ServiceNow Zugriffssteuerung erkunden

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Mit dem Plugin „SNC Access Control“ (com.snc.snc_access_control) können Sie steuern, welche Kundenservice und Support Mitarbeiter wann auf Ihre Instanz zugreifen können.

    Wenn Sie das Plugin zum ersten Mal aktivieren, können sich Kundenservice und Support Mitarbeiter nicht bei der Instanz anmelden. Alle derzeit angemeldeten Kundenservice und Support Mitarbeiter bleiben angemeldet. Sie erstellen Datensätze in der SNC-Zugriffssteuerungstabelle, die bestimmten SNC-Mitarbeitern oder allen Mitarbeitern Zugriff gewähren.

    Das Plugin verhindert, dass Mitarbeiter von Kundenservice und Support ohne Ihre ausdrückliche Genehmigung auf die Instanzen zugreifen. Andere autorisierte ServiceNow Betriebsmitarbeiter müssen jedoch in ihrer Kapazität für den Support und die Verwaltung des Produkts und die Überprüfung der Nutzung administrative Aktionen für die zugrunde liegende Infrastruktur durchführen. Diese Infrastruktur umfasst Server und Datenbanken sowie andere Infrastrukturkomponenten, aus denen die SaaS-Lösung besteht. Diese Zugriffsmethode ist vollständig überprüfbar und nachverfolgt.

    Mit diesem Plugin können Sie den Zugriff auf Ihre Instanz ohne Ihre ausdrückliche Genehmigung einschränken, sodass sich dies auf die Servicelevel des Supports und die Verfügbarkeits-SLA auswirken kann. Die Verfügbarkeits-SLA wird dann ab dem Zeitpunkt gemessen, zu dem Support-Mitarbeitern Zugriff auf Ihre Instanz gewährt wird.

    Anmeldesicherheit

    Die Sicherheit für autorisierte Kundenservice und Support Mitarbeiteranmeldungen bei -Instanzen verwendet verschlüsselte Token, die von einem sicheren Server generiert werden. Nur ordnungsgemäß authentifizierte Kundenservice und Support Mitarbeiter erhalten Zugriff auf eine Instanz. Ohne das Plugin „SNC Access Control“ stellt der Sicherheitsserver sicher, dass Zugriffsrechte für hi.service-now.com erzwungen werden. Wenn das Plugin aktiviert ist, müssen die verschlüsselten Anmeldetoken mit den Namen in der vom Plugin bereitgestellten Zugriffsliste übereinstimmen, wobei die in diesen Datensätzen definierten Kriterien verwendet werden. Mit dieser Methode der Authentifizierung können Sie genau bestimmen, welche Kundenservice und Support Mitarbeiter auf ihre Instanzen zugreifen dürfen und wann diese Mitarbeiter dies tun dürfen.

    Die für dieses System ausgewählte Architektur verfügt über mehrere Funktionen, die die Sicherheit für Ihre Instanzen verbessern sollen:
    Sicherheitsserver
    Der Sicherheitsserver ist ein gesperrter Linux-Host, auf den nur ServiceNow Sicherheitspersonal zugreifen kann. Dieser Server ist das einzige System, das Zugriff auf den kritischen privaten Verschlüsselungsschlüssel hat, der zum Erstellen der Anmeldetoken erforderlich ist. Durch diese Aufteilung (eine standardmäßige Sicherheitspraxis) wird der private Schlüssel auch für den unwahrscheinlichen Fall geschützt, dass ein Angreifer die HI-Instanz gefährdet.
    Synthetic-Benutzer
    Die Funktion in Instanzen, die es autorisierten Kundenservice und Support Mitarbeitern ermöglicht, sich bei ihrer Instanz anzumelden, erfordert keine Bereitstellung eines -Kontos in dieser Instanz. Es wird kein Benutzerdatensatz bereitgestellt, und es werden keine permanenten oder persistenten Anmeldeinformationen bereitgestellt. Stattdessen wird für jede Kundenservice und Support Mitarbeiteranmeldung ein künstlicher Benutzer erstellt. Dieser Benutzer ist nur im Arbeitsspeicher vorhanden und bietet keine dauerhaften Berechtigungen. Wenn das Plugin „SNC Access Control“ aktiviert ist, können Sie die Autorisierung eines Kundenservice und Support Mitarbeiters jederzeit aufheben.
    Token
    Die Sicherheitstoken sind spezifisch für eine Instanz und einen bestimmten Kundenservice und Support Mitarbeiter. Darüber hinaus funktioniert der Mechanismus, der die Token generiert, nur bei tatsächlichen Kundenservice und Support Mitarbeiteranmeldungen bei HI, nicht bei Benutzern, deren Identität angenommen wird. Sobald ein Sicherheitstoken generiert wurde, kann sich nur ein bestimmter Kundenservice und Support Mitarbeiter damit bei einer Instanz anmelden.
    Zeitbegrenzung
    Sicherheitstoken laufen vier Stunden nach ihrer Generierung ab. Dieser Ablauf schränkt den Nutzen von gekaperten Token ein, die nur während dieses kurzen Zeitfensters verwendet werden können.
    Protokollierung
    Anmeldungen von Kundenservice und Support Mitarbeitern bei -Instanzen werden als Anmeldeereignis aufgezeichnet.
    • Jede Aktion des angemeldeten Mitarbeiters Kundenservice und Support wird dem Transaktionsprotokoll in der -Datenbank hinzugefügt.
    • Sie wird auch dem Instanzprotokoll im Dateisystem hinzugefügt, auf das die meisten Mitarbeiter von ServiceNow nicht zugreifen können.
    • Kundenservice und Support Mitarbeiteranmeldungen und -aktionen sind leicht erkennbar, da die Benutzernamen alle auf @snc enden (z. B. frodo.baggins@snc).

    Diese Aktionen bieten Ihnen eine benutzerfreundliche, robuste und zuverlässige Sicherheitsprotokollierung für den Zugriff durch Nicht-Mitarbeiter.

    Sicherheitsverarbeitungs-Flow

    Wenn sich ein Kundenservice und Support -Mitarbeiter bei einer -Instanz anmelden möchte, sieht der Sicherheitsverarbeitungs-Flow wie folgt aus:

    1. Ein Kundenservice und Support -Techniker fordert eine Anmeldung für die Instanz über hi.service-now.com an.
    2. HI überprüft, ob der Techniker über die richtige Rolle verfügt, die den Zugriff auf Instanzen autorisiert.
    3. Wenn der Benutzer über die richtige Rolle verfügt, sendet HI die Zugriffsanforderung an den Sicherheitsserver.
    4. Der Sicherheitsserver überprüft, ob die Anforderung von der HI-IP-Adresse stammt, und wertet die Anforderung aus (Benutzer, Rolle und IP-Adresse der anfordernden Person). Wenn die Anforderung gültig ist, genehmigt sie der Sicherheitsserver und erstellt ein Token. Dieses Token enthält den Benutzernamen, die Rollen, die Instanz-ID und die Uhrzeit (Beginn der vierstündigen Lebensdauer des Tokens). Schließlich verschlüsselt der Sicherheitsserver das Token mit dem privaten Verschlüsselungsschlüssel.
    5. Der Sicherheitsserver sendet das verschlüsselte Token an HI.
    6. Hi sendet das Token an den Browser des Support-Technikers.
    7. Der Browser des Support-Technikers initiiert eine Anmeldung bei der Instanz mit dem speziellen Benutzernamen, der auf @sncendet.
    8. Die Instanz verwendet den öffentlichen Schlüssel, um das Token zu entschlüsseln. Um das Token zu überprüfen, gleicht die Instanz es mit dem im vorherigen Schritt angegebenen Benutzernamen, der Instanz-ID und dem autorisierten Zeitfenster ab. Wenn das Plugin „SNC Access Control“ aktiviert ist, überprüft die Instanz, ob der Benutzer:
      • Aufgeführt
      • Aktiv
      • Konfiguriert für den Zugriff auf die Instanz im aktuellen Zeitfenster
    9. Wenn der Benutzer authentifiziert ist, erstellt die Instanz im Speicher einen künstlichen Benutzer mit den angegebenen Rollen. Dieser Benutzer bleibt nicht erhalten, nachdem das Zeitlimit abgelaufen ist, sich der Benutzer abmeldet oder die Instanz neu gestartet wurde.
    Abbildung : 1. ServiceNow Prozess-Flow für Sicherheitszugriff
    ServiceNow Prozess-Flow für Sicherheitszugriff

    Audit-Protokollierung

    Mit der folgenden Protokollierung werden Anmeldungen und Aktivitäten von Kundenservice und Support Mitarbeitern nachverfolgt:
    • Ereignisprotokolle: Die Ereignisprotokolle zeigen alle Kundenservice und Support Anmeldungen bei einer Instanz.
    • Transaktionsprotokolle: Die Transaktionsprotokolle zeigen alle Aktivitäten in der Instanz, einschließlich aller Löschversuche.
    Hinweis:
    Weitere Informationen zu diesem Plugin finden Sie unter Plugin „SNC Access Control“. in den Härtungseinstellungen für die Instanzsicherheit.