Konfigurieren Sie eine ACL-Regel

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 4 Minuten Lesedauer

    • Konfigurieren Sie eine anwenderdefinierte ACL-Regel (Access Control List), um den Zugriff auf neue Objekte zu sichern oder das standardmäßige Sicherheitsverhalten zu ändern.

    Vorbereitungen

    Erforderliche Rolle: security_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Um ACL-Regeln zu erstellen, müssen Sie Berechtigungen auf die Rolle „Security_admin“ erhöhen.

    Für Tabellen, die sich in einem anderen Umfang als der ACL-Regeldatensatz befinden, sind die Arten von Regeln beschränkt. Legen Sie für Umfangsmaster-Tabellen fest, um den Umfang abzuleiten und bereichsbezogene ACLs auszuführen glide.enforce_security_scope.<scope_name>Eigenschaft bis Wahr . Dadurch wird sichergestellt, dass ACLs im globalen Bereich nicht übereinstimmen, wenn bereichsspezifische ACLs in der relevanten Tabelle erstellt werden. Beispiele sind das Sichern von Daten in gemeinsam genutzten Anwendungstabellen im globalen Bereich, z. B. Tabellen „sys_attachment“ oder „sys_question_answer“.

    Prozedur

    1. Rollen mit erhöhten Berechtigungen Zur Rolle Security_admin.
    2. Navigieren zu Systemsicherheit > Zugriffssteuerung (ACL)an.
    3. Klicken Sie auf Neu.
      Tipp:
      Beim Erstellen einer neuen ACL ist es hilfreich, die zu überprüfen Verweigern – außer ACL.
    4. Füllen Sie das Formular aus.
      Tabelle : 1. Zugriffssteuerungsfelder
      Feld Beschreibung
      Typ Wählen Sie aus, welche Art von Objekt diese ACL-Regel sichert. Der Typ des Objekts bestimmt, wie das Objekt benannt wird und welche Vorgänge verfügbar sind. Dieses Feld wird schreibgeschützt, nachdem die ACL-Regel erstellt wurde. Wenn Sie den Typ ändern möchten, müssen Sie die ACL löschen und eine neue mit dem richtigen Typ erstellen.
      Vorgang Wählen Sie den Vorgang aus, den diese ACL-Regel sichert. Jeder Objekttyp verfügt über eine eigene Liste von Vorgängen. Eine ACL-Regel kann nur einen Vorgang sichern. Um mehrere Vorgänge zu sichern, erstellen Sie für jeden eine separate ACL-Regel.

      Wenn Sie eine Regel für einen Report_View-Vorgang erstellen, finden Sie weitere Informationen unter Report_view access control.
      Entscheidungstyp Wählen Sie den Entscheidungstyp der ACL aus. Zulassen, Wenn Ermöglicht den Zugriff nach erfolgreicher Auswertung. Ablehnen, Es Sei Denn Verweigert den Zugriff, es sei denn, die Auswertung ist erfolgreich.siehe Verweigern – außer ACL Weitere Informationen finden Sie unter .
      Admin-Aufhebungen

      Aktivieren Sie dieses Kontrollkästchen, damit Anwender mit der Administratorrolle die Berechtigungsprüfung für diese ACL-Regel automatisch bestehen. Administratoranwender bestehen, unabhängig davon, welche Skript- oder Rollenbeschränkungen gelten. Jedoch ist Niemand Rolle, die nur ServiceNow Mitarbeiter können zuweisen, hat Vorrang vor der Administratorüberschreibungsoption. Wenn eine ACL zugewiesen ist Niemand Rolle, Administratoranwender können nicht auf die Ressource zugreifen, auch wenn Administrator-Überschreibungen Ist ausgewählt. Siehe Basissystemrollen .

      Deaktivieren Sie dieses Kontrollkästchen, wenn Administratoren die in dieser ACL-Regel definierten Berechtigungen erfüllen müssen, um Zugriff auf das gesicherte Objekt zu erhalten. Da Administratoren Rollenprüfungen immer bestehen (siehe Beschreibung von Erfordert Rolle Feld), verwenden Sie den Bedingungsgenerator oder Skript Feld zum Erstellen einer Berechtigungsprüfung, die Administratoren bestehen müssen.
      Schutzrichtlinie Wählen Sie diese Option aus, um die Schutzrichtlinie für die ACL festzulegen
      Name Geben Sie den Namen des zu sichernden Objekts ein, entweder den Datensatznamen oder die Tabellen- und Feldnamen. Je spezifischer der Name, desto spezifischer ist die ACL-Regel. Sie können das Platzhalterzeichen Sternchen (*) anstelle eines Datensatzes, einer Tabelle oder eines Feldnamens verwenden, um alle Objekte auszuwählen, die einem Datensatztyp entsprechen, alle Tabellen oder alle Felder. Sie können ein Platzhalterzeichen nicht mit einer Textsuche kombinieren. Beispiel: INC* ist kein gültiger ACL-Regelname, aber Incident.* und *.number sind gültige ACL-Regelnamen.
      Hinweis:
      Klicken Sie auf das blaue Dreieck, um den Datensatznamen oder die Tabellen- und Feldnamen des gesicherten Objekts manuell einzugeben. Verwenden Sie diese Option, um ein Objekt zu sichern, das nicht in der Dropdown-Liste angezeigt wird.
      Beschreibung Geben Sie eine Beschreibung des Objekts oder der Berechtigungen ein, die diese ACL-Regel sichert.
      Aktiv Aktivieren Sie dieses Kontrollkästchen, um diese ACL-Regel zu erzwingen.
      Erweitert Aktivieren Sie dieses Kontrollkästchen, um anzuzeigen Erweiterte Bedingung Felder. Siehe Schritt 6.
    5. Wahlweise: Um den Umfang der ACL einzugrenzen, füllen Sie aus Bedingungen Felder nach Bedarf.
      Erfordert Rolle Verwenden Sie diese Liste, um die Rollen anzugeben, die ein Anwender haben muss, um auf das Objekt zuzugreifen. Wenn Sie mehrere Rollen auflisten, kann ein Anwender mit einer der aufgeführten Rollen auf das Objekt zugreifen. Die Erfordert Rolle Liste wird als zugehörige Liste angezeigt.
      Hinweis:
      Anwender mit der Administratorrolle bestehen diese Berechtigungsprüfung immer, da die Administratorrolle Anwendern automatisch alle anderen Rollen gewährt.
      Datenbedingung Verwenden Sie dies Bedingungsgenerator Um die Felder und Werte auszuwählen, die für Anwender auf das Objekt „wahr“ sein müssen.
      Hinweis:
      Im Bedingungsfeld wird zwischen Groß- und Kleinschreibung unterschieden
    6. Wahlweise: Wenn Erweitert Kontrollkästchen ist aktiviert, füllen Sie aus Erweiterte Bedingungen Felder nach Bedarf
      Durch Referenzen gesteuert Erzwingt die ACL für zugehörige Datensätze. Unter Zugehöriger Datensatzzugriff finden Sie weitere Details.
      Skript Geben Sie ein anwenderdefiniertes Skript ein, das die für den Zugriff auf das Objekt erforderlichen Berechtigungen beschreibt. Das Skript kann die Werte von verwenden Aktuell Und Zurück Globale Variablen in Business-Regeln Sowie Systemeigenschaften. Das Skript muss eine wahr- oder falsch-Antwort auf eine von zwei Arten generieren:
      • Geben Sie einen zurück Antwort Variable auf den Wert „wahr“ oder „falsch“ festgelegt
      • Wird als „wahr“ oder „falsch“ ausgewertet

      In beiden Fällen erhalten Anwender nur Zugriff auf das Objekt, wenn das Skript als „wahr“ ausgewertet wird und der Anwender alle Bedingungen erfüllt, die die ACL-Regel hat. Sowohl die Bedingungen als auch das Skript müssen als „wahr“ ausgewertet werden, damit ein Anwender auf das Objekt zugreifen kann.

      Wenn ein Skript in vorhanden ist Skript Feld. Dieses Skript wird auch ausgeführt, wenn das Feld nicht im Formular angezeigt wird.

      Hinweis:
      Wenn sich das ausgewertete Element in einer zugehörigen Liste befindet, Aktuell Verweist auf das Element, in dem sich die zugehörige Liste befindet, nicht auf das aktuelle Element, für das die ACL bestimmt ist. Wenn sich das Element, für das Sie die ACL auswerten, jedoch nicht in einer zugehörigen Liste befindet, Aktuell Verweist auf das tatsächliche Element.
    7. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.