Konfigurieren einer ACL-Regel

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Konfigurieren Sie eine benutzerdefinierte ACL-Regel, um den Zugriff auf neue Objekte zu sichern oder das Standardsicherheitsverhalten zu ändern.

    Vorbereitungen

    Erforderliche Rolle: security_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Um ACL-Regeln zu erstellen, müssen Sie die Berechtigungen für die Rolle „security_admin“ erhöhen.

    Für Tabellen, die sich in einem anderen Bereich als der ACL-Regeldatensatz befinden, sind die Regeltypen beschränkt. Damit Scope Master-Tabellen den Bereich ableiten und bereichsbezogene ACLS ausführen, legen Sie die Eigenschaft glide.enforce_security_scope.<scope_name> auf truefest. Dadurch wird sichergestellt, dass ACLs im globalen Bereich nicht übereinstimmen, wenn bereichsspezifische ACLs in der entsprechenden Tabelle erstellt werden. Beispiele hierfür sind die Sicherung von Daten in gemeinsam genutzten Anwendungstabellen im globalen Bereich, z. B. sys_attachment- oder sys_question_answer-Tabellen.

    Prozedur

    1. Rollen mit erhöhten Berechtigungen auf die Rolle „security_admin“.
    2. Navigieren zu Systemsicherheit > Zugriffssteuerung (ACL).
    3. Klicken Sie auf Neu.
    4. Füllen Sie das Formular aus.
      Tabelle : 1. Zugriffssteuerungsfelder
      Feld Beschreibung
      Typ Wählen Sie aus, welche Art von Objekt diese ACL-Regel sichert. Der Typ des Objekts bestimmt, wie das Objekt benannt wird und welche Vorgänge verfügbar sind. Dieses Feld wird schreibgeschützt, nachdem die ACL-Regel erstellt wurde. Wenn Sie den Typ ändern möchten, müssen Sie die ACL löschen und eine neue mit dem richtigen Typ erstellen.
      Vorgang Wählen Sie den Vorgang aus, den diese ACL-Regel sichert. Jeder Objekttyp verfügt über eine eigene Liste von Vorgängen. Eine ACL-Regel kann nur einen Vorgang sichern. Um mehrere Vorgänge abzusichern, erstellen Sie für jeden eine separate ACL-Regel.
      Admin-Aufhebungen

      Aktivieren Sie diese Checkbox, damit Benutzer mit der Administratorrolle automatisch die Berechtigungsprüfung für diese ACL-Regel durchlaufen. Admin-Benutzer übergeben unabhängig von den geltenden Skript- oder Rollenbeschränkungen. Die Rolle „ Niemand “, die nur von Mitarbeitern von ServiceNow zugewiesen werden kann, hat jedoch Vorrang vor der Überschreibungsoption des Administrators. Wenn einer ACL die Rolle niemand zugewiesen ist, können Administratoren nicht auf die Ressource zugreifen, auch wenn Administratorüberschreibungen ausgewählt sind. Weitere Informationen finden Sie unter Basissystemrollen.

      Deaktivieren Sie diese Checkbox, wenn Administratoren die in dieser ACL-Regel definierten Berechtigungen erfüllen müssen, um Zugriff auf das gesicherte Objekt zu erhalten. Da Administratoren Rollenprüfungen immer bestehen (siehe Beschreibung des Felds „ Erfordert Rolle “), verwenden Sie den Bedingungsgenerator oder das Skriptfeld, um eine Berechtigungsprüfung zu erstellen, die Administratoren bestehen müssen.
      Aktiv Aktivieren Sie diese Checkbox, um diese ACL-Regel durchzusetzen.
      Erweitert Aktivieren Sie diese Checkbox, um das Feld Skript anzuzeigen.
      Wichtig:
      Wenn sich im Feld Skript ein Skript befindet. Dieses Skript wird auch dann ausgeführt, wenn das Feld nicht im Formular angezeigt wird.
      Name Geben Sie den Namen des zu sichernden Objekts ein, entweder den Datensatznamen oder die Tabellen- und Feldnamen. Je spezifischer der Name, desto spezifischer die ACL-Regel. Sie können das Platzhalterzeichen Sternchen (*) anstelle eines Datensatz-, Tabellen- oder Feldnamens verwenden, um alle Objekte auszuwählen, die einem Datensatztyp, allen Tabellen oder allen Feldern entsprechen. Sie können ein Platzhalterzeichen und eine Textsuche nicht kombinieren. Beispiel: inc* ist kein gültiger ACL-Regelname, aber incident.* und *.number sind gültige ACL-Regelnamen.
      Hinweis:
      Klicken Sie auf das blaue Dreieck, um den Datensatznamen oder die Tabellen- und Feldnamen des zu sichernden Objekts manuell einzugeben. Verwenden Sie diese Option, um ein Objekt zu sichern, das nicht in der Dropdown-Liste angezeigt wird.
      Beschreibung Geben Sie eine Beschreibung des Objekts oder der Berechtigungen ein, die diese ACL-Regel sichert.
      Erfordert Rolle Verwenden Sie diese Liste, um die Rollen anzugeben, die ein Benutzer für den Zugriff auf das Objekt haben muss. Wenn Sie mehrere Rollen auflisten, kann ein Benutzer mit einer der aufgelisteten Rollen auf das Objekt zugreifen. Die Liste „ Erfordert Rolle “ wird als zugehörige Liste angezeigt.
      Hinweis:
      Benutzer mit der Administratorrolle bestehen diese Berechtigungsprüfung immer, da die Administratorrolle Benutzern automatisch alle anderen Rollen gewährt.
      Bedingung Verwenden Sie diesen Bedingungsgenerator, um die Felder und Werte auszuwählen, die erfüllt sein müssen, damit Benutzer auf das Objekt zugreifen können.
      Skript Geben Sie ein benutzerdefiniertes Skript ein, das die für den Zugriff auf das Objekt erforderlichen Berechtigungen beschreibt. Das Skript kann die Werte der aktuellen und vorherigen globalen Variablen in Business Rules sowie Systemeigenschaften verwenden. Das Skript muss auf eine von zwei Arten eine True- oder False-Antwort generieren:
      • eine Antwortvariable zurückgeben, die auf den Wert true oder false festgelegt ist
      • als „true“ oder „false“ auswerten

      In beiden Fällen erhalten Benutzer nur dann Zugriff auf das Objekt, wenn das Skript „true“ ergibt und der Benutzer die Bedingungen der ACL-Regel erfüllt. Sowohl die Bedingungen als auch das Skript müssen als „wahr“ ausgewertet werden, damit ein Benutzer auf das Objekt zugreifen kann.

      Hinweis:
      Wenn sich das ausgewertete Element in einer zugehörigen Liste befindet, verweist aktuell auf das Element, auf dem sich die zugehörige Liste befindet, nicht auf das aktuelle Element, für das die ACL gilt. Wenn sich das Element, für das Sie die ACL auswerten, jedoch nicht in einer zugehörigen Liste befindet, verweist current auf das tatsächliche Element.
    5. Rechtsklicken Sie auf die Formularüberschrift und wählen Sie Speichern.

    Sichere Datensätze in einer eingebetteten Liste

    Um Sicherheit auf die Datensätze in eingebetteten Listen anzuwenden, beschränken Sie das Bearbeiten und Löschen von Datensätzen in eingebetteten Listen auf bestimmte Rollen.

    Vorbereitungen

    Erforderliche Rolle: security_admin

    Prozedur

    1. Navigieren zu Alle > Systemsicherheit > Zugriffssteuerung (ACL).
    2. Öffnen Sie den Datensatz Schreiben oder Löschen für die entsprechende Tabelle.
    3. Fügen Sie im Abschnitt „Erfordert Rolle“ des Formulars die Rollen hinzu, die über Schreib- oder Löschberechtigungen für diese Tabelle verfügen.
    4. Speichern Sie die Änderungen.
      Wenn Datensätze aus der zugeordneten Tabelle in einer eingebetteten Liste angezeigt werden, sind die Optionen zum Bearbeiten und Löschen nur für Benutzer mit den angegebenen Rollen verfügbar.