セットアップアシスタントを使用してペルソナロールの初期アサインを完了したら、インスタンスのユーザー管理モジュールからユーザーまたはグループへの追加の詳細ロールのアサインを管理します。
始める前に
セットアップアシスタントを使用した 脆弱性対応 の初期設定と構成をまだ完了していない場合、またはユーザーとグループにペルソナロールをアサインしていない場合は、次に移動します: . 「セットアップアシスタントを使用した 脆弱性対応 ペルソナロールのアサイン」を参照してください。
ペルソナロールの重要な用語と概要については、「脆弱性対応 のペルソナと詳細なロール」を参照してください。
ペルソナロールは、複数の詳細ロールで構成される、アプリケーション内の事前設定されたロールです。セットアップアシスタント、脆弱性アドミン、脆弱性アナリスト、修復オーナー、構成アイテムマネージャー、および例外マネージャーのペルソナロールは、IT 組織または脆弱性修復グループのマネージャー、アナリスト、およびサービスオーナーの一般的な役職に対応するように設計されています。
いずれかのロールで許可されている数よりも多くのアクセス権をユーザーとグループに付与する場合は、詳細ロールをさらにユーザーとグループに追加できます。逆に、タスクレベルで特定のユーザーやグループのアクセスを制限する場合は、詳細なロールを削除できます。また、ニーズに合わせてカスタムロールをビルドすることもできます。
必要なロール:admin
手順
-
ユーザーとグループの詳細ロールを管理するには、いずれかを選択して続行します。
| オプション | 説明 |
|---|
| ユーザーまたはグループの詳細ロールを編集する |
ユーザーまたはグループの詳細ロールをアサインまたは削除するか、詳細ロールを編集してグループ内の特定のユーザーのみが拡張または制限された権限を持つようにします。 表の後に例を示します。
|
| 新しいロールを作成する |
特定のジョブタイトルのライブラリから 1 つ以上の詳細ロールを使用して新しいロールを作成するか、または特定の要件を満たすロールを作成します。 表の後に例を示します。
|
脆弱性対応 における詳細ロールの名前は、通常、ユーザーが実行して確認できる内容を示しています。特定の詳細なロールの説明を表示するには、次に移動します: をクリックし、必要なロールを見つけます。ロールの説明、ロールがアサインされたときに自動的に継承されるロール、および他のロールに依存するロールも一覧表示されます。
-
ユーザーまたはグループの詳細ロールをアサインまたは削除するには、次の手順を実行します。
たとえば、IT マネージャーに、レコードの表示は許可するけれども、更新や編集は許可しないロールをアサインするとします。脆弱性対応、脆弱性対応のパフォーマンスアナリティクス、およびすべてのサードパーティ統合のレコードを表示するには、このユーザーに sn_vul.read_all の詳細ロールをアサインします。
-
移動先 .
-
ユーザーを見つけ、 [名前] 列でレコードをクリックして開きます。
ユーザーのレコードが表示されます。
-
[ロール] タブが選択されていない場合は、それを選択します。
ユーザーに現在アサインされているロールが表示されます。
-
[編集] をクリックします。
[メンバーの編集] フォームが表示されます。
-
スラッシュバケットの [コレクション] フィールドに、わかる場合はロールの名前を入力します。または、「*sn_vul」と入力して、脆弱性対応で利用可能な詳細ロールのみを表示します。
-
「sn_vul.read_all」を見つけて [ロールリスト (Roles List)] に移動させます。
注: 同じプロセスで、ロールを [ロールリスト (Roles List)] から [コレクション] リストに移動させ、スラッシュバケット内のユーザーから特定の詳細ロールを削除します。
-
[保存] をクリックします。
ユーザーレコードが新しい詳細ロールで表示されます。
-
[更新] をクリックして変更を保存し、[ユーザー] リストに戻ります。
脆弱性対応、脆弱性対応のパフォーマンスアナリティクス、およびサードパーティ統合のレコードを読み取れるけれども更新できない権限をユーザーに提供しました。
-
特定のメンバーのみがより詳細なロールでアクセスを拡大できるようにグループを編集するには、次の手順を実行します。
たとえば、修復オーナー (sn_vul.remediation_owner) グループの特定のユーザーに脆弱性一致アイテムの手動作成を許可したいけれども、その権限をグループ内のすべてのユーザーにまで広げて付与したくはないとします。脆弱性一致アイテムを手動で作成する権限は、sn_vul.create_vulnerable_items 詳細ロールによって付与されます。このグループの特定ユーザーにのみこの権限を付与するには、次の手順を実行します。
-
移動先 .
-
修復オーナーグループを見つけ、 [名前] 列でグループをクリックして、レコードを開きます。
グループレコードが表示されます。
-
[グループメンバー] タブが選択されていない場合は、それを選択します。
グループの現在のメンバーが表示されます。
-
リストから、詳細ロールをアサインする名前をクリックし、レコードを開きます。
-
レコードで、[ロール] タブまでスクロールして選択します。
ユーザーにアサインされているロールが表示されます。
-
[編集] をクリックします。
[メンバーの編集] フォームが表示されます。
-
[コレクション] フィールドに、わかる場合はロールの名前を入力します。または、「*sn_vul」と入力して、脆弱性対応で利用可能なすべての詳細ロールを表示します。
-
「sn_vul.create_vulnerable_items」を見つけて [ロールリスト (Roles List)] に移動させます。
-
[保存] をクリックします。
ユーザーレコードが新しい詳細ロールで表示されます。
-
戻る矢印をクリックして、修復オーナーグループのレコード内のユーザーを表示します。
-
リストから、この詳細ロールをアサインする名前をクリックし、レコードを開き、スラッシュバケットを使用してロールをアサインします。
-
編集を完了したら、[更新] をクリックして変更を保存し、グループリストに戻ります。
これで修復オーナー (sn_vul.remediation_owner) グループの一部のユーザーに、脆弱性一致アイテムを手動で作成する権限が付与されました。
-
選択した詳細ロールのみを使用して新しいロールを作成するには、次の手順を実行します。
この例では、コンプライアンス監査人のロールを作成するとします。このロールはガバナンス、リスク、コンプライアンス (GRC) と緊密に連携し、そのジョブには
脆弱性対応 内の以下の権限とタスクが必要になります。
- 脆弱性一致アイテムと脆弱性グループの修正期限を管理する。
- 期限の延長または修正の保留の例外要求を承認する。
- 自動削除を使用して古い脆弱性一致アイテムのクリーンアップを管理する。
- リスクスコアを定義する。
- 脆弱性対応 内のすべてのレコードを読み取る (ただし、編集は許可されない)。
-
移動先 .
-
ロールリストで、[新規] をクリックします。
-
ロールレコードのフィールドに入力します。
名前を作成し、このレコードを含むアプリケーションを選択して、新しいロールの簡単な説明を入力します。フォーム上のその他のフィールドの詳細については、「ロールを作成する」を参照してください。
注: 新しいロールの名前を作成するときは、ロールリスト内で簡単に認識でき、ロールの機能を説明する名前を使用することをお勧めします。この例では、「コンプライアンス監査人 - GRC-VR」などの役職を名前にできます。
-
[Submit] をクリックします。
ロールリストが表示されます。
-
新しいロールを見つけてクリックし、レコードを開きます。
-
[編集] をクリックします。
[メンバーの編集] フォームが表示されます。
-
スラッシュバケットを使用して、新しいロールに詳細ロールを追加します。
この例では、この新しいロールに必要なロールが次の図の右側の列に表示されています。
脆弱性対応の詳細ロールのみを表示するには、 [コレクション] フィールドに「
*sn_vul」と入力します。
![新しいロールの詳細ロールを [コレクション] リストから [含まれるロール] リストに移動します。](https://www.servicenow.com/docs/api/khub/maps/Ix5sXR46~~6U8vBVCK0wKQ/resources/hGk_r4XDFM8y9rr1Wyh51A-Ix5sXR46~~6U8vBVCK0wKQ/content?v=b8bd7fdff1f7385d)
-
[保存] をクリックします。
新しいロールのレコードが表示されます。[含まれるロール] タブから始めて、必要に応じてロールの編集を続行します。
-
[更新] をクリックして変更を保存します。
新しいロールがロールリストに表示されます。