Explore a ferramenta de governança de script
A Ferramenta de governança de script (SGT) fornece um controle único e centralizado para gerenciar o acesso de script em todo o. ServiceNow AI Platform.
A versão Zurich introduz um recurso que oferece aos administradores controle centralizado sobre quem pode editar campos de script no ServiceNow AI Platform. O recurso adiciona uma nova camada de permissão criada no Gravador de script condicional grupo e sua função secundária, snc_required_script_writer_permission . Os usuários devem ser membros deste grupo para editar qualquer campo de script, independentemente do acesso baseado em ACL existente. Esta camada de permissão é imposta por meio de ACLs de tipo de dados e mantida por trabalhos agendados e propriedades do sistema.
Para gerenciar este recurso, ServiceNow AI Platform fornece o. Ferramenta de governança de script (SGT) - um painel em que os administradores podem ver quais usuários têm acesso a script, verificar a instância para usuários que editaram campos de script e adicionar ou revogar diretamente o acesso de script dos usuários.
Por que isso é importante
O script pode ler e gravar dados em tabelas, ignorar a lógica de negócios e alterar o comportamento da plataforma em um nível fundamental, tornando o acesso de script uma das permissões mais importantes para governar em qualquer instância.
Antes da Zurich, o acesso de script era controlado exclusivamente por ACLs em campos de script individuais. Para determinar quais usuários poderiam editar scripts, os administradores tinham que verificar cada ACL individualmente. Não havia um único local para exibir ou gerenciar o acesso de script em toda a instância.
O recurso de governança de script resolve isso adicionando uma segunda camada obrigatória de controle de acesso sobre as permissões baseadas em ACL existentes. Apenas satisfazer uma ACL de nível de campo não é mais suficiente para editar um campo de script. Agora, os administradores de segurança podem gerenciar o acesso de script centralmente adicionando ou removendo usuários do Gravador de script condicional grupo.
O modelo de acesso de duas camadas
O recurso de governança de script impõe um modelo de acesso de duas camadas. As duas camadas devem passar independentemente antes que um usuário possa editar qualquer campo de script. Passar uma camada sozinha não é suficiente.
- Camada 1: ACL existente no nível de campo
- O usuário deve passar a ACL existente no campo de script (pronto para uso ou personalizado). Esta verificação não foi alterada em relação ao comportamento anterior à Zurich.
- Camada 2 - Verificação de função de SGT
-
O usuário também deve manter o. snc_required_script_writer_permission função, que é concedida por meio da associação no Gravador de script condicional grupo.
Um usuário que possa editar campos de script antes do upgrade do Zurich, porque suas funções atenderam à ACL de nível de campo, será bloqueado após o upgrade, a menos que também atenda à camada 2. . snc_required_script_writer_permission a função não concede novo acesso de script por conta própria. Só desbloqueia o acesso para usuários que já passam pela camada 1.
A tabela a seguir resume os resultados de acesso no modelo de duas camadas:
| Passa ACL de nível de campo (camada 1)? | Em espera snc_required_script_writer_permission (Camada 2)? |
Pode editar o campo de script? |
|---|---|---|
| Sim | Sim | ✅ Sim |
| Sim | Não | ❌ Não |
| Não | Sim | ❌ Não |
| Não | Não | ❌ Não |
ACLs de tipo de dados
O recurso de governança de script introduz ACLs de tipo de dados 9 para impor a camada 2. Estes são a menos que ACLs que exigem snc_required_script_writer_permission função para os seguintes tipos de dados:
- Tipo de dados
-
- script
- script_client
- script_plain
- script_server
- e-mail_script
- html_script
- html_template
- xml
- condition_string
Nota:A função de administrador não tem acesso de script por padrão. Os usuários administradores estão sujeitos à mesma verificação de duas camadas e não podem editar campos de script, a menos que sejam membros do Gravador de script condicional segure explicitamente snc_required_script_writer_permission Função.Para saber mais, consulte ACL de tipo de dados.
Trabalhos agendados e propriedades
Como parte do recurso de governança de script, o. Gravador de script condicional o grupo é introduzido, que tem snc_required_script_writer_permission função como função secundária. Quando o upgrade da Zurich é concluído, um trabalho agendado único é executado para preencher automaticamente todos os usuários qualificados para este grupo, garantindo que ninguém perca o acesso de script após o upgrade. Quando esse trabalho for concluído, um trabalho semanal recorrente será criado para manter a associação do grupo atualizada. Os trabalhos e seus critérios de qualificação são descritos da seguinte forma:
- Adicione usuários ao grupo Gravador de script condicional
- Um trabalho que é executado uma vez imediatamente após a conclusão do upgrade do Zurich. Ele adiciona todos os usuários que atendem aos critérios de qualificação ao Gravador de script condicional grupo, garantindo que nenhum usuário perca o acesso de script após o upgrade. Após a conclusão do trabalho, a plataforma o desabilita.
- Atualize usuários no grupo Gravador de script condicional
- Um trabalho semanal que adiciona novos usuários que atendem aos critérios de qualificação ao grupo e remove usuários que não atendem mais aos critérios de qualificação. Ele é controlado pelo glide.security.scripting_role.auto_provisioning propriedade:
Tabela 1. Atualize o comportamento com base na propriedade Valor Comportamento verdadeiro (padrão) O trabalho semanal é executado na programação e adiciona usuários qualificados ao grupo automaticamente. falso O trabalho não é executado. Os usuários só são adicionados ao grupo manualmente por um administrador.
Critérios de qualificação
Ambos os trabalhos agendados usam os mesmos critérios para determinar quais usuários serão adicionados ao Gravador de script condicional grupo:
| Plug-in de função explícita | Tipo de usuário | Requisito | Adicionado ao grupo? |
|---|---|---|---|
| Ativado | Externo | — | Não |
| Ativado | Interno | Deve ter snc_internal e pelo menos uma função adicional | Sim |
| Desativado | Qualquer usuário | Deve ter pelo menos uma função | Sim |
Ferramenta de governança de script
. Ferramenta de governança de script É um painel que ajuda os administradores a gerenciar o acesso de script na plataforma ServiceNow. Ele fornece visibilidade dos usuários que são membros do Gravador de script condicional grupo: fornece uma imagem clara de quantos usuários podem criar script em sua instância.
Você também pode exibir quais grupos contêm a função de script e quais funções a contêm como função secundária. Há duas maneiras de gerenciar o acesso de script por meio da ferramenta:
- Configuração manual : Adicionar ou remover manualmente usuários do Gravador de script condicional grupo para controlar quem tem acesso de script.
- Procurar usuários que tenham script : Verifique sua instância para encontrar usuários que fizeram script em um intervalo de tempo específico. A verificação consulta os logs de auditoria e identifica qualquer usuário que tenha executado gravação ou atualização em uma tabela com campo de script.