Eingeschränkter Aufruferzugriff auf Flow Designer

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Verfolgen Sie Flows und Aktionen nach, die Zugriff auf bereichsübergreifende Ressourcen erfordern. Gewähren oder verweigern Sie Flows und Aktionen den Zugriff auf bereichsübergreifende Ressourcen.

    Die Tabelle „Eingeschränkter Aufruferzugriff“ verfügt über dedizierte Quelltypen zum Identifizieren von Flow Designer Anrufquellen.

    Flow

    Das System verwendet den Flow-Quelltyp, um Vorgänge nachzuverfolgen, die von ServiceNow Core Actions ausgeführt werden. Datensätze mit eingeschränkten Aufruferzugriffsberechtigungen ermöglichen es einem Flow, einen bestimmten Vorgang für eine bestimmte bereichsübergreifende Ressource auszuführen. Durch die Genehmigung eines Flows zum Ausführen eines Vorgangs kann jede andere Kernaktion innerhalb desselben Flows denselben Vorgang für dieselbe bereichsübergreifende Ressource ausführen.

    Angenommen, Sie haben einen Flow, der die Aktion Datensätze nachschlagen für eine bereichsübergreifende Tabelle ausführt. Wenn die Aufruferbeschränkung für die bereichsübergreifende Tabelle aktiviert ist, generiert die Aktion Datensätze nachschlagen eine Anforderung zum Ausführen eines Lesevorgangs. Wenn Sie zulassen, dass der Flow Lesevorgänge für die bereichsübergreifende Tabelle ausführt, können auch alle anderen von Kernaktionen ausgeführten Lesevorgänge ausgeführt werden. Beispielsweise könnte Ihr Flow die Aktionen Datensatz suchen und Anhänge suchen in derselben bereichsübergreifenden Tabelle ausführen. Angenommen, Sie fügen die Aktion Datensätze suchen für dieselbe bereichsübergreifende Tabelle einem anderen Flow oder Subflow hinzu. Da dieser Lesevorgang aus einem anderen Flow stammt, generiert die Kernaktion eine separate Anforderung für Zugriffsberechtigungen zur Genehmigung. Wenn Sie die Aktion „Datensätze nachschlagen“ für den Zugriff auf eine andere bereichsübergreifende Tabelle konfigurieren, generiert dies ebenfalls eine separate Anforderung für Zugriffsberechtigungen zur Genehmigung.

    Flow-Aktion

    Das System verwendet den Quelltyp der Flow-Aktion, um Vorgänge nachzuverfolgen, die von benutzerdefinierten Aktionen für eine bestimmte bereichsübergreifende Ressource ausgeführt werden. Datensätze mit eingeschränkten Aufruferzugriffsberechtigungen ermöglichen es einer benutzerdefinierten Aktion, einen bestimmten Vorgang für eine bestimmte bereichsübergreifende Ressource auszuführen. Durch die Genehmigung einer Aktion zum Ausführen eines Vorgangs kann die benutzerdefinierte Aktion den Vorgang für die bereichsübergreifende Ressource in jedem Kontext ausführen.

    Angenommen, Sie erstellen eine benutzerdefinierte Aktion, die den Schritt „Datensätze nachschlagen“ für eine bereichsübergreifende Tabelle ausführt. Wenn die Aufruferbeschränkung für die bereichsübergreifende Tabelle aktiviert ist, generiert der Schritt „Datensätze nachschlagen“ eine Anforderung zum Ausführen eines Lesevorgangs. Wenn Sie zulassen, dass die benutzerdefinierte Aktion Lesevorgänge für die bereichsübergreifende Tabelle ausführt, können Sie die benutzerdefinierte Aktion aus jedem Kontext ausführen. Beispielsweise können Sie die benutzerdefinierte Aktion mehreren Flows hinzufügen oder die benutzerdefinierte Aktion aus einem Skript aufrufen. Solange die benutzerdefinierte Aktion den Vorgang für die zulässige bereichsübergreifende Zielressource ausführt, lässt das System die Ausführung der benutzerdefinierten Aktion zu. Wenn Sie die benutzerdefinierte Aktion für den Zugriff auf eine andere bereichsübergreifende Tabelle konfigurieren, generiert die benutzerdefinierte Aktion eine separate Anforderung für Zugriffsberechtigungen zur Genehmigung.

    Aktualisieren Sie eingeschränkte Aufruferzugriffsberechtigungen für Flows und Aktionen

    Lassen Sie Instanzen zu, die von San Diego und früheren Releases aktualisiert wurden, um Anforderungen für eingeschränkte Aufruferzugriffsberechtigungen für Flows und Aktionen zu generieren.

    Vorbereitungen

    Wenn Sie die Anwendungsverwaltung für die Zielanwendung aktivieren, können nur Anwendungsadministratoren der Zielanwendung den Zugriff auf eine Anwendung festlegen. Wenn die Anwendungsverwaltung nicht aktiviert ist, kann ein Administratorbenutzer den Zugriff auf eine Anwendung festlegen.

    Erforderliche Rolle: application admin oder admin
    Hinweis:
    Weitere Informationen zu anwendungsspezifischen Administratorrollen und delegierter Entwicklung finden Sie unter Zugriffskontrollregeln in Anwendungsverwaltungs-Apps und Delegierte Entwicklung und Bereitstellung.

    Warum und wann dieser Vorgang ausgeführt wird

    In San Diego und früheren Releases wurden in der Tabelle „Eingeschränkte Aufruferzugriffsberechtigungen“ keine Flows und Aktionen als Quelltypen erkannt. Kunden, die Datensätze mit eingeschränkten Aufruferzugriffsberechtigungen für Flows und Aktionen generieren wollten, konnten dies nur indirekt tun. Sie können eine Skripteinbindung oder eine Geschäftsregel verwenden, um einen Flow oder eine Aktion aufzurufen. Wenn die Skripteinbindung oder Geschäftsregel ausgeführt wird, wird eine Anforderung für Zugriffsberechtigungen für die bereichsübergreifende Ressource zur Genehmigung generiert.
    Warnung:
    Das Upgrade eingeschränkter Aufruferzugriffsberechtigungen zum Nachverfolgen von Flows und Aktionen kann zu Serviceunterbrechungen in Instanzen führen, die zuvor den bereichsübergreifenden Zugriff über Skripteinbindungen oder Business Rules nachverfolgt haben. Nach dem Upgrade werden alle Flows und Aktionen, die versuchen, auf eingeschränkte Ressourcen zuzugreifen, für die Ausführung blockiert. Stattdessen werden eigene Anforderungen für eingeschränkten Aufruferzugriff zur Genehmigung generiert. Jemand muss die Zugriffsberechtigungsanforderungen genehmigen, bevor bereichsübergreifende Flows und Aktionen ausgeführt werden können. Kunden, die bereits die indirekte Nachverfolgung von Flows und Aktionen mithilfe von Skriptaufrufen zugelassen haben, möchten diese Aufgabe möglicherweise überspringen und weiterhin Flows und Aktionen aus Skripts aufrufen. Kunden, die ihre vorhandenen Zugriffsberechtigungen durch die neuen Quelltypen Flow und Flow-Aktion ersetzen möchten, möchten möglicherweise einen Ausfall planen, um die neuen Anforderungen für Zugriffsberechtigungen zu generieren und zu genehmigen.

    Prozedur

    1. Fügen Sie eine Systemeigenschaft hinzu.
      Erstellen Sie diese Eigenschaft.
      Feld Wert
      Name com.glide.hub.flow.restricted_caller_access.track_flows_as_source
      Typ Wahr|Falsch
      Wert Wahr
    2. Definieren Sie den bereichsübergreifenden Zugriff auf eine Anwendungsressource.
      Aktivieren Sie die Aufruferbeschränkung für die Tabellen, für die Flows und Aktionen Zugriff anfordern sollen.
    3. Wenn Sie vorhandene skriptbasierte Zugriffsberechtigungen ersetzen, identifizieren Sie die vorhandenen bereichsübergreifenden Flows und Aktionen, für die Zugriffsberechtigungen erforderlich sind.
      Sie müssen alle vorhandenen Zugriffsberechtigungen für bereichsübergreifende Flows und Aktionen neu generieren. Die Zugriffsberechtigungen für Flow und Aktion ersetzen die vorhandenen Zugriffsberechtigungen für Skripteinbindungen und Geschäftsregeln.
    4. Generieren von Anforderungen für Zugriffsberechtigungen für alle vorhandenen bereichsübergreifenden Flows und Aktionen.
      Sie können bereichsübergreifende Flows und Aktionen ausführen, indem Sie die bereichsübergreifende Anwendung verwenden oder testen.
      Bereichsübergreifende Flows und Aktionen generieren Zugriffsberechtigungsanforderungen für die Tabellen, die auf Aufrufereinschränkung festgelegt sind.
    5. Lassen Sie Flows und Aktionen den Zugriff auf Ihre Anwendungsressourcen zu.
      Identifizieren Sie Anforderungen für Zugriffsberechtigungen mit diesen Quelltypen.
      • Flow
      • Flow-Aktion

      Legen Sie den Status für jeden Vorgang, den ein Flow oder eine Aktion für Ihre eingeschränkte Anwendungsressource ausführen soll, auf Zulässig fest.

    Ergebnisse

    Flows und Aktionen, die versuchen, auf Ihre eingeschränkten Anwendungsressourcen zuzugreifen, generieren eine Anforderung für Zugriffsberechtigungen.

    Nächste Maßnahme

    Überprüfen und genehmigen Sie Anforderungen für Zugriffsberechtigungen aus Ihrem Anwendungsdatensatz.