Administration d'application

  • Rversion finale: Zurich
  • Mis à jour 17 nov. 2025
  • 5 minutes de lecture

    • Protégez les données d’application sensibles en utilisant l’administration d’application pour restreindre la façon dont les utilisateurs acquièrent des rôles spécifiques aux applications.

    Fonctions de l’administration d’application

    Utilisez l’administration d’application pour :
    • Empêchez les utilisateurs non autorisés d’accéder à des données sensibles via des formulaires, des listes et l’interface utilisateur, telles que des dossiers financiers ou des informations personnellement identifiables.
    • Déterminez qui peut affecter des rôles protégés par le champ d’application, tels que l’administrateur et les développeurs désignés pour l’application.
    • Aider à empêcher les utilisateurs ayant le rôle administrateur au niveau du système de :
      • s’attribuer un rôle d’application protégé.
      • S’affecter à un groupe contenant un rôle d’application protégé.
      • Contournement des contrôles d’accès existants vers une application protégée en créant des contrôles d’accès.
      • emprunter l’identité d’un utilisateur disposant d’un rôle d’administration d’application protégé, sauf si le développeur ou l’administrateur dispose également de ce rôle.
      • Hériter d’un rôle d’application protégé.
      • Remplacement des contrôles d’accès existants à une application protégée.

    Rôles dans l’administration d’application

    Vous pouvez faire de n’importe quel rôle un administrateur spécifique à l’application en cochant la case Administrateur de l’application dans Configuration du rôle. Pour en savoir plus, consultez Restreindre l’accès à une application. Par convention, créez les rôles suivants :
    Tableau 1. Rôles d’administration d’application
    Nom du rôle Description
    Administrateur spécifique à l’application Les utilisateurs disposant de ce rôle peuvent affecter d’autres utilisateurs à un rôle spécifique à l’application pour cette application. Par exemple, vous pouvez créer un rôle nommé my_application.admin. Il doit inclure le nom de l’application restreinte, avec un suffixe « administrateur » pour indiquer qu’il s’agit du rôle administrateur de l’application.
    Développeur spécifique à l’application Les utilisateurs disposant de ce rôle peuvent accéder à l’application restreinte. Par exemple, vous pouvez créer un rôle nommé my_application.developer. Elle doit inclure le nom de l’application restreinte, avec un suffixe « développeur » pour indiquer qu’il s’agit du rôle de développeur de l’application. Le rôle de développeur a besoin des autorisations d’administrateur d’application et de développement délégué pour modifier les fichiers d’application.

    Pour en savoir plus, reportez-vous à la section Explorer Développement délégué et Déléguer les autorisations d’aménagement au personnel.

    Rôle administrateur spécifique à l’application

    Le rôle admin spécifique à une application permet à un utilisateur d’accéder à une application spécifique, mais ne lui accorde aucun autre droit d’administrateur. Affectez le rôle d’administrateur de niveau système à un utilisateur pour que celui-ci puisse effectuer les tâches suivantes :
    • Configurez les mises en page de formulaires et de listes.
    • Modifiez les tables et les champs d’application.
    • Affectez le rôle d’administrateur spécifique à l’application aux nouveaux utilisateurs.
    Si vous ne souhaitez pas qu’un utilisateur ayant le rôle administrateur spécifique à l’application ait le rôle administrateur au niveau du système :
    • N’affectez pas le rôle d’administrateur au niveau du système à l’utilisateur. Affectez uniquement le rôle administrateur spécifique à l’application.
    • Demandez à l’utilisateur de s’attribuer le rôle de développeur spécifique à l’application.

    En tant que développeur spécifique à une application, l’utilisateur peut effectuer un sous-ensemble de tâches administratives sans avoir le rôle d’administrateur au niveau du système.

    Remarque :
    Affectez le rôle administrateur spécifique à l’application à plusieurs utilisateurs. Ensuite, si un utilisateur ayant le rôle administrateur spécifique à l’application quitte l’entreprise, rien ne vous empêche de modifier l’application.

    Activer l’administration des applications et affecter des rôles spécifiques aux applications

    Vous pouvez activer l’administration d’une application pour une application à partir de l’enregistrement d’application et restreindre l’affectation de rôles spécifiques à l’application à partir de l’enregistrement de rôle utilisateur.
    Remarque :
    Activez l’administration des applications et affectez des rôles spécifiques à l’application une fois le développement de l’application terminé, mais avant d’ajouter des enregistrements d’application. Cette pratique protège les données sensibles des enregistrements d’application contre l’accès par des utilisateurs non autorisés.
    L’instance cible doit avoir au moins un utilisateur autorisé ayant le rôle administrateur spécifique à l’application.
    • Si vous activez l’administration d’une application, mais que vous n’affectez pas les rôles spécifiques à cette application, aucun utilisateur ne peut accéder à l’application.
    • Si vous affectez un seul rôle spécifique à l’application, vous ne pouvez pas supprimer ce rôle.

    Un avertissement s’affiche si vous activez l’administration d’une application pour une application, mais qu’aucun utilisateur ne dispose du rôle administrateur spécifique à l’application requis pour affecter des rôles à l’application. L’avertissement vous rappelle d’affecter les rôles spécifiques à l’application aux administrateurs et aux développeurs de l’application.

    Définissez la [scoped_app_name].min_admin_count property pour exiger que plusieurs utilisateurs aient le rôle administrateur spécifique à l’application. L’affectation du rôle administrateur spécifique à l’application à plusieurs utilisateurs réduit le risque de verrouillage de l’application incluse dans le périmètre. La [scoped_app_name].min_admin_count propriété présente les limitations suivantes :
    • Si vous spécifiez une valeur non valide pour la propriété, l’exigence par défaut d’affecter au moins un administrateur spécifique à l’application s’applique.
    • Si vous indiquez une valeur valide pour la propriété, vous ne pouvez pas supprimer d’administrateurs spécifiques à l’application, sauf si vous dépassez la valeur spécifiée. Par exemple, si vous spécifiez une valeur de deux et que vous avez trois administrateurs spécifiques à l’application, vous ne pouvez supprimer qu’un seul de ces rôles.
    • Vous pouvez spécifier une valeur supérieure au nombre réel d’administrateurs spécifiques à l’application affectés. Toutefois, vous ne pouvez pas supprimer d’administrateurs spécifiques à l’application tant que vous n’avez pas dépassé la valeur spécifiée. Par exemple, si vous spécifiez une valeur de six, mais que vous n’avez que trois administrateurs spécifiques à l’application, vous ne pouvez supprimer aucun de ces rôles.

    Pour les procédures, voir Restreindre l’accès à une application.

    Déploiement d’applications avec l’administration d’application

    Vous devez disposer du rôle d’administrateur au niveau du système dans vos instances de développeur et de production pour déployer une application protégée par l’administration d’application. Le processus est décrit dans les étapes suivantes.

    1. Développez l’application sur une instance de développement.
    2. Créez le rôle administrateur propre à l’application.
    3. Accordez le rôle administrateur spécifique à l’application à tous les utilisateurs administrateurs de niveau système.
    4. Mettez à jour l’enregistrement de l’application pour activer l’administration de l’application et restreindre l’accès à l’application.
    5. Publiez l’application dans le référentiel d’applications.
    6. À partir d’une instance de production, installez l’application à partir du référentiel d’applications.
    7. En tant qu’administrateur au niveau du système sur l’instance de production, accordez le rôle d’administrateur spécifique à l’application aux utilisateurs appropriés.
    8. Supprimez le rôle administrateur spécifique à l’application de tous les utilisateurs disposant du rôle administrateur au niveau du système.

    Pour connaître les procédures permettant d’activer l’administration des applications et de restreindre l’affectation de rôles spécifiques aux applications, reportez-vous à la section Restreindre l’accès à une application.

    Formation

    Le ServiceNow® Site Developer a une formation pour la sécurisation des applications.