ACL ルールの構成

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:6分

    • カスタムアクセス制御リスト (ACL) ルールを設定して、新しいオブジェクトへのアクセスを保護したり、デフォルトのセキュリティ動作を変更したりします。

    始める前に

    必要なロール:security_admin

    このタスクについて

    ACL ルールを作成するには、特権を security_admin ロールに昇格させる必要があります。

    ACL ルールレコードとは異なるスコープ内のテーブルの場合は、ルールのタイプが制限されます。スコープマスターテーブルでスコープを派生させてスコープ付き ACL を実行するには、glide.enforce_security_scope.<scope_name> プロパティを true に設定します。これにより、関連するテーブルで作成されたスコープ固有の ACL がある場合に、グローバルスコープ内の ACL が一致しなくなります。たとえば、sys_attachment テーブルや sys_question_answer テーブルといったグローバルスコープ内の共有アプリケーションテーブル内のデータを保護する場合などです。

    手順

    1. security_admin ロールに昇格された特権ロール
    2. 移動先 システムセキュリティ > アクセス制御 (ACL).
    3. [新規] を選択します。
      ヒント:
      ACL を作成するときは、 「次の場合を除き却下 (Deny-Unless)」ACLを確認すると役に立ちます。
    4. フォームを完了します。
      表 : 1. アクセス制御フィールド
      フィールド 説明
      タイプ この ACL ルールが保護するオブジェクトの種類を選択します。オブジェクトのタイプによって、オブジェクトの命名方法と使用可能な操作が決まります。このフィールドは、ACL ルールが作成された後に読み取り専用になります。タイプを変更する場合は、ACL を削除し、正しいタイプで作成する必要があります。
      運用 この ACL ルールが保護する操作を選択します。各オブジェクトタイプには、独自の操作リストがあります。ACL ルールは 1 つの操作のみを保護できます。複数の操作を保護するには、それぞれに個別の ACL ルールを作成します。

      report_view操作のルールを作成する場合は、「 Report_view access control」も参照してください。
      意思決定タイプ ACL の意思決定タイプを選択します。[次の場合に許可] を選択すると、評価が成功した場合にアクセスが許可されます。[次の場合を除き却下 (Deny Unless)] は、評価が成功しない限りアクセスを拒否します。詳細については、「「次の場合を除き却下 (Deny-Unless)」ACL」を参照してください。
      アドミン優先

      admin ロールを持つユーザーがこの ACL ルールの権限チェックに自動的に合格するようにするには、このチェックボックスをオンにします。admin ユーザーは、適用されるスクリプトまたはロールに関係なく合格します。ただし、ServiceNow の担当者のみが割り当てることができる nobody ロールは、admin 上書きオプションよりも優先されます。ACL に nobody ロールが割り当てられている場合、[ 管理者優先 ] が選択されていても、admin ユーザーはリソースにアクセスできません。「ベースシステムロール」を参照してください。

      アドミニストレーターがこの ACL ルールで定義された権限を満たして、保護されたオブジェクトにアクセスする必要がある場合は、このチェックボックスをオフにします。アドミニストレーターは常にロールチェックに合格するため ([必要なロール] フィールドの説明を参照)、条件ビルダーまたは [スクリプト] フィールドを使用して、アドミニストレーターが合格する必要がある権限チェックを作成します。
      保護ポリシー ACL の保護ポリシーを設定するには、これを選択します。
      名前 保護されるオブジェクトの名前 (レコード名またはテーブル名とフィールド名) を入力します。名前が具体的であるほど、ACL ルールも具体的になります。レコード、テーブル、またはフィールド名の代わりにワイルドカード文字のアスタリスク (*) を使用して、レコードタイプ、すべてのテーブル、またはすべてのフィールドに一致するすべてのオブジェクトを選択できます。ワイルドカード文字とテキスト検索を組み合わせることはできません。たとえば、inc* は有効な ACL ルール名ではありませんが、incident.* と *.number は有効な ACL ルール名です。
      注:
      青い三角形を選択して、レコード名または保護されるオブジェクトのテーブル名とフィールド名を手動で入力します。ドロップダウンに表示されないオブジェクトを保護するには、このオプションを使用します。
      説明 この ACL ルールによって保護されるオブジェクトまたは権限の説明を入力します。
      適用先 [ フィルター条件の追加 ] を選択して、[ 名前 ] フィールドで選択したテーブルのフィルターを作成します。ACL は、このフィルター条件に一致するレコードにのみ適用されます。たとえば、優先度が「最重要」のインシデントのみに適用されるインシデントテーブルの ACL を作成できます。
      注:
      このオプションを使用するには、[ 名前] フィールドでテーブルを選択する必要があります。* で始まる ACL は、[ 適用先 ] フィルターを使用できません。
      アクティブ この ACL ルールを適用するには、このチェック ボックスをオンにします。
      詳細 [詳細条件] フィールドを表示するには、このチェックボックスをオンにします。ステップ 6 を参照してください。
    5. オプション: ACL のスコープを絞り込むには、必要に応じて [条件] フィールドに入力します。
      ロールが必要 このリストを使用して、ユーザーがオブジェクトにアクセスするために必要なロールを指定します。複数のロールをリストする場合、リストされているロールのいずれかを持つユーザーがオブジェクトにアクセスできます。必要なロールリストが関連リストとして表示されます。
      注:
      admin ロールを持つユーザーは、他のすべてのロールが自動的に付与されるため、常にこの権限チェックに合格します。
      セキュリティ属性条件 このセクションを使用して、ユーザーと環境の基準に基づいてユーザーがアクセスできるものを定義します。詳細については、「セキュリティ属性の基礎」を参照してください。
      注:
      [条件] フィールドでは大文字と小文字が区別されます。
      データ条件 この条件ビルダーを使用して、ユーザーがこのオブジェクトにアクセスするために true でなければならないフィールドと値を選択します。
      注:
      [条件] フィールドでは大文字と小文字が区別されます。
    6. オプション: [詳細] ボックスがオンになっている場合は、必要に応じて [詳細条件] フィールドに入力します。
      参照による制御 関連レコードに ACL を適用します。詳細については、「関連レコードアクセス」を参照してください。
      スクリプト オブジェクトにアクセスするために必要な権限を記述するカスタムスクリプトを入力します。スクリプトでは、現在および ビジネスルールのグローバル変数およびシステムプロパティの値を使用できます。スクリプトは、次の 2 つの方法のいずれかで true または false の応答を生成する必要があります。
      • true または false の値に設定された回答変数を返します。
      • true または false に評価します。

      いずれの場合も、スクリプトが true と評価され、ユーザーが ACL ルールの条件を満たしている場合にのみ、ユーザーはオブジェクトにアクセスできます。ユーザーがオブジェクトにアクセスするには、条件とスクリプトの両方が true と評価される必要があります。

      [ スクリプト] フィールドにスクリプトがある場合。このスクリプトは、フィールドがフォームに表示されていない場合でも実行されます。

      注:
      評価されたアイテムが関連リストにある場合、現在のポイントは、ACL の現在のアイテムではなく、関連リストがあるアイテムを指します。ただし、ACL を評価しているアイテムが関連リストにない場合、 現在の アイテムは実際のアイテムを指します。
    7. フォームヘッダーを選択して長押し (または右クリック) し、[保存] を選択します。