Domain Separation et Discovery

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Domain Separation est prise en charge dans Découverte. Séparation de domaine vous permet de séparer les données, les processus et les tâches administratives en groupes logiques appelés domaines. Vous pouvez contrôler plusieurs aspects de cette séparation, notamment les utilisateurs qui peuvent voir les données et y accéder.

    Niveau de prise en charge : Standard

    • Inclut tous les aspects du support de niveau basique .
    • Les propriétés d'application sont sensibles au domaine selon les besoins.
    • Logique métier : le fournisseur de service (SP) crée ou modifie des processus par client. Les cas d'utilisation reflètent l'utilisation appropriée de l'application par plusieurs clients SP dans une seule instance.
    • Le propriétaire de l'instance doit configurer la logique métier et les paramètres de données du produit minimum viable (MVP) par locataire comme prévu pour l'application spécifique.

    Exemple de cas d'utilisation : un administrateur doit être en mesure de donner les commentaires appropriés lorsqu'un enregistrement se ferme pour un locataire, mais pas pour un autre.

    Pour en savoir plus sur les niveaux de prise en charge, consultez la rubrique Prise en charge de Séparation de domaine par les applications.

    Vue d'ensemble de Séparation en domaines

    Les fournisseurs de services utilisent Domain Separation pour séparer les données de chaque client. Les utilisateurs d'un domaine donné peuvent consulter uniquement les données de leurs propres domaines ou de domaines enfants. Les fournisseurs de services contrôlent généralement le domaine de niveau supérieur, ce qui leur donne une visibilité sur les données associées à tous les domaines. Étant donné que la prise en charge de l'application Domain Separation de Discovery est considérée comme standard, il n'existe aucune administration déléguée aux domaines enfants. Les fournisseurs de services doivent conserver le contrôle administratif.

    Mode de fonctionnement de Domain Separation dans Discovery

    Un seul MID Server peut prendre en charge plusieurs domaines. Dans les versions antérieures à Kingston, chaque MID Server ne pouvait prendre en charge qu'un seul domaine. Dans les versions plus récentes, la séparation des domaines par MID Server est utile lorsque le domaine est volumineux ou lorsque les ressources du domaine ne sont pas détenues par le fournisseur de services, mais se trouvent dans le centre de données d'un client. Pour utiliser Discovery sur les MID Servers qui prennent en charge un seul domaine, les CI détectés sont affectés au domaine de l'utilisateur MID permettant de s'authentifier auprès de l'instance ServiceNow. Dans les MID Servers multi-domaines, les CI détectés sont affectés au domaine de l'utilisateur ayant créé le calendrier de détection.

    Discovery implémente la séparation de domaine sur les données via le MID Server en empruntant l'identité de l'utilisateur du MID Server pendant le traitement des capteurs. Discovery utilise le domaine dans lequel se trouve l'utilisateur du MID Server pour déterminer dans quel domaine les données détectées doivent être placées. Les informations de configuration de Discovery, notamment les classifieurs, les identificateurs, les sondes et les capteurs, ne sont pas séparées par domaine.

    Les fournisseurs de services utilisent généralement la détection basée sur IP. Dans les cas où les fournisseurs de services contrôlent l'adresse du réseau, ils divisent l'espace d'adressage entre leurs clients pour s'assurer que chaque domaine dispose d'un espace d'adressage IP distinct. Les fournisseurs de services affectent un ou plusieurs sous-réseaux à un client ou à un domaine et créent des calendriers de détection pour ces sous-réseaux.

    Si les fournisseurs de services gèrent à distance le centre de données de leurs clients, les différents espaces d'adressage que les clients utilisent risquent de se chevaucher. Dans ces cas, les fournisseurs de services peuvent utiliser la traduction d'adresses réseau (NAT) sur la plage d'adresses IP et exécuter un calendrier de détection.

    Une fois que les CI sont affectés au domaine correct, le contrôle d'accès en lecture/écriture et le contrôle de visibilité sont fournis par la plateforme via la hiérarchie des domaines. Les utilisateurs peuvent consulter les calendriers de leurs domaines respectifs. La visibilité des calendriers inter-domaines n'est pas possible, hormis pour les fournisseurs de services qui contrôlent le domaine parent et qui ont une visibilité sur tous les domaines.

    Séparation de domaine pour les fichiers du MID Server

    Vous pouvez créer des versions de ces enregistrements de politique de MID Server que seul un MID Server du même domaine peut utiliser. Cette séparation de processus est prise en charge pour les enregistrements dans les tables qui étendent les fichiers synchronisés avec le MID Server [ecc_agent_sync_file] :
    • Fichier MIB pour MID Server [ecc_agent_mib]
    • Fichier JAR pour MID Server [ecc_agent_jar]
    • Fichier de script MID Server [ecc_agent_script_files]

    Par défaut, tous les enregistrements de ces tables sont membres du domaine global. Un utilisateur peut remplacer le domaine global par défaut et créer une version de ces politiques pour l'utiliser dans son propre domaine.

    Remarque :
    Les pièces jointes des enregistrements de fichiers MIB ou JAR peuvent ne pas apparaître, comme dans un environnement non séparé par domaine. Cela se produit lorsque la table Pièces jointes [sys_attachment] est séparée par données. Lorsque des données sont séparées par domaine, un enregistrement d'un domaine enfant ne peut pas accéder aux enregistrements d'un domaine parent.

    Consultez Séparation de domaine pour Serveur MID pour obtenir des instructions sur la configuration de Séparation de domaine via Serveur MID.

    Tables séparées par domaine

    Les enregistrements de toutes les tables qui étendent la table Élément de configuration de base [cmdb] peuvent être séparés par domaine. Les enregistrements des tables suivantes peuvent également être séparés par domaine :
    • Numéro de série [cmdb_serial_number]
    • Connexion TCP [cmdb_tcp]
    • Initiateur Fibre Channel [cmdb_fc_initiator]
    • Cibles Fibre Channel [cmdb_fc_target]
    • Adresse IP vers nom DNS [cmdb_ip_address_dns_name]
    • Service [cmdb_ip_service_ci]
    • Appareil virtuel KVM [cmdb_kvm_device]
    • VLAN du service d'équilibreur de charge [cmdb_lb_service_vlan]
    • Interface du VLAN d'équilibreur de charge [cmdb_lb_vlan_interface]
    • Port du commutateur [cmdb_switch_port]