Rôle en lecture seule

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Le rôle de lecture seule (snc_read_only) limite un utilisateur ou un groupe d’utilisateurs à un accès en lecture seule aux tables auxquelles l’utilisateur a déjà accès.

    Ce rôle est conçu pour compléter d’autres rôles qu’un utilisateur possède. Son but est de restreindre les actions telles que les opérations d’insertion, de mise à jour ou de suppression sur les tables accessibles via leurs rôles existants.

    Une fois que vous avez affecté ce rôle à un utilisateur, celui-ci ne peut plus créer, mettre à jour ou supprimer des enregistrements sur AUCUNE table.

    Remarque :
    Affectez ce rôle uniquement aux utilisateurs. N’affectez pas ce rôle à d’autres ressources du système, notamment des applications, des niveaux de contrôle d’accès (ACL), etc.

    Le rôle snc_read_only peut être affecté à n’importe quel utilisateur pour limiter l’accès aux données sans avoir à créer d’ACL pour les tables système, les tables personnalisées et les champs. Cette pratique est utile pour effectuer des audits internes ou externes sans permettre à un utilisateur d’avoir un accès d’insertion ou de mise à jour aux données.

    Les utilisateurs disposant du rôle snc_read_only bénéficient des restrictions suivantes, quels que soient les autres rôles et privilèges dont ils disposent.
    • Impossible d’insérer, de mettre à jour ou de supprimer des enregistrements de l’interface utilisateur ou lors de l’utilisation de l’API GlideRecord.
    • Impossible d’activer ou de mettre à niveau les modules d’extension.
    • Impossible d’exécuter directement SQL.
    • Impossible de charger des fichiers XML.
    • Peut uniquement exécuter des scripts en arrière-plan sur une instance dans l’environnement sandbox public.
    Remarque :
    Ces restrictions de rôle sont en place même en cas d’emprunt de l’identité d’un autre utilisateur disposant d’un accès en écriture, tel qu’un administrateur.

    Activer le rôle de lecture seule

    S’il n’est pas déjà actif, un administrateur peut activer le module d’extension Read-Only User Role (com.snc.read_only.role).

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Accédez à Tous > Applications système > Toutes les applications disponibles > Tous.
    2. Recherchez le module d’extension Rôle d’utilisateur en lecture seule (com.snc.read_only.role) à l’aide des critères de filtre et de la barre de recherche.

      Vous pouvez rechercher le module d'extension par son nom ou son ID. Si vous ne trouvez pas le module d'extension souhaité, vous devrez peut-être le demander au personnel ServiceNow.

    3. Sélectionnez Installer pour lancer le processus d'installation.
      Remarque :
      Lorsque Séparation de domaine et l'administrateur délégué sont activés dans une instance, l'utilisateur administratif doit être dans le domaine global. Sinon, l'erreur suivante s'affiche : L'installation de l'application n'est pas disponible, car une autre opération est en cours d'exécution : activation du module d'extension pour <plugin name>.
      Un message s'affiche une fois l'installation terminée. Pour en savoir plus sur les composants installés avec un module d'extension, consultez Trouver les composants installés avec une application.

    Propriétés du rôle en lecture seule

    Ces propriétés système contrôlent le rôle snc_read_only. Les valeurs par défaut suivantes sont utilisées pour les propriétés.

    Tableau 1.
    Nom Description
    glide.security.snc_read_only_role.tables.exempt_create

    Spécifie quelles tables sont exemptées de l’application du rôle de lecture seule et permettent la création de nouveaux enregistrements.

    • Type : chaîne
    • Valeur par défaut : sys_user_session, sysevent, syslog, syslog_transaction, sys_user_preference, sys_ui_list, sys_ui_list_element, sys_db_cache, user_multifactor_auth
    • Emplacement : table Propriétés système [sys_properties]
    glide.security.snc_read_only_role.tables.exempt_write

    Spécifie les tables exemptées de l’application du rôle en lecture seule et qui permettent la mise à jour des enregistrements existants.

    • Type : chaîne
    • Valeur par défaut : sys_user_session, sysevent, syslog, syslog_transaction, sys_user_preference, sys_ui_list, sys_ui_list_element, sys_db_cache, user_multifactor_auth
    • Emplacement : table Propriétés système [sys_properties]
    glide.security.snc_read_only_role.tables.exempt_delete

    Spécifie quelles tables sont exemptées de l’application du rôle de lecture seule et permettent la suppression des enregistrements existants.

    • Type : chaîne
    • Valeur par défaut : sys_user_preference, sys_ui_list, sys_ui_list_element, sys_db_cache user_multifactor_auth
    • Emplacement : table Propriétés système [sys_properties]

    Après avoir configuré ces propriétés, affectez le rôle en lecture seule selon vos besoins. Lorsque vous vous connectez, vous ne pouvez pas créer, mettre à jour ou supprimer des enregistrements sur TOUTES les tables, sauf si vous avez modifié ces propriétés.

    Remarque :
    Testez le rôle en lecture seule en l’affectant à un utilisateur, puis en empruntant l’identité de cet utilisateur.