Contrôle d’accès Exploree ServiceNow

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 5 minutes de lecture

    • Le module d’extension Contrôle d’accès SNC (com.snc.snc_access_control) vous permet de contrôler quels Service client et assistance employés peuvent accéder à votre instance et quand.

    Lorsque vous activez le module d’extension pour la première fois, Service client et assistance les employés ne peuvent pas se connecter à l’instance. Tous les employés actuellement connectés Service client et assistance restent connectés. Vous créez des enregistrements dans la table Contrôle d’accès SNC qui accordent l’accès à des employés SNC spécifiques ou à tous les employés.

    Le module d’extension empêche Service client et assistance le personnel d’accéder aux instances sans votre autorisation expresse. Toutefois, d’autres membres du personnel d’exploitation autorisés ServiceNow , dans leur capacité à prendre en charge et à gérer le produit et à vérifier son utilisation, sont tenus d’effectuer des actions administratives sur l’infrastructure sous-jacente. Cette infrastructure comprend des serveurs et des bases de données, entre autres composants de l’infrastructure qui composent la solution SaaS. Cette méthode d’accès est entièrement auditable et suivie.

    Ce module d’extension vous permet de restreindre l’accès à votre instance sans votre autorisation expresse, de sorte que cela peut affecter les niveaux de service d’assistance et le SLA de disponibilité. La disponibilité du SLA est ensuite mesurée à partir du moment où le personnel de support est autorisé à accéder à votre instance.

    Sécurité de la connexion

    La sécurité des connexions des employés autorisés Service client et assistance aux instances utilise des jetons chiffrés générés par un serveur sécurisé. Seuls les employés correctement authentifiés Service client et assistance ont accès à une instance. Sans le module d’extension SNC Access Control, le serveur de sécurité garantit que les droits d’accès sont appliqués sur hi.service-now.com. Lorsque le module d’extension est activé, les jetons de connexion chiffrés doivent correspondre aux noms de la liste d’accès fournie par le module d’extension, à l’aide des critères définis dans ces enregistrements. Cette méthode d’authentification vous permet de déterminer précisément quels Service client et assistance employés peuvent accéder à leurs instances et quand ils peuvent le faire.

    L’architecture choisie pour ce système comporte plusieurs fonctionnalités conçues pour améliorer la sécurité de vos instances :
    Serveur de sécurité
    Le serveur de sécurité est un hôte Linux verrouillé auquel seul le ServiceNow personnel de sécurité peut accéder. Ce serveur est le seul système qui a accès à la clé de chiffrement privée critique nécessaire pour produire les jetons de connexion. En utilisant cette compartimentation (une pratique de sécurité standard), la clé privée est protégée, même dans le cas peu probable où un attaquant compromettrait l’instance HI.
    Utilisateur synthétique
    L’installation sur les instances qui permet aux employés autorisés Service client et assistance de se connecter à leur instance ne nécessite pas la mise en service d’un compte sur cette instance. Il n’y a pas d’enregistrement utilisateur mis en service, ni d’informations d’identification permanentes ou persistantes. Au lieu de cela, un utilisateur synthétique est créé pour chaque Service client et assistance connexion d’employé. Cet utilisateur n’existe qu’en mémoire et ne fournit aucun privilège permanent. Si le module d’extension Contrôle d’accès SNC est activé, vous pouvez retirer l’autorisation de n’importe quel Service client et assistance employé à tout moment.
    Jetons
    Les jetons de sécurité sont spécifiques à une instance et à un employé particulier Service client et assistance . En outre, le mécanisme qui génère les jetons ne fonctionne qu’avec les connexions réelles Service client et assistance des employés à HI, et non avec les utilisateurs dont l’identité a été empruntée. Une fois qu’un jeton de sécurité est généré, seul un employé spécifique Service client et assistance peut l’utiliser pour se connecter à une instance.
    Limite de temps
    Les jetons de sécurité expirent quatre heures après leur génération. Cette expiration limite l’utilité des jetons détournés, qui ne peuvent être utilisés que pendant cette courte période.
    Connexion
    Les connexions des Service client et assistance employés aux instances sont enregistrées comme un événement de connexion.
    • Chaque action effectuée par l’employé connecté Service client et assistance est ajoutée au journal des transactions dans la base de données.
    • Il est également ajouté au journal d’instance sur le système de fichiers, qui est inaccessible à la plupart ServiceNow des employés.
    • Service client et assistance Les connexions et les actions des employés sont facilement identifiables, car les noms d’utilisateur se terminent tous par @snc (comme frodo.baggins@snc).

    Ces actions vous fournissent une journalisation de sécurité facile à utiliser, robuste et fiable pour l’accès des non-employés.

    Flux de traitement de la sécurité

    Lorsqu’un Service client et assistance employé souhaite se connecter à une instance, le flux de traitement de la sécurité est le suivant :

    1. Un Service client et assistance technicien demande une connexion pour l’instance via hi.service-now.com.
    2. HI vérifie que le technicien dispose du rôle approprié pour autoriser l’accès aux instances.
    3. Si l’utilisateur dispose du rôle approprié, HI envoie la demande d’accès au serveur de sécurité.
    4. Le serveur de sécurité vérifie que la demande provient de l’adresse IP HI et évalue la demande (utilisateur, rôle et adresse IP du demandeur). Si la demande est valide, le serveur de sécurité l’approuve et crée un jeton. Ce jeton contient le nom d’utilisateur, les rôles, l’ID d’instance et l’heure (le début de la durée de vie du jeton de 4 heures). Enfin, le serveur de sécurité crypte le jeton avec la clé de chiffrement privée.
    5. Le serveur de sécurité envoie le jeton chiffré à HI.
    6. Hi envoie le jeton au navigateur du technicien de support.
    7. Le navigateur du technicien de support initie une connexion dans l’instance, à l’aide du nom d’utilisateur spécial se terminant par @snc.
    8. L’instance utilise la clé publique pour déchiffrer le jeton. Pour vérifier le jeton, l’instance le fait correspondre au nom d’utilisateur fourni à l’étape précédente, à l’ID de l’instance et à la fenêtre de temps autorisée. Si le module d’extension Contrôle d’accès SNC est activé, l’instance vérifie que l’utilisateur est :
      • Énuméré(e/s)
      • Actif
      • Configuré pour accéder à l’instance dans la fenêtre de temps actuelle
    9. Si l’utilisateur est authentifié, l’instance crée un utilisateur synthétique en mémoire avec les rôles donnés. Cet utilisateur ne persiste pas après l’expiration du délai, la déconnexion de l’utilisateur ou le redémarrage de l’instance.
    Figure 1. ServiceNow Flux de processus d’accès de sécurité
    ServiceNow Flux de processus d’accès de sécurité

    Journalisation d’audit

    La journalisation suivante suit les connexions et l’activité des Service client et assistance employés :
    • Journaux des événements : les journaux des événements affichent toutes les Service client et assistance connexions à une instance.
    • Journaux des transactions : les journaux des transactions affichent toutes les activités sur l’instance, y compris les efforts de suppression des journaux.
    Remarque :
    Pour en savoir plus sur ce module d’extension, consultez Activer le module d’extension du contrôle d’accès SNC [Mis à jour dans Centre de sécurité 1.3] Paramètres de la sécurisation renforcée de la sécurité de l’instance.