Konfigurieren einer ACL-Regel

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Konfigurieren Sie eine anwenderdefinierte Regel für die Zugriffssteuerungsliste (ACL), um den Zugriff auf neue Objekte zu sichern oder das standardmäßige Sicherheitsverhalten zu ändern.

    Vorbereitungen

    Erforderliche Rolle: security_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Zum Erstellen von ACL-Regeln müssen Sie Berechtigungen für die Rolle security_admin erhöhen.

    Für Tabellen, die sich in einem anderen Bereich als der ACL-Regeldatensatz befinden, sind die Regeltypen eingeschränkt. Damit Bereichsmastertabellen den Bereich ableiten und bereichsbezogene ACLs ausführen, legen Sie die Eigenschaft glide.enforce_security_scope.<scope_name> auf truefest. Dadurch wird sichergestellt, dass ACLs im globalen Bereich nicht übereinstimmen, wenn in der relevanten Tabelle bereichsspezifische ACLs erstellt werden. Beispiele dienen zum Sichern von Daten in gemeinsam genutzten Anwendungstabellen im globalen Bereich, z. B. in den Tabellen „sys_attachment“ oder „sys_question_answer“.

    Prozedur

    1. Berechtigungsrollen auf die Rolle „security_admin“ erhöht.
    2. Navigieren zu Systemsicherheit > Zugriffssteuerung (ACL).
    3. Klicken Sie auf Neu.
      Tipp:
      Beim Erstellen einer neuen ACL ist es hilfreich, Deny-Unless-ACLzu überprüfen.
    4. Füllen Sie das Formular aus.
      Tabelle : 1. Zugriffssteuerungsfelder
      Feld Beschreibung
      Typ Wählen Sie aus, welche Art von Objekt diese ACL-Regel sichert. Der Objekttyp bestimmt, wie das Objekt benannt wird und welche Vorgänge verfügbar sind. Dieses Feld wird schreibgeschützt, nachdem die ACL-Regel erstellt wurde. Wenn Sie den Typ ändern möchten, müssen Sie die ACL löschen und eine neue mit dem richtigen Typ erstellen.
      Vorgang Wählen Sie den Vorgang aus, den diese ACL-Regel sichert. Jeder Objekttyp verfügt über eine eigene Liste von Vorgängen. Eine ACL-Regel kann nur einen Vorgang sichern. Um mehrere Vorgänge zu sichern, erstellen Sie für jeden eine separate ACL-Regel.

      Wenn Sie eine Regel für einen Vorgang „report_view“ erstellen, lesen Sie auch Report_view access control.
      Entscheidungstyp Wählen Sie den Entscheidungstyp der ACL aus. Zulassen, wenn bei erfolgreicher Auswertung der Zugriff gewährt wird. „Verweigern, sofern nicht“ verweigert den Zugriff, sofern keine erfolgreiche Auswertung vorliegt. Weitere Informationen finden Sie Deny-Unless-ACL unter .
      Admin-Aufhebungen

      Aktivieren Sie dieses Kontrollkästchen, damit Anwender mit der Administratorrolle automatisch die Berechtigungsprüfung für diese ACL-Regel bestehen. Administratorbenutzer bestehen unabhängig davon, welche Skript- oder Rollenbeschränkungen gelten. Die Rolle niemand, die nur von ServiceNow -Mitarbeitern zugewiesen werden kann, hat jedoch Vorrang vor der Option zum Überschreiben des Administrators. Wenn einer ACL die Rolle niemand zugewiesen ist, können Administratoren nicht auf die Ressource zugreifen, auch wenn Administratorüberschreibungen ausgewählt sind. Siehe Basissystemrollen.

      Deaktivieren Sie dieses Kontrollkästchen, wenn Administratoren die in dieser ACL-Regel definierten Berechtigungen erfüllen müssen, um Zugriff auf das gesicherte Objekt zu erhalten. Da Administratoren Rollenprüfungen immer übergeben (siehe Beschreibung des Felds Erfordert Rolle ), verwenden Sie den Bedingungsgenerator oder das Feld Skript, um eine Berechtigungsprüfung zu erstellen, die Administratoren übergeben müssen.
      Schutzrichtlinie Wählen Sie diese Option, um die Schutzrichtlinie für die ACL festzulegen
      Name Geben Sie den Namen des gesicherten Objekts ein, entweder den Datensatznamen oder die Tabellen- und Feldnamen. Je spezifischer der Name, desto spezifischer die ACL-Regel. Sie können das Platzhalterzeichen Sternchen (*) anstelle eines Datensatzes, einer Tabelle oder eines Feldnamens verwenden, um alle Objekte auszuwählen, die einem Datensatztyp, allen Tabellen oder allen Feldern entsprechen. Sie können ein Platzhalterzeichen und eine Textsuche nicht kombinieren. Beispiel: Incident* ist kein gültiger ACL-Regelname, Incident.* und *.number sind jedoch gültige ACL-Regelnamen.
      Hinweis:
      Klicken Sie auf das blaue Dreieck, um den Datensatznamen oder die Tabellen- und Feldnamen des gesicherten Objekts manuell einzugeben. Verwenden Sie diese Option, um ein Objekt zu sichern, das nicht in der Dropdownliste angezeigt wird.
      Beschreibung Geben Sie eine Beschreibung des Objekts oder der Berechtigungen ein, die diese ACL-Regel sichert.
      Aktiv Aktivieren Sie dieses Kontrollkästchen, um diese ACL-Regel zu erzwingen.
      Erweitert Aktivieren Sie dieses Kontrollkästchen, um die Felder „Erweiterte Bedingung“ anzuzeigen. Siehe Schritt 6.
    5. Wahlweise: Um den Bereich der ACL einzugrenzen, füllen Sie die Felder Bedingungen nach Bedarf aus.
      Erfordert Rolle Verwenden Sie diese Liste, um die Rollen anzugeben, die ein Anwender für den Zugriff auf das Objekt haben muss. Wenn Sie mehrere Rollen auflisten, kann ein Benutzer mit einer der aufgeführten Rollen auf das Objekt zugreifen. Die Liste „Erfordert Rolle“ wird als zugehörige Liste angezeigt.
      Hinweis:
      Benutzer mit der Administratorrolle bestehen diese Berechtigungsprüfung immer, da die Administratorrolle Benutzern automatisch alle anderen Rollen gewährt.
      Datenbedingung Verwenden Sie diesen Bedingungsgenerator, um die Felder und Werte auszuwählen, die „wahr“ sein müssen, damit Anwender auf das Objekt zugreifen können.
      Hinweis:
      Im Feld Bedingung wird zwischen Groß- und Kleinschreibung unterschieden
    6. Wahlweise: Wenn das Kontrollkästchen Erweitert aktiviert ist, füllen Sie die Felder Erweiterte Bedingungen nach Bedarf aus
      Durch Referenzen gesteuert Erzwingt die ACL für zugehörige Datensätze. Unter Zugriff auf zugehörigen Datensatz finden Sie weitere Details.
      Skript Geben Sie ein anwenderdefiniertes Skript ein, das die für den Zugriff auf das Objekt erforderlichen Berechtigungen beschreibt. Das Skript kann die Werte der aktuellen und vorherigen globalen Variablen in Geschäftsregeln sowie Systemeigenschaften verwenden. Das Skript muss auf eine von zwei Arten eine Wahr- oder Falsch-Antwort generieren:
      • geben Sie eine Antwortvariable zurück, die auf den Wert „true“ oder „false“ festgelegt ist
      • als „true“ oder „false“ auswerten

      In beiden Fällen erhalten Benutzer nur dann Zugriff auf das Objekt, wenn das Skript als „true“ ausgewertet wird und der Benutzer die Bedingungen der ACL-Regel erfüllt. Sowohl die Bedingungen als auch das Skript müssen zu „true“ ausgewertet werden, damit ein Benutzer auf das Objekt zugreifen kann.

      Ob im Feld Skript ein Skript vorhanden ist. Dieses Skript wird ausgeführt, auch wenn das Feld nicht im Formular angezeigt wird.

      Hinweis:
      Wenn sich das ausgewertete Element in einer zugehörigen Liste befindet, verweist current auf das Element, auf dem sich die zugehörige Liste befindet, und nicht auf das aktuelle Element, für das die ACL gilt. Wenn sich das Element jedoch, für das Sie die ACL auswerten, nicht in einer zugehörigen Liste befindet, verweist current auf das tatsächliche Element.
    7. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.