Anwendungsverwaltung
Schützen Sie vertrauliche Anwendungsdaten, indem Sie die Anwendungsverwaltung verwenden, um den Zugriff von Benutzern auf anwendungsspezifische Rollen einzuschränken.
Funktionen der Anwendungsverwaltung
Verwenden Sie die Anwendungsverwaltung, um Folgendes sicherzustellen:
- Verhindern Sie, dass nicht autorisierte Anwender über Formulare, Listen und UI auf vertrauliche Daten zugreifen, z. B. Finanzdatensätze oder personenbezogene Daten.
- Legen Sie fest, wer bereichsgeschützte Rollen wie den Administrator und bestimmte Entwickler für die Anwendung zuweisen kann.
- Verhindern Sie, dass Anwender mit der Administratorrolle auf Systemebene:
- Sich selbst eine geschützte Anwendungsrolle zuweisen
- Sich selbst einer Gruppe mit einer geschützten Anwendungsrolle zuweisen
- Umgehung vorhandener Zugriffssteuerungen für eine geschützte Anwendung durch Erstellen von Zugriffssteuerungen.
- Identität eines Anwenders annehmen, der über eine geschützte Anwendungsadministrationsrolle verfügt, es sei denn, der Entwickler oder Administrator hat diese Rolle ebenfalls.
- Eine geschützte Anwendungsrolle übernehmen
- Vorhandene Zugriffskontrollen für eine geschützte Anwendung überschreiben
Rollen in der Anwendungsverwaltung
Sie können jede Rolle zu einem anwendungsspezifischen Administrator machen, indem Sie auswählen Anwendungsadministrator Kontrollkästchen in Rollenkonfiguration. Weitere Informationen finden Sie unter Zugriff auf eine Anwendung einschränken. Erstellen Sie gemäß Konvention die folgenden Rollen:
| Rollenname | Beschreibung |
|---|---|
| Anwendungsspezifischer Administrator | Benutzer mit dieser Rolle können einer anwendungsspezifischen Rolle andere Benutzer für diese Anwendung zuweisen. Sie können beispielsweise eine Rolle mit dem Namen „my_Application.admin“ erstellen. Sie sollte den Namen der eingeschränkten Anwendung mit dem Suffix „admin“ enthalten, um anzugeben, dass es sich um die Administratorrolle für die Anwendung handelt. |
| Anwendungsspezifischer Entwickler | Benutzer mit dieser Rolle können auf die eingeschränkte Anwendung zugreifen. Sie können beispielsweise eine Rolle mit dem Namen my_application.developer erstellen. Sie sollte den Namen der eingeschränkten Anwendung mit dem Suffix „Entwickler“ enthalten, um anzugeben, dass es sich um die Entwicklerrolle für die Anwendung handelt. Die Entwicklerrolle benötigt sowohl Anwendungsadministratoren als auch delegierte Entwicklungsberechtigungen, um die Anwendungsdateien zu ändern. Weitere Informationen finden Sie unter Delegierte App-Entwicklung erkundenUnd Delegieren von Entwicklungsberechtigungen an Mitarbeiter. |
Anwendungsspezifische Administratorrolle
Mit der anwendungsspezifischen Administratorrolle kann ein Benutzer auf eine bestimmte Anwendung zugreifen, erhält jedoch keine anderen Administratorrechte. Weisen Sie einem Anwender die Administratorrolle auf Systemebene zu, bevor dieser Anwender diese Aufgaben ausführen kann:
- Formular- und Listenlayouts konfigurieren
- Ändern Sie Anwendungstabellen und -Felder.
- Neuen Benutzern die anwendungsspezifische Administratorrolle zuweisen
Wenn Sie verhindern möchten, dass ein Benutzer mit der anwendungsspezifischen Administratorrolle die Administratorrolle auf Systemebene hat, beachten Sie Folgendes:
- Weisen Sie dem Benutzer keine Administratorrolle auf Systemebene zu. Weisen Sie ihm nur die anwendungsspezifische Administratorrolle zu.
- Bitten Sie den Benutzer, sich selbst die anwendungsspezifische Entwicklerrolle zuzuweisen.
Als anwendungsspezifischer Entwickler kann der Benutzer eine Teilmenge von Verwaltungsaufgaben ohne die Administratorrolle auf Systemebene ausführen.
Hinweis:
Weisen Sie die anwendungsspezifische Administratorrolle mehr als einem Benutzer zu. Wenn dann ein Anwender mit der anwendungsspezifischen Administratorrolle das Unternehmen verlässt, können Sie die Anwendung nicht ändern.
Anwendungsverwaltung aktivieren und anwendungsspezifische Rollen zuweisen
Sie können die Anwendungsverwaltung für eine Anwendung über den Anwendungsdatensatz aktivieren und die Zuweisung von anwendungsspezifischen Rollen über den Benutzerrollendatensatz einschränken.
Hinweis:
Aktivieren Sie die Anwendungsverwaltung und weisen Sie anwendungsspezifische Rollen nach dem Abschließen der Entwicklung zu, jedoch vor dem Hinzufügen von Anwendungsdatensätzen. Diese Vorgehensweise schützt vertrauliche Daten in den Anwendungsdatensätzen vor dem Zugriff unberechtigter Benutzer.
Die Zielinstanz muss mindestens über einen autorisierten Benutzer mit der anwendungsspezifischen Administratorrolle verfügen.
- Wenn Sie die Anwendungsverwaltung für eine Anwendung aktivieren, jedoch keine anwendungsspezifischen Rollen zuweisen, kann kein Benutzer auf die Anwendung zugreifen.
- Wenn Sie nur eine anwendungsspezifische Rolle zuweisen, können Sie diese Rolle nicht löschen.
Eine Warnung wird angezeigt, wenn Sie die Anwendungsverwaltung für eine Anwendung aktivieren, aber keine Anwender über die anwendungsspezifische Administratorrolle verfügen, die zum Zuweisen von Rollen für die Anwendung erforderlich ist. Die Warnung erinnert Sie daran, Administratoren und Entwicklern der Anwendung anwendungsspezifische Rollen zuzuweisen.
Legen Sie fest [scoped_app_name].min_admin_count propertyDamit mehr als ein Anwender über die anwendungsspezifische Administratorrolle verfügen muss. Das Zuweisen der anwendungsspezifischen Administratorrolle an mehrere Anwender reduziert das Risiko, aus der bereichsbezogenen Anwendung ausgeschlossen zu werden. Die [scoped_app_name].min_admin_countEigenschaft hat die folgenden Einschränkungen:
- Wenn Sie einen ungültigen Wert für die Eigenschaft angeben, wird die Standardanforderung für die Zuweisung von mindestens einem anwendungsspezifischen Administrator erzwungen.
- Wenn Sie einen gültigen Wert für die Eigenschaft angeben, können Sie keine anwendungsspezifischen Administratoren löschen, es sei denn, Sie überschreiten den angegebenen Wert. Wenn Sie beispielsweise einen Wert von zwei angeben und über drei anwendungsspezifische Administratoren verfügen, können Sie nur eine dieser Rollen löschen.
- Sie können einen Wert angeben, der höher ist als die tatsächliche Anzahl der zugewiesenen anwendungsspezifischen Administratoren. Sie können jedoch keine anwendungsspezifischen Administratoren löschen, bis Sie den angegebenen Wert überschritten haben. Wenn Sie beispielsweise einen Wert von sechs angeben, aber nur drei anwendungsspezifische Administratoren haben, können Sie keine dieser Rollen löschen.
Hinweise zu Verfahren siehe Zugriff auf eine Anwendung einschränken.
Anwendung mit der Anwendungsverwaltung bereitstellen
Sie müssen über die Administratorrolle auf Systemebene sowohl in Ihren Entwickler- als auch in Ihren Produktionsinstanzen verfügen, um eine durch die Anwendungsverwaltung geschützte Anwendung bereitzustellen. Der Prozess wird in den folgenden Schritten erläutert.
- Entwickeln Sie die Anwendung auf einer Entwicklungsinstanz.
- Erstellen Sie die anwendungsspezifische Administratorrolle.
- Erteilen Sie allen Benutzern mit der Administratorrolle auf Systemebene die anwendungsspezifische Administratorrolle.
- Aktualisieren Sie den Anwendungsdatensatz, um die Anwendungsverwaltung zu aktivieren und den Zugriff auf die Anwendung einzuschränken.
- Veröffentlichen Sie die Anwendung im Anwendungs-Repository.
- Installieren Sie die Anwendung auf einer Produktionsinstanz aus dem Anwendungs-Repository.
- Erteilen Sie als Administrator auf Systemebene in der Produktionsinstanz den entsprechenden Benutzern die anwendungsspezifische Administratorrolle.
- Entfernen Sie die anwendungsspezifische Administratorrolle bei allen Benutzern mit der Administratorrolle auf Systemebene.
Verfahren zum Aktivieren der Anwendungsverwaltung und zum Einschränken der Zuweisung anwendungsspezifischer Rollen werden unter Zugriff auf eine Anwendung einschränken beschrieben.
Training
Die ServiceNow® Developer SiteHat Training für Anwendungen Werden Gesichert .