Explorar o controle de acesso do ServiceNow

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 5 min. de leitura

    • O plug-in de controle de acesso do SNC (com.snc.snc_access_control) permite que você controle quais funcionários de Suporte e atendimento ao cliente podem acessar sua instância e quando.

    Quando você ativa o plug-in pela primeira vez, os funcionários de Suporte e atendimento ao cliente não podem fazer login na instância. Todos os funcionários de Suporte e atendimento ao cliente conectados no momento permanecem conectados. Você cria registros na tabela do SNC Access Control que concede acesso a funcionários específicos do SNC ou a todos os funcionários.

    O plug-in evita que a equipe de Suporte e atendimento ao cliente acesse as instâncias sem sua permissão expressa. No entanto, outra equipe de operações autorizada ServiceNow, em sua capacidade de oferecer suporte e gerenciar o produto, e verificar o uso são necessários para executar ações administrativas na infraestrutura subjacente. Essa infraestrutura inclui servidores e bancos de dados, entre outros componentes de infraestrutura que compõem a solução SaaS. Este método de acesso é totalmente auditável e rastreado.

    Este plug-in permite que você restrinja o acesso à sua instância sem sua permissão expressa, portanto, isso pode afetar os níveis de serviço de suporte e o ANS de disponibilidade. O ANS de disponibilidade é medido a partir do momento em que a equipe de suporte recebe acesso à sua instância.

    Segurança de login

    A segurança para logins de funcionários de Suporte e atendimento ao cliente autorizados em instâncias emprega tokens criptografados gerados por um servidor seguro. Somente funcionários de Suporte e atendimento ao cliente autenticados corretamente têm acesso a uma instância. Sem o plug-in SNC Access Control, o servidor de segurança garante que os direitos de acesso sejam impostos em hi.service-now.com. Quando o plug-in está habilitado, os tokens de login criptografados devem corresponder aos nomes na lista de acesso fornecida pelo plug-in, usando os critérios definidos nesses registros. Este método de autenticação permite determinar com precisão quais funcionários de Suporte e atendimento ao cliente poderão acessar suas instâncias e quando esses funcionários poderão fazer isso.

    A arquitetura escolhida para este sistema tem vários recursos projetados para aprimorar a segurança de suas instâncias:
    Servidor de segurança
    O servidor de segurança é um host Linux bloqueado que somente a equipe de segurança da ServiceNow pode acessar. Este servidor é o único sistema que tem acesso à chave de criptografia privada crítica necessária para produzir os tokens de login. Ao usar essa compartimentalização (uma prática de segurança padrão), a chave privada é protegida, mesmo no caso improvável de um invasor comprometer a instância do HI.
    Usuário sintético
    O recurso em instâncias que permite aos funcionários de Suporte e atendimento ao cliente autorizados fazer login em sua instância não requer que uma conta seja provisionada nessa instância. Não há registro de usuário provisionado e credenciais permanentes ou persistentes. Em vez disso, um usuário sintético é criado para cada logon de funcionário de Suporte e atendimento ao cliente. Este usuário existe somente na memória e não fornece privilégios contínuos. Se o plug-in SNC Access Control estiver habilitado, você poderá desautorizar qualquer funcionário de Suporte e atendimento ao cliente a qualquer momento.
    Tokens
    Os tokens de segurança são específicos para uma instância e um funcionário de Suporte e atendimento ao cliente específico. Além disso, o mecanismo que gera os tokens funciona somente com logins de funcionários de Suporte e atendimento ao cliente reais no HI, e não com usuários representados. Depois que um token de segurança é gerado, somente um funcionário de Suporte e atendimento ao cliente específico pode usá-lo para fazer login em uma instância.
    Limite de tempo
    Os tokens de segurança expiram quatro horas depois de serem gerados. Esta validade limita a utilidade de tokens sequestrados, que só podem ser usados durante esta janela curta.
    Registro em Log
    Os logins de funcionários de Suporte e atendimento ao cliente em instâncias são registrados como um evento de login.
    • Cada ação realizada pelo funcionário de Suporte e atendimento ao cliente conectado é adicionada ao log de transações no banco de dados.
    • Ela também é adicionado ao log da instância no sistema de arquivos, que está inacessível para a maioria dos funcionários de ServiceNow.
    • Logins e ações de funcionários de Suporte e atendimento ao cliente são prontamente identificáveis, já que os nomes de usuário terminam em @snc (como frodo.baggins@snc).

    Essas ações fornecem registro em log de segurança fácil de usar, robusto e confiável para acesso de não funcionários.

    Fluxo de processamento de segurança

    Quando um funcionário Suporte e atendimento ao cliente deseja fazer login em uma instância, o fluxo de processamento de segurança é o seguinte:

    1. Um técnico de Suporte e atendimento ao cliente solicita um login para a instância por meio de hi.service-now.com.
    2. O HI verifica se o técnico tem a função apropriada para autorizar o acesso às instâncias.
    3. Se o usuário tiver a função apropriada, o HI enviará a solicitação de acesso ao Servidor de segurança.
    4. O Servidor de segurança verifica se a solicitação veio do endereço IP HI e avalia a solicitação (usuário, função e endereço IP do solicitante). Se a solicitação for válida, o servidor de segurança a aprovará e criará um token. Este token contém o nome do usuário, as funções, o ID da instância e a hora (o início da vida útil do token de 4 horas). Por fim, o Servidor de segurança criptografa o token com a chave de criptografia privada.
    5. O Servidor de segurança envia o token criptografado para o HI.
    6. O HI envia o token para o navegador do técnico de suporte.
    7. O navegador do técnico de suporte inicia um login na instância, usando o nome de usuário especial terminado em @snc.
    8. A instância usa a chave pública para descriptografar o token. Para verificar o token, a instância a corresponde ao nome de usuário fornecido na etapa anterior, ao ID da instância e à janela de tempo autorizada. Se o plug-in SNC Access Control estiver habilitado, a instância verificará se o usuário está:
      • Listado
      • Ativo
      • Configurado para acessar a instância na janela de tempo atual
    9. Se o usuário for autenticado, a instância criará um usuário sintético na memória com as funções fornecidas. Este usuário não persiste depois que o limite de tempo expira, o usuário faz logoff ou a instância é reiniciada.
    Figura 1. Fluxo do processo de acesso à segurança da ServiceNow
    Fluxo do processo de acesso à segurança da ServiceNow

    Registro em log de Auditoria

    O registro em log a seguir rastreia logins e atividades por funcionários de Suporte e atendimento ao cliente:
    • Logs de eventos: os logs de eventos mostram todos os logins de Suporte e atendimento ao cliente de uma instância.
    • Logs de transações: os logs de transações mostram todas as atividades na instância, incluindo todos os esforços para excluir logs.
    Nota:
    Para saber mais sobre este plug-in, consulte Plug-in SNC Access Control nas Configurações de proteção do Instance Security.