Administration d'application

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Protégez les données d’application sensibles en utilisant l’administration d’application pour restreindre la façon dont les utilisateurs acquièrent des rôles spécifiques à l’application.

    Fonctions de l’administration d’application

    Utilisez l’administration d’application pour :
    • Empêchez les utilisateurs non autorisés d’accéder aux données sensibles telles que les enregistrements financiers ou les informations personnelles identifiables.
    • Limitez les personnes qui peuvent affecter des rôles spécifiques à l’application, tels que l’administrateur et les développeurs désignés pour l’application.
    • Empêchez les utilisateurs ayant le rôle administrateur au niveau du système de :
      • S’affecter un rôle d’application protégé.
      • S’affecter à un groupe contenant un rôle d’application protégé.
      • Contournement des contrôles d’accès existants à une application protégée en créant des contrôles d’accès.
      • Modification du mot de passe des utilisateurs qui ont un rôle d’application protégé.
      • Emprunt d’identité d’un utilisateur qui a un rôle d’application protégé, sauf si le développeur ou l’administrateur a également ce rôle.
      • Hériter d’un rôle d’application protégé.
      • Remplacement des contrôles d’accès existants à une application protégée.
      • Scripts en cours d’exécution qui accèdent à des enregistrements d’applications protégés.

    Rôles dans l’administration d’application

    Vous pouvez définir n’importe quel rôle en administrateur spécifique à l’application en cochant la case Administrateur d’application dans Configuration du rôle. Pour en savoir plus, consultez Limiter l’accès à une application. Par convention, créez les rôles suivants :
    Tableau 1. Rôles d’administration d’application
    Nom du rôle Description
    Administrateur spécifique à l’application Les utilisateurs disposant de ce rôle peuvent affecter d’autres utilisateurs à un rôle spécifique à l’application de cette application. Par exemple, vous pouvez créer un rôle nommé my_application.admin. Il doit inclure le nom de l’application restreinte, avec un suffixe « admin » pour indiquer qu’il s’agit du rôle administrateur de l’application.
    Développeur spécifique à l’application Les utilisateurs disposant de ce rôle peuvent accéder à l’application restreinte. Par exemple, vous pouvez créer un rôle nommé my_application.developer. Il doit inclure le nom de l’application restreinte, avec un suffixe « développeur » pour indiquer qu’il s’agit du rôle de développeur de l’application. Le rôle de développeur nécessite à la fois des autorisations d’administrateur d’application et de développement délégué pour modifier les fichiers d’application.

    Pour en savoir plus, consultez Développement délégué et déploiement et Déléguer les autorisations de développement et de déploiement au personnel.

    Rôle administrateur spécifique à l’application

    Le rôle administrateur spécifique à l’application permet à un utilisateur d’accéder à une application spécifique, mais ne lui accorde pas d’autres droits d’administrateur. Affectez le rôle d’administrateur au niveau du système à un utilisateur avant que celui-ci puisse effectuer ces tâches :
    • Configurez la mise en page des formulaires et des listes.
    • Modifiez les tables et les champs de l’application.
    • Affectez le rôle administrateur spécifique à l’application aux nouveaux utilisateurs.
    Si vous ne souhaitez pas qu’un utilisateur ayant le rôle administrateur spécifique à l’application ait le rôle administrateur au niveau du système :
    • N’affectez pas le rôle d’administrateur au niveau du système à l’utilisateur. Affectez uniquement le rôle administrateur spécifique à l’application.
    • Demandez à l’utilisateur de s’attribuer le rôle de développeur spécifique à l’application.

    En tant que développeur spécifique à l’application, l’utilisateur peut effectuer un sous-ensemble de tâches administratives sans avoir le rôle administrateur au niveau du système.

    Remarque :
    Affectez le rôle administrateur spécifique à l’application à plusieurs utilisateurs. Ensuite, si un utilisateur ayant le rôle administrateur spécifique à l’application quitte l’entreprise, vous n’êtes pas empêché de changer l’application.

    Activer l’administration d’application et affecter des rôles spécifiques à l’application

    Vous pouvez activer l’administration d’application pour une application à partir de l’enregistrement d’application et restreindre l’affectation de rôles spécifiques à l’application à partir de l’enregistrement de rôle d’utilisateur.
    Remarque :
    Activez l’administration des applications et affectez des rôles spécifiques à l’application une fois le développement de l’application terminé, mais avant d’ajouter des enregistrements d’application. Cette pratique protège les données sensibles contenues dans les enregistrements d’application contre l’accès par des utilisateurs non autorisés.
    L’instance cible doit avoir au moins un utilisateur autorisé disposant du rôle administrateur spécifique à l’application.
    • Si vous activez l’administration d’application pour une application, mais que vous n’affectez pas les rôles spécifiques à l’application, aucun utilisateur ne peut accéder à l’application.
    • Si vous n’affectez qu’un seul rôle spécifique à l’application, vous ne pouvez pas supprimer ce rôle.

    Un avertissement s’affiche si vous activez l’administration d’application pour une application, mais qu’aucun utilisateur n’a le rôle administrateur spécifique à l’application requis pour affecter des rôles pour l’application. L’avertissement vous rappelle d’affecter les rôles spécifiques à l’application pour les administrateurs et les développeurs de l’application.

    Définissez le [scoped_app_name].min_admin_count property pour exiger que plusieurs utilisateurs aient le rôle administrateur spécifique à l’application. L’affectation du rôle administrateur spécifique à l’application à plusieurs utilisateurs réduit le risque d’être bloqué hors de l’application incluse dans le périmètre. La [scoped_app_name].min_admin_count propriété présente les limitations suivantes :
    • Si vous spécifiez une valeur non valide pour la propriété, l’exigence par défaut d’affectation d’au moins un administrateur spécifique à l’application est appliquée.
    • Si vous spécifiez une valeur valide pour la propriété, vous ne pouvez pas supprimer d’administrateurs spécifiques à l’application, sauf si vous dépassez la valeur spécifiée. Par exemple, si vous spécifiez une valeur de deux et que vous avez trois administrateurs spécifiques à l’application, vous ne pouvez supprimer qu’un seul de ces rôles.
    • Vous pouvez spécifier une valeur supérieure au nombre réel d’administrateurs spécifiques à l’application affectés. Toutefois, vous ne pouvez pas supprimer d’administrateurs spécifiques à l’application tant que vous n’avez pas dépassé la valeur spécifiée. Par exemple, si vous spécifiez une valeur de six, mais que vous n’avez que trois administrateurs spécifiques à l’application, vous ne pouvez supprimer aucun de ces rôles.

    Pour connaître les procédures, reportez-vous à la section Limiter l’accès à une application.

    Déploiement d’applications avec administration d’application

    Vous devez avoir le rôle d’administrateur au niveau du système dans vos instances de développeur et de production pour déployer une application protégée par l’administration d’application. Le processus est décrit dans les étapes suivantes.

    1. Développez l’application sur une instance de développement.
    2. Créez le rôle administrateur spécifique à l’application.
    3. Accordez le rôle administrateur spécifique à l’application à tous les utilisateurs administrateurs au niveau du système.
    4. Mettez à jour l’enregistrement d’application pour permettre l’administration de l’application et restreindre l’accès à l’application.
    5. Publiez l’application dans le référentiel d’applications.
    6. À partir d’une instance de production, installez l’application à partir du référentiel d’applications.
    7. En tant qu’administrateur de niveau système sur l’instance de production, accordez le rôle administrateur spécifique à l’application aux utilisateurs appropriés.
    8. Supprimez le rôle administrateur spécifique à l’application de tous les utilisateurs ayant le rôle administrateur au niveau du système.

    Pour connaître les procédures d’activation de l’administration d’application et de restriction de l’affectation de rôles spécifiques à l’application, reportez-vous à la section Limiter l’accès à une application.

    Formation

    Ils ont reçu une formation sur la ServiceNow® Site Developersécurisation des applications.