Domänentrennung und Erkennung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Die Domänentrennung wird in Discovery unterstützt. Mit der Domain Separation können Sie Daten, Prozesse und Verwaltungsaufgaben in logische Gruppierungen, sogenannte Domänen, aufteilen. Sie können verschiedene Aspekte dieser Trennung steuern, einschließlich der Benutzer, die Daten sehen und darauf zugreifen können.

    Support-Stufe: Standard

    • Enthält alle Aspekte von Standard Level-Support.
    • Anwendungseigenschaften sind bei Bedarf domänenfähig.
    • Geschäftslogik: Der Service Provider (SP) erstellt oder ändert Prozesse für einzelne Kunden. Die Anwendungsfälle spiegeln die ordnungsgemäße Verwendung der Anwendung durch mehrere SP-Kunden in einer einzigen Instanz wider.
    • Der Besitzer der Instanz muss die MVP-Geschäftslogik (Minimum des lebensfähigen Produkts) und die Datenparameter pro Mandant wie erwartet für die spezifische Anwendung konfigurieren.

    Beispielanwendungsfall: Ein Administrator muss in der Lage sein, erforderliche Kommentare abzugeben, wenn ein Datensatz für einen Mandanten geschlossen wird, aber nicht für einen anderen.

    Weitere Informationen zu den Supportstufen finden Sie unter Anwendungssupport für Domänentrennung.

    Übersicht über Domänentrennung

    Service Provider (SPs) verwenden Domänentrennung, um Daten für jeden Kunden zu trennen. Benutzer in einer bestimmten Domäne können Daten nur in ihrer eigenen oder einer untergeordneten Domäne anzeigen. SPs haben üblicherweise die Kontrolle über die oberste Domäne, wodurch sie Daten aller Domänen anzeigen können. Da die Unterstützung der Domänentrennung in Discovery als Standard gilt, erfolgt keine delegierte Verwaltung an die untergeordneten Domänen. Die SPs müssen die administrative Kontrolle behalten.

    Funktionsweise der Domänentrennung in Discovery

    Mehrere Domänen können durch einen einzelnen MID Server unterstützt werden. In Releases vor Kingston konnte jeder MID Server nur eine einzelne Domäne unterstützen. In neueren Releases ist das Trennen von Domänen nach MID Server nützlich, wenn die Domäne groß ist oder wenn sich die Ressourcen der Domäne im Rechenzentrum eines Kunden und nicht in dem eines SP befinden. Für Discovery auf MID Servern, die eine einzelne Domäne unterstützen, werden die erkannten CIs der Domäne des MID-Benutzers zugewiesen, der für die Authentifizierung gegenüber der ServiceNow-Instanz verwendet wird. Bei MID Servern mit mehreren Domänen werden die erkannten CIs der Domäne des Benutzers zugewiesen, der den Erkennungszeitplan erstellt hat.

    Discovery implementiert die Trennung von Datendomänen durch den MID Server, indem während der Sensorverarbeitung die Identität des MID Server-Benutzers gewechselt wird. Discovery verwendet die Domäne, in der sich der MID Server-Benutzer befindet, um zu bestimmen, in welche Domäne die erkannten Daten eingefügt werden sollen. Discovery-Konfigurationsinformationen, einschließlich Klassifizierer, Bezeichner, Probes und Sensoren, werden nicht nach Domänen getrennt.

    Service Provider verwenden in der Regel die IP-basierte Erkennung. In Fällen, in denen der SP die Netzwerkadressierung steuert, teilen sie den Adressraum auf ihre Kunden auf, um sicherzustellen, dass jede Domäne über einen eigenen IP-Adressraum verfügt. Der SP weist einem Kunden oder einer Domäne ein oder mehrere Subnetze zu und erstellt Erkennungszeitpläne für diese Subnetze.

    Wenn der SP die Rechenzentren von Kunden remote verwaltet, kommt es häufig zu Überschneidungen zwischen Adressräumen, die von verschiedenen Kunden verwendet werden. In diesen Fällen kann der SP die Netzwerkadressübersetzung (NAT) für den IP-Bereich verwenden und einen Erkennungszeitplan ausführen.

    Sobald die CIs der richtigen Domäne zugewiesen sind, werden Transparenz und Kontrolle über den Lese-/Schreibzugriff von der Plattform über die Domänenhierarchie bereitgestellt. Zeitpläne sind für Benutzer in ihren jeweiligen Domänen sichtbar. Domänenübergreifende Zeitplantransparenz ist nicht möglich, außer für den SP, der die übergeordnete Domäne steuert und für den alle Domänen sichtbar sind.

    Domänentrennung für MID Server-Dateien

    Sie können Versionen dieser spezifischen MID Server-Richtlinieneinträge erstellen, die nur ein MID Server aus derselben Domäne verwenden kann. Diese Prozesstrennung wird für Datensätze in Tabellen unterstützt, die die MID Server-synchronisierten Dateien [ecc_agent_sync_file] erweitern:
    • MID Server-MIB-Datei [ecc_agent_mib]
    • MID Server-JAR-Datei [ecc_agent_jar]
    • MID Server-Skriptdatei [ecc_agent_script_files]

    Standardmäßig sind alle Datensätze in diesen Tabellen Mitglieder der globalen Domäne. Ein Benutzer kann die globale Standarddomäne überschreiben und eine Version dieser Richtlinien zur Verwendung in der eigenen Domäne des Benutzers erstellen.

    Hinweis:
    Anlagen in MIB- oder JAR-Dateisätzen werden möglicherweise nicht wie in einer Umgebung angezeigt, in der die Domäne nicht getrennt ist. Die Anhänge werden nicht angezeigt, weil die Tabelle Anhänge [sys_attachment] durch Daten getrennt ist. Wenn Daten zwischen Domänen aufgeteilt werden, kann ein Datensatz in einer untergeordneten Domäne nicht auf Datensätze in einer übergeordneten Domäne zugreifen.

    Siehe MID-Server-Domänentrennung Anweisungen zum Einrichten der Domänentrennung über den MID-Server.

    Domänengetrennte Tabellen

    Datensätze in allen Tabellen, die die Tabelle „Grundlegendes Configuration Item“ [cmdb] erweitern, können nach Domänen getrennt werden. Darüber hinaus können Datensätze auch in den folgenden Tabellen nach Domänen getrennt werden:
    • Seriennummer [cmdb_serial_number]
    • TCP-Verbindung [cmdb_tcp]
    • Fibre-Channel-Initiator [cmdb_fc_initiator]
    • Fibre Channel-Ziele [cmdb_fc_target]
    • IP-Adresse zu DNS-Name [cmdb_ip_address_dns_name]
    • Service [cmdb_ip_service_ci]
    • Virtuelles KVM-Gerät [cmdb_kvm_device]
    • Load Balancer-Service-VLAN [cmdb_lb_service_vlan]
    • Load Balancer VLAN-Schnittstelle [cmdb_lb_vlan_interface]
    • Switch-Anschluss [cmdb_switch_port]