Explorer le ServiceNow contrôle d’accès

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Le module d’extension SNC Access Control (com.snc.snc_access_control) vous permet de contrôler quels Service et assistance client employés peuvent accéder à votre instance et à quel moment.

    Lorsque vous activez le module d’extension pour la première fois, Service et assistance client les employés ne peuvent pas se connecter à l’instance. Tous les employés actuellement connectés Service et assistance client restent connectés. Vous créez des enregistrements dans la table Contrôle d’accès SNC qui accordent l’accès à des employés SNC spécifiques ou à tous les employés.

    Le module d’extension empêche Service et assistance client le personnel d’accéder aux instances sans votre autorisation expresse. Toutefois, d’autres membres du personnel d’exploitation autorisés ServiceNow , dans leur capacité à prendre en charge et à gérer le produit, ainsi qu’à vérifier l’utilisation, sont tenus d’effectuer des actions administratives sur l’infrastructure sous-jacente. Cette infrastructure comprend des serveurs et des bases de données, entre autres composants d’infrastructure qui composent la solution SaaS. Cette méthode d’accès est entièrement auditable et suivie.

    Ce module d’extension vous permet de restreindre l’accès à votre instance sans votre autorisation expresse, ce qui peut affecter les niveaux de service de support et le SLA de disponibilité. Le SLA de disponibilité est ensuite mesuré à partir du moment où le personnel d’assistance reçoit l’accès à votre instance.

    Sécurité de connexion

    La sécurité des connexions des employés autorisés Service et assistance client aux instances utilise des jetons chiffrés générés par un serveur sécurisé. Seuls les employés correctement authentifiés Service et assistance client ont accès à une instance. Sans le module d’extension SNC Access Control, le serveur de sécurité s’assure que les droits d’accès sont appliqués sur hi.service-now.com. Lorsque le module d’extension est activé, les jetons de connexion chiffrés doivent correspondre aux noms dans la liste d’accès fournie par le module d’extension, à l’aide des critères définis dans ces enregistrements. Cette méthode d’authentification vous permet de déterminer précisément quels Service et assistance client employés peuvent accéder à leurs instances, et à quel moment.

    L’architecture choisie pour ce système comporte plusieurs fonctionnalités conçues pour améliorer la sécurité de vos instances :
    Serveur de sécurité
    Le serveur de sécurité est un hôte Linux verrouillé auquel seul ServiceNow le personnel de sécurité peut accéder. Ce serveur est le seul système qui a accès à la clé de chiffrement privée critique nécessaire pour produire les jetons de connexion. En utilisant ce compartimentage (une pratique de sécurité standard), la clé privée est protégée, même dans le cas peu probable où un attaquant compromettrait l’instance HI.
    Utilisateur synthétique
    L’installation sur les instances qui permet aux employés autorisés Service et assistance client de se connecter à leur instance ne nécessite pas la mise en service d’un compte sur cette instance. Il n’existe aucun enregistrement utilisateur mis en service et aucune information d’identification permanente ou persistante. Au lieu de cela, un utilisateur synthétique est créé pour chaque Service et assistance client connexion d’employé. Cet utilisateur n’existe qu’en mémoire et ne fournit aucun privilège continu. Si le module d’extension SNC Access Control est activé, vous pouvez retirer l’autorisation d’un Service et assistance client employé à tout moment.
    Jetons
    Les jetons de sécurité sont spécifiques à une instance et à un employé particulier Service et assistance client . En outre, le mécanisme qui génère les jetons ne fonctionne qu’avec les connexions réelles Service et assistance client des employés à HI, et non avec les utilisateurs dont l’identité a été empruntée. Une fois qu’un jeton de sécurité est généré, seul un employé spécifique Service et assistance client peut l’utiliser pour se connecter à une instance.
    Limite de temps
    Les jetons de sécurité expirent quatre heures après leur génération. Cette expiration limite l’utilité des jetons détournés, qui ne peuvent être utilisés que pendant cette courte période.
    Connexion
    Les connexions des Service et assistance client employés aux instances sont enregistrées comme un événement de connexion.
    • Chaque action effectuée par l’employé connecté Service et assistance client est ajoutée au journal des transactions dans la base de données.
    • Il est également ajouté au journal d’instance sur le système de fichiers, qui est inaccessible à la plupart des ServiceNow employés.
    • Service et assistance client Les connexions et les actions des employés sont facilement identifiables, car les noms d’utilisateur se terminent tous par @snc (comme frodo.baggins@snc).

    Ces actions vous fournissent une journalisation de sécurité facile à utiliser, robuste et fiable pour l’accès des non-employés.

    Flux de traitement de sécurité

    Lorsqu’un Service et assistance client employé souhaite se connecter à une instance, le flux de traitement de sécurité est le suivant :

    1. Un Service et assistance client technicien demande une connexion pour l’instance par le biais de hi.service-now.com.
    2. HI vérifie que le technicien dispose du rôle approprié autorisant l’accès aux instances.
    3. Si l’utilisateur dispose du rôle approprié, HI envoie la demande d’accès au serveur de sécurité.
    4. Le serveur de sécurité vérifie que la demande provient de l’adresse IP HI et évalue la demande (utilisateur, rôle et adresse IP du demandeur). Si la demande est valide, le serveur de sécurité l’approuve et construit un jeton. Ce jeton contient le nom d’utilisateur, les rôles, l’ID d’instance et l’heure (le début de la durée de vie du jeton de 4 heures). Enfin, le serveur de sécurité crypte le jeton avec la clé de chiffrement privée.
    5. Le serveur de sécurité envoie le jeton chiffré à HI.
    6. Hi envoie le jeton au navigateur du technicien d’assistance.
    7. Le navigateur du technicien d’assistance initie une connexion à l’instance à l’aide du nom d’utilisateur spécial se terminant par @snc.
    8. L’instance utilise la clé publique pour déchiffrer le jeton. Pour vérifier le jeton, l’instance le met en correspondance avec le nom d’utilisateur fourni lors de l’étape précédente, l’ID d’instance et la fenêtre de temps autorisée. Si le module d’extension SNC Access Control est activé, l’instance vérifie que l’utilisateur :
      • Énuméré(e/s)
      • Actif
      • Configuré pour accéder à l’instance dans la fenêtre horaire actuelle
    9. Si l’utilisateur est authentifié, l’instance crée un utilisateur synthétique en mémoire avec les rôles donnés. Cet utilisateur ne persiste pas après l’expiration de la limite de temps, l’utilisateur se déconnecte ou l’instance est redémarrée.
    Figure 1. ServiceNow Flux de processus d’accès de sécurité
    ServiceNow Flux de processus d’accès de sécurité

    Journalisation d’audit

    La journalisation suivante suit les connexions et l’activité des Service et assistance client employés :
    • Journaux des événements : les journaux des événements affichent toutes les Service et assistance client connexions à une instance.
    • Journaux de transactions : les journaux de transactions montrent toute l’activité sur l’instance, y compris toute tentative de suppression de journal.
    Remarque :
    Pour en savoir plus sur ce module d’extension, consultez Module d’extension SNC Access Control Paramètres de renforcement de la sécurité de l’instance.