an.
    2. HI prüft, ob der Techniker über die richtige Rolle verfügt, um den Zugriff auf Instanzen zu autorisieren.
    3. Wenn der Benutzer über die richtige Rolle verfügt, sendet HI die Zugriffsanforderung an den Sicherheitsserver.
    4. Der Sicherheitsserver verifiziert, ob die Anforderung von der HI-IP-Adresse stammt, und wertet die Anforderung aus (Benutzer, Rolle und IP-Adresse der anfordernden Person). Wenn die Anforderung gültig ist, genehmigt der Sicherheitsserver sie und erstellt ein Token. Dieses Token enthält den Anwendernamen, die Rollen, die Instanz-ID und die Zeit (Beginn der viertägigen Token-Lebensdauer). Abschließend verschlüsselt der Sicherheitsserver das Token mit dem privaten Verschlüsselungsschlüssel.
    5. Der Sicherheitsserver sendet das verschlüsselte Token an HI.
    6. Hi sendet das Token an den Browser des Support-Technikers.
    7. Der Browser des Support-Technikers initiiert eine Anmeldung bei der Instanz unter Verwendung des speziellen Anwendernamens, der mit @sncendet.
    8. Die Instanz von verwendet den öffentlichen Schlüssel, um das Token zu entschlüsseln. Um das Token zu überprüfen, gleicht die Instanz es mit dem im vorherigen Schritt angegebenen Anwendernamen, der Instanz-ID und dem autorisierten Zeitfenster ab. Wenn das Plugin „SNC Access Control“ aktiviert ist, überprüft die Instanz, ob der Benutzer:
      • Aufgeführt
      • Aktiv
      • Konfiguriert, um auf die Instanz im aktuellen Zeitfenster zuzugreifen
    9. Wenn der Benutzer authentifiziert ist, erstellt die Instanz im Arbeitsspeicher einen Synthetic-Benutzer mit den angegebenen Rollen. Dieser Anwender wird nicht beibehalten, nachdem die Zeitbegrenzung abgelaufen ist, er sich abmeldet oder die Instanz neu gestartet wurde.
    Abbildung : 1. ServiceNow Prozess-Flow für Sicherheitszugriff
    ServiceNow Prozess-Flow für Sicherheitszugriff

    Audit-Protokollierung

    Die folgende Protokollierung verfolgt Anmeldungen und Aktivitäten von Kundenservice und Support Mitarbeitern:
    • Ereignisprotokolle: Die Ereignisprotokolle zeigen alle Kundenservice und Support Anmeldungen bei einer Instanz an.
    • Transaktionsprotokolle: Die Transaktionsprotokolle zeigen alle Aktivitäten in der Instanz, einschließlich aller Versuche, Protokolle zu löschen.
    Hinweis:
    Weitere Informationen zu diesem Plugin finden Sie unter SNC Access Control-Plugin in Härtungseinstellungen für Instanzsicherheit.