Explorer le ServiceNow contrôle d’accès

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Le module d’extension SNC Access Control (com.snc.snc_access_control) vous permet de contrôler quels Service et assistance client employés peuvent accéder à votre instance, et quand.

    Lorsque vous activez le module d’extension pour la première fois, Service et assistance client les employés ne peuvent pas se connecter à l’instance. Tous les employés actuellement connectés Service et assistance client restent connectés. Dans la table Contrôle d’accès SNC, vous créez des enregistrements qui accordent l’accès à des employés SNC spécifiques ou à tous les employés.

    Le module d’extension empêche Service et assistance client le personnel d’accéder aux instances sans votre autorisation expresse. Toutefois, d’autres membres du personnel d’exploitation autorisés ServiceNow , en leur capacité à prendre en charge et à gérer le produit et à vérifier l’utilisation, sont tenus d’effectuer des actions administratives sur l’infrastructure sous-jacente. Cette infrastructure comprend des serveurs et des bases de données, entre autres composants d’infrastructure qui composent la solution SaaS. Cette méthode d’accès est entièrement auditable et suivie.

    Ce module d’extension vous permet de restreindre l’accès à votre instance sans votre autorisation expresse, ce qui peut affecter les niveaux de service de support et le SLA de disponibilité. Le SLA de disponibilité est ensuite mesuré à partir du moment où le personnel de support est autorisé à accéder à votre instance.

    Sécurité de connexion

    La sécurité des connexions des employés autorisés Service et assistance client aux instances utilise des jetons chiffrés générés par un serveur sécurisé. Seuls les employés correctement authentifiés Service et assistance client ont accès à une instance. Sans le module d’extension SNC Access Control, le serveur de sécurité s’assure que les droits d’accès sont appliqués aux hi.service-now.com. Lorsque le module d’extension est activé, les jetons de connexion chiffrés doivent correspondre aux noms de la liste d’accès fournie par le module d’extension, à l’aide des critères définis dans ces enregistrements. Cette méthode d’authentification vous permet de déterminer précisément quels Service et assistance client employés peuvent accéder à leurs instances, et quand ces employés peuvent le faire.

    L’architecture choisie pour ce système comporte plusieurs fonctionnalités conçues pour améliorer la sécurité de vos instances :
    Serveur de sécurité
    Le serveur de sécurité est un hôte Linux verrouillé auquel seul ServiceNow le personnel de sécurité peut accéder. Ce serveur est le seul système qui a accès à la clé de chiffrement privée critique nécessaire pour produire les jetons de connexion. En utilisant cette compartimentation (une pratique de sécurité standard), la clé privée est protégée, même dans le cas peu probable où un attaquant compromettrait l’instance HI.
    Utilisateur synthétique
    L’installation sur les instances qui permet aux employés autorisés Service et assistance client de se connecter à leur instance ne nécessite pas qu’un compte soit mis en service sur cette instance. Il n’existe aucun enregistrement utilisateur mis en service ni aucune information d’identification permanente ou persistante. Au lieu de cela, un utilisateur synthétique est créé pour chaque Service et assistance client connexion d’employé. Cet utilisateur n’existe qu’en mémoire et ne fournit aucun privilège permanent. Si le module d’extension Contrôle d’accès SNC est activé, vous pouvez retirer l’autorisation de n’importe quel Service et assistance client employé à tout moment.
    Jetons
    Les jetons de sécurité sont spécifiques à une instance et à un employé particulier Service et assistance client . De plus, le mécanisme qui génère les jetons ne fonctionne qu’avec les connexions réelles Service et assistance client des employés à HI, et non avec les utilisateurs dont l’identité a été empruntée. Une fois qu’un jeton de sécurité est généré, seul un employé spécifique Service et assistance client peut l’utiliser pour se connecter à une instance.
    Limite de temps
    Les jetons de sécurité expirent quatre heures après leur génération. Cette expiration limite l’utilité des jetons détournés, qui ne peuvent être utilisés que pendant cette courte période.
    Connexion
    Les connexions Service et assistance client des employés aux instances sont enregistrées en tant qu’événement de connexion.
    • Chaque action effectuée par l’employé connecté Service et assistance client est ajoutée au journal des transactions dans la base de données.
    • Il est également ajouté au journal d’instance sur le système de fichiers, qui est inaccessible pour la plupart des ServiceNow employés.
    • Service et assistance client Les connexions et les actions des employés sont facilement identifiables, car les noms d’utilisateur se terminent tous par @snc (comme frodo.baggins@snc).

    Ces actions vous fournissent une journalisation de sécurité facile à utiliser, robuste et fiable pour l’accès des non-employés.

    Flux de traitement de sécurité

    Lorsqu’un Service et assistance client employé veut se connecter à une instance, le flux de traitement de la sécurité est le suivant :

    1. Un Service et assistance client technicien demande une connexion pour l’instance via hi.service-now.com.
    2. HI vérifie que le technicien dispose du rôle approprié autorisant l’accès aux instances.
    3. Si l’utilisateur dispose du rôle approprié, HI envoie la demande d’accès au serveur de sécurité.
    4. Le serveur de sécurité vérifie que la demande provient de l’adresse IP HI et évalue la demande (utilisateur, rôle et adresse IP du demandeur). Si la demande est valide, le serveur de sécurité l’approuve et construit un jeton. Ce jeton contient le nom d’utilisateur, les rôles, l’ID de l’instance et l’heure (le début de la durée de vie du jeton de 4 heures). Enfin, le serveur de sécurité crypte le jeton avec la clé de chiffrement privée.
    5. Le serveur de sécurité envoie le jeton chiffré à HI.
    6. Hi envoie le jeton au navigateur du technicien de support.
    7. Le navigateur du technicien de support initie une connexion à l’instance à l’aide du nom d’utilisateur spécial se terminant par @snc.
    8. L’instance utilise la clé publique pour déchiffrer le jeton. Pour vérifier le jeton, l’instance le met en correspondance avec le nom d’utilisateur fourni à l’étape précédente, l’ID de l’instance et la fenêtre de temps autorisée. Si le module d’extension SNC Access Control est activé, l’instance vérifie que l’utilisateur est :
      • Énuméré(e/s)
      • Actif
      • Configuré pour accéder à l’instance dans la fenêtre horaire actuelle
    9. Si l’utilisateur est authentifié, l’instance crée un utilisateur synthétique en mémoire avec les rôles donnés. Cet utilisateur ne persiste pas après l’expiration de la limite de temps, la déconnexion de l’utilisateur ou le redémarrage de l’instance.
    Figure 1. ServiceNow Flux de processus d’accès de sécurité
    ServiceNow Flux de processus d’accès de sécurité

    Journalisation d’audit

    La connexion suivante permet de suivre les connexions et l’activité des Service et assistance client employés :
    • Journaux des événements : les journaux des événements affichent toutes les Service et assistance client connexions à une instance.
    • Journaux de transactions : les journaux de transactions affichent toute l’activité sur l’instance, y compris toute tentative de suppression de journal.
    Remarque :
    Pour en savoir plus sur ce module d’extension, consultez Module d’extension du contrôle d’accès SNC Paramètres de renforcement de la sécurité de l’instance.