Domain Separation in GRC

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Dies ist ein Überblick über die Domänentrennung und die Anwendungen Governance, Risk und Compliance. Mit der Domain Separation können Sie Daten, Prozesse und Verwaltungsaufgaben in logische Gruppierungen, sogenannte Domänen, aufteilen. Sie können verschiedene Aspekte dieser Trennung steuern, einschließlich der Benutzer, die Daten sehen und darauf zugreifen können.

    Support-Stufe: Basis

    • Geschäftslogik: Stellen Sie sicher, dass Daten in die richtige Domäne für die Anwendungsfälle des Application Service Providers übertragen werden.
    • Die Anwendung unterstützt die Domänentrennung zur Laufzeit. Zur Domänentrennung gehören die Trennung von der Benutzeroberfläche, Cache-Schlüssel, Berichterstellung, Rollups und Zusammenfassungen.
    • Der Besitzer der Instanz muss die Anwendung einrichten, damit sie über mehrere Mandanten hinweg funktioniert.

    Beispiel-Anwendungsfall: Wenn ein Service Provider (SP) den Chat verwendet, um auf die Nachricht eines Mandanten (Kunden) zu antworten, muss der Kunde die Antwort des Service Providers sehen können.

    Weitere Informationen zu den Supportstufen finden Sie unter Anwendungssupport für die Domänentrennung.

    Übersicht

    Die Domänentrennung ist am besten geeignet für Kunden, die:
    • absolute Datentrennung zwischen Business-Entitäten (Datentrennung) benötigen.
    • Geschäftsprozessdefinitionen und Benutzerschnittstellen für jede Domäne anpassen möchten (delegierte Verwaltung).
    • einige globale Prozesse und globale Berichte in einer einzigen Instanz verwalten.
    Diese Benutzer können den Domänenumfang erweitern oder reduzieren, um Daten aus anderen Domänen anzuzeigen oder auszublenden.
    Hinweis:
    Benutzer haben immer Zugriff auf Daten aus Domänen, die ihnen durch die Domänensichtbarkeit explizit gewährt wurden.

    Funktionsweise der Domänentrennung in GRC

    • Während GRC die Trennung von Daten unterstützt, wird die Trennung von Logik und Prozess nicht vollständig unterstützt.

    • Viele Arten von Datensätzen in GRC werden automatisch durch Benutzerprozesse generiert. Entitäten, Steuerungen, Risiken, Indikatoren und Kontrolltests sind Felder, die automatisch generiert werden können. Für Datensätze, die automatisch generiert werden (und für jeden GRC-Datensatz, der manuell generiert wird) ist die Domäne des Datensatzes mit der Domäne des Benutzers identisch, der für das Erstellen oder Generieren der Datensätze verantwortlich ist.

      Wenn Sie in einer domänengetrennten GRC-Implementierung arbeiten, sollten Sie die automatische Generierung berücksichtigen. Benutzer sollten sicherstellen, dass sie Datensätze auf der richtigen Domänenebene erstellen/generieren, damit sie für die richtige Benutzergruppe sichtbar sind.

      Angenommen, Sie haben Domänen, die wie folgt aussehen:
      • Global
      • TOP
        • Domäne A
        • Domäne B
    • Wenn Sie ein Risiko oder eine Kontrolle haben, die von Benutzern in den Domänen A und B bewertet werden sollen, muss das Risiko oder die Kontrolle auf globaler Ebene generiert oder manuell erstellt werden. Wenn das Risiko oder die Kontrolle in Domäne B erstellt wird, können Sie das Risiko oder die Kontrolle in Domäne A aufgrund der Indizierung nicht erneut erstellen.
    • Wenn Sie ein Risiko oder eine Kontrolle haben, die von Benutzern in TOP und Domäne A bewertet werden sollen, können Sie das Risiko oder die Kontrolle in Domäne A erstellen.

    Sofern sich die Risiken und Kontrollen nicht in der globalen Domäne befinden, sollten Benutzer keine Risiken oder Kontrollen in einer höheren Domäne Benutzern in einer niedrigeren Domäne zuweisen. Wenn Sie im obigen Beispiel ein Steuerelement in der TOP-Domäne haben, sollten Sie es nicht zur Bestätigung Benutzern in den Domänen A oder B zuweisen, da diese Benutzer keinen Zugriff auf das Steuerelement haben. Daher wird der Nachweis- oder Bewertungsfragebogen nicht generiert.

    Ebenso sollten Benutzer keine Kontrollziele und Risikobeschreibungen in einer höheren Domäne zu Nachweisen und Bewertungen in einer niedrigeren Domäne zuweisen. Andernfalls würde der Nachweis- oder Bewertungsfragebogen nicht generiert.

    Anwendungsfall

    GRC-Daten für die IT können von den GRC-Daten anderer Abteilungen getrennt werden. Jeder Geschäftsbereich, der die GRC-Anwendung verwendet, kann separate Daten haben, die nicht mit anderen Abteilungen geteilt werden können. Daher kann jede Abteilung eigene Entitäten, Richtlinien, Kontrollen, Risiken usw. haben.

    Wenn ein Steuerelement aus der IT-Domäne angezeigt wird, kann der Benutzer den Domänenbereich erweitern, um Werte aus der Finanzdomäne anzuzeigen, oder den Domänenbereich reduzieren, um nur Steuerungen anzuzeigen, die der IT-Domäne entsprechen.

    Standardmäßig wird durch die Domänentrennung den Tabellen „Aufgabe“ [task]und „Configuration Items “ [cmdb_ci] und ihren Erweiterungen ein Domänenfeld hinzugefügt.

    Sie können die Domänentrennung auf neu erstellte Tabellen erweitern, indem Sie der Wörterbuchdefinition der Tabelle ein Feld sys_domain hinzufügen. Standardmäßig trennt das System nur Plattform- und Baselineanwendungstabellen nach Domäne, sofern angemessen.

    Warnung:
    ServiceNow empfiehlt keine Domänentrennung von Plattformtabellen (alle Tabellen mit dem Präfix sys_, z. B. die Tabellen Dictionary-Eintrag [sys_dictionary]und Dictionary-Eintrag -Überschreibung [sys_dictionary_override] ), da dies zu unerwarteten Ergebnissen führen kann.

    In diesem Anwendungsfall ist es möglich, Domänentrennung auf Clientskripts, Geschäftsregeln, Workflows, Prozesse usw. anzuwenden.

    Während Domain Separation Verhalten bietet, das Multi-Tenancy unterstützt, bleibt auch Multi-Tenancy innerhalb einer einzigen Instanz. Das bedeutet, dass einige globale Eigenschaften, einige globale Daten und einige globale Prozesse in allen Domänen freigegeben werden. Die Systemoption "Benutzernamen speichern" auf der Anmeldeseite ist beispielsweise global und kann nicht pro Domäne angegeben werden.

    Wenn Sie eine vollständige und absolute Trennung aller Systemeigenschaften benötigen und keine globale Berichterstellung oder globalen Prozesse benötigen, sind separate Instanzen die beste Wahl.