Eingeschränkter Anruferzugriff auf Flows Workflow-Studio

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Verfolgen Sie Flows und Aktionen, die Zugriff auf bereichsübergreifende Ressourcen erfordern. Gewähren Sie Flows und Aktionen den Zugriff auf bereichsübergreifende Ressourcen, oder verweigern Sie sie.

    Die Tabelle „Eingeschränkter Anrufer – Zugriffsberechtigungen“ verfügt über dedizierte Quelltypen zur Identifizierung von Workflow-Studio -Aufrufquellen.

    Flow

    Das System verwendet den Flow-Quelltyp, um Vorgänge nachzuverfolgen, die von ServiceNow Core-Aktionen ausgeführt werden. Datensätze für eingeschränkte Anruferzugriffsberechtigungen ermöglichen es einem Flow, einen bestimmten Vorgang für eine bestimmte bereichsübergreifende Ressource auszuführen. Durch das Genehmigen eines Flows zum Ausführen eines Vorgangs kann jede andere Kernaktion innerhalb desselben Flows den gleichen Vorgang für dieselbe bereichsübergreifende Ressource ausführen.

    Angenommen, Sie haben einen Flow, der die Aktion Datensätze suchen für eine bereichsübergreifende Tabelle ausführt. Wenn die Anruferbeschränkung für die bereichsübergreifende Tabelle aktiviert ist, generiert die Aktion Datensätze suchen eine Anforderung zum Ausführen eines Lesevorgangs. Wenn Sie zulassen, dass der Flow Lesevorgänge für die bereichsübergreifende Tabelle ausführt, können auch alle anderen von Kernaktionen ausgeführten Lesevorgänge ausgeführt werden. Beispielsweise könnte Ihr Flow die Aktionen „Datensatz suchen“ und „Anhänge suchen“ für dieselbe bereichsübergreifende Tabelle ausführen. Angenommen, Sie fügen die Aktion Datensätze suchen für dieselbe bereichsübergreifende Tabelle einem anderen Flow oder Subflow hinzu. Da dieser Lesevorgang aus einem anderen Flow stammt, generiert die Kernaktion eine separate Anforderung einer Zugriffsberechtigung zur Genehmigung. Wenn Sie die Aktion „Datensätze suchen“ für den Zugriff auf eine andere bereichsübergreifende Tabelle konfigurieren, generiert auch diese eine separate Anforderung einer Zugriffsberechtigung zur Genehmigung.

    Flow-Aktion

    Das System verwendet den Quelltyp der Flow-Aktion, um Vorgänge nachzuverfolgen, die von anwenderdefinierten Aktionen für eine bestimmte bereichsübergreifende Ressource ausgeführt werden. Datensätze mit eingeschränkten Zugriffsrechten für Anrufer ermöglichen es einer anwenderdefinierten Aktion, einen bestimmten Vorgang für eine bestimmte bereichsübergreifende Ressource auszuführen. Durch das Genehmigen einer Aktion zum Ausführen eines Vorgangs kann die anwenderdefinierte Aktion den Vorgang für die bereichsübergreifende Ressource in jedem Kontext ausführen.

    Angenommen, Sie erstellen eine anwenderdefinierte Aktion, die den Schritt „Datensätze suchen“ für eine bereichsübergreifende Tabelle ausführt. Wenn die Anruferbeschränkung für die bereichsübergreifende Tabelle aktiviert ist, generiert der Schritt „Datensätze nachschlagen“ eine Anforderung zum Ausführen eines Lesevorgangs. Wenn Sie zulassen, dass die anwenderdefinierte Aktion Lesevorgänge für die bereichsübergreifende Tabelle ausführt, können Sie die anwenderdefinierte Aktion in jedem Kontext ausführen. Sie können beispielsweise die anwenderdefinierte Aktion mehreren Flows hinzufügen oder sie über ein Skript aufrufen. Solange die benutzerdefinierte Aktion den Vorgang an der zulässigen bereichsübergreifenden Zielressource ausführt, lässt das System die Ausführung der benutzerdefinierten Aktion zu. Wenn Sie die anwenderdefinierte Aktion für den Zugriff auf eine andere bereichsübergreifende Tabelle konfigurieren, generiert die anwenderdefinierte Aktion eine separate Anforderung von Zugriffsrechten zur Genehmigung.

    Aktualisieren Sie eingeschränkte Anruferzugriffsberechtigungen für Flows und Aktionen

    Lassen Sie zu, dass von San Diego und früheren Versionen aktualisierte Instanzen berechtigt sind, um eingeschränkte Anruferzugriffsberechtigungsanforderungen für Flows und Aktionen zu generieren.

    Vorbereitungen

    Wenn Sie die Anwendungsverwaltung für die Zielanwendung aktivieren, können nur Anwendungsadministratoren der Zielanwendung den Zugriff auf eine Anwendung festlegen. Wenn die Anwendungsverwaltung nicht aktiviert ist, kann ein Administratorbenutzer den Zugriff auf eine Anwendung festlegen.

    Erforderliche Rolle: application admin oder admin
    Hinweis:
    Weitere Informationen zu anwendungsspezifischen Administratorrollen und delegierter Entwicklung finden Sie unter Zugriffssteuerungsregeln in Apps zur Anwendungsverwaltung und Delegierte Entwicklung und Bereitstellung.

    Warum und wann dieser Vorgang ausgeführt wird

    In San Diego und früheren Releases hat die Tabelle mit den eingeschränkten Anruferzugriffsberechtigungen keine Flows und Aktionen als Quelltypen erkannt. Kunden, die Datensätze für eingeschränkte Anruferzugriffsberechtigungen für Flows und Aktionen generieren möchten, konnten dies nur indirekt. Sie können eine Skripteinbindung oder eine Geschäftsregel verwenden, um einen Flow oder eine Aktion aufzurufen. Wenn die Skripteinbindung oder Business-Regel ausgeführt wird, generiert sie eine Anforderung der Zugriffsberechtigung für die bereichsübergreifende Ressource zur Genehmigung.
    Warnung:
    Das Upgrade eingeschränkter Anruferzugriffsberechtigungen auf die Nachverfolgung von Flows und Aktionen kann zu Serviceunterbrechungen auf Instanzen führen, die zuvor den bereichsübergreifenden Zugriff über Skripteinbindungen oder Business-Regeln nachverfolgt haben. Nach dem Upgrade wird die Ausführung aller Flows und Aktionen blockiert, die versuchen, auf eingeschränkte Ressourcen zuzugreifen. Stattdessen werden eigene Anforderungen für eingeschränkte Anruferzugriffsberechtigungen zur Genehmigung generiert. Jemand muss die Anforderungen für Zugriffsberechtigungen genehmigen, bevor bereichsübergreifende Flows und Aktionen ausgeführt werden können. Kunden, die bereits die indirekte Nachverfolgung von Flows und Aktionen mithilfe von Skriptaufrufen zugelassen haben, können diese Aufgabe überspringen und weiterhin Flows und Aktionen aus Skripts aufrufen. Kunden, die ihre vorhandenen Zugriffsberechtigungen durch die neuen Quelltypen „Flow“ und „Flow-Aktion“ ersetzen möchten, können einen Ausfall planen, um die neuen Anforderungen für Zugriffsberechtigungen zu generieren und zu genehmigen.

    Prozedur

    1. Fügen Sie eine Systemeigenschaft hinzu.
      Erstellen Sie diese Eigenschaft.
      Feld Wert
      Name com.glide.hub.flow.restricted_caller_access.track_flows_as_source
      Typ Wahr|Falsch
      Wert wahr
    2. Definieren Sie den bereichsübergreifenden Zugriff auf eine Anwendungsressource.
      Aktivieren Sie die Anruferbeschränkung für die Tabellen, für die Flows und Aktionen Zugriff anfordern sollen.
    3. Wenn Sie vorhandene skriptbasierte Zugriffsberechtigungen ersetzen, identifizieren Sie die vorhandenen bereichsübergreifenden Flows und Aktionen, für die Zugriffsberechtigungen erforderlich sind.
      Sie müssen alle vorhandenen Zugriffsberechtigungen für bereichsübergreifende Flows und Aktionen neu generieren. Die Zugriffsberechtigungen für Flow und Aktion ersetzen die vorhandenen Zugriffsberechtigungen für Skripteinbindungen und Business-Regeln.
    4. Generieren Sie Anforderungen für Zugriffsberechtigungen für alle vorhandenen bereichsübergreifenden Flows und Aktionen.
      Sie können bereichsübergreifende Flows und Aktionen ausführen, indem Sie die bereichsübergreifende Anwendung verwenden oder testen.
      Bereichsübergreifende Flows und Aktionen generieren Zugriffsberechtigungsanforderungen für die Tabellen, die für die Anruferbeschränkung festgelegt sind.
    5. Zulassen, dass Flows und Aktionen auf Ihre Anwendungsressourcen zugreifen.
      Identifizieren Sie Anforderungen von Zugriffsrechten mit diesen Quelltypen.
      • Flow
      • Flow-Aktion

      Legen Sie den Status für jeden Vorgang, den ein Flow oder eine Aktion für Ihre eingeschränkte Anwendungsressource ausführen soll, auf Zulässig fest.

    Ergebnisse

    Flows und Aktionen, die versuchen, auf Ihre eingeschränkten Anwendungsressourcen zuzugreifen, generieren eine Anforderung einer Zugriffsberechtigung.

    Nächste Maßnahme

    Überprüfen und genehmigen Sie Anforderungen von Zugriffsrechten aus Ihrem Anwendungsdatensatz.