Administration d'application

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Protégez les données d’application sensibles en utilisant l’administration d’application pour restreindre la façon dont les utilisateurs acquièrent des rôles spécifiques à l’application.

    Fonctions de l’administration des applications

    Utilisez l’administration d’application pour :
    • Empêchez les utilisateurs non autorisés d’accéder à des données sensibles telles que des enregistrements financiers ou des informations personnellement identifiables.
    • Limitez qui peut affecter des rôles spécifiques à l’application, tels que l’administrateur et les développeurs désignés pour l’application.
    • Empêchez les utilisateurs ayant le rôle d’administrateur au niveau du système de :
      • S’affecter un rôle d’application protégé.
      • Ils s’affectent à un groupe contenant un rôle d’application protégé.
      • Contournement des contrôles d’accès existants à une application protégée en créant des contrôles d’accès.
      • Modification du mot de passe des utilisateurs disposant d’un rôle d’application protégé.
      • Emprunter l’identité d’un utilisateur qui dispose d’un rôle d’application protégé, sauf si le développeur ou l’administrateur dispose également de ce rôle.
      • Hériter d’un rôle d’application protégé.
      • Remplacement des contrôles d’accès existants à une application protégée.
      • Exécuter des scripts qui accèdent aux enregistrements d’application protégés.

    Rôles dans l’administration d’application

    Vous pouvez attribuer à n’importe quel rôle un administrateur spécifique de l’application en cochant la case Administrateur d’application dans Configuration du rôle. Pour en savoir plus, consultez Limiter l’accès à une application. Par convention, créez les rôles suivants :
    Tableau 1. Rôles d’administration d’application
    Nom du rôle Description
    Administrateur spécifique à l’application Les utilisateurs disposant de ce rôle peuvent affecter d’autres utilisateurs à un rôle spécifique à l’application pour cette application. Par exemple, vous pouvez créer un rôle nommé my_application.admin. Il doit inclure le nom de l’application restreinte, avec le suffixe « admin » pour indiquer qu’il s’agit du rôle administrateur de l’application.
    Développeur spécifique à l’application Les utilisateurs disposant de ce rôle peuvent accéder à l’application restreinte. Par exemple, vous pouvez créer un rôle nommé my_application.developer. Il doit inclure le nom de l’application restreinte, avec le suffixe « développeur » pour indiquer qu’il s’agit du rôle de développeur de l’application. Le rôle de développeur a besoin à la fois d’administrateur d’application et d’autorisations de développement délégué pour modifier les fichiers d’application.

    Pour en savoir plus, consultez Développement délégué et déploiement et Déléguer les autorisations de développement et de déploiement au personnel.

    Rôle administrateur spécifique à l’application

    Le rôle administrateur spécifique à l’application permet à un utilisateur d’accéder à une application spécifique, mais ne lui accorde aucun autre droit d’administrateur. Affectez le rôle d’administrateur au niveau du système à un utilisateur avant que celui-ci puisse effectuer ces tâches :
    • Configurez la mise en page des formulaires et des listes.
    • Modifiez les tables et les champs de l’application.
    • Affectez le rôle d’administrateur spécifique à l’application aux nouveaux utilisateurs.
    Si vous ne souhaitez pas qu’un utilisateur ayant le rôle d’administrateur spécifique à l’application ait le rôle d’administrateur au niveau du système :
    • N’affectez pas le rôle d’administrateur au niveau du système à l’utilisateur. Affectez uniquement le rôle administrateur spécifique à l’application.
    • Demandez à l’utilisateur de s’affecter le rôle de développeur spécifique à l’application.

    En tant que développeur spécifique à l’application, l’utilisateur peut effectuer un sous-ensemble de tâches administratives sans avoir le rôle d’administrateur au niveau du système.

    Remarque :
    Affectez le rôle administrateur spécifique à l’application à plusieurs utilisateurs. Par conséquent, si un utilisateur disposant du rôle administrateur spécifique à l’application quitte l’entreprise, vous n’êtes pas empêché de changer l’application.

    Activer l’administration de l’application et affecter des rôles spécifiques à l’application

    Vous pouvez activer l’administration d’une application à partir de l’enregistrement d’application et restreindre l’affectation de rôles spécifiques à l’application à partir de l’enregistrement de rôle d’utilisateur.
    Remarque :
    Activez l’administration de l’application et affectez des rôles spécifiques à l’application une fois que le développement de l’application est terminé, mais avant d’ajouter des enregistrements d’application. Cette pratique protège les données sensibles des enregistrements d’application contre l’accès par des utilisateurs non autorisés.
    L’instance cible doit avoir au moins un utilisateur autorisé disposant du rôle administrateur spécifique à l’application.
    • Si vous activez l’administration d’application pour une application, mais que vous n’affectez pas les rôles spécifiques à l’application, aucun utilisateur ne peut accéder à l’application.
    • Si vous n’affectez qu’un seul rôle spécifique à l’application, vous ne pouvez pas supprimer ce rôle.

    Un avertissement s’affiche si vous activez l’administration d’application pour une application, mais qu’aucun utilisateur n’a le rôle d’administrateur spécifique à l’application requis pour affecter des rôles à l’application. L’avertissement vous rappelle d’affecter les rôles spécifiques à l’application pour les administrateurs et les développeurs de l’application.

    Définissez la [scoped_app_name].min_admin_count property pour exiger que plusieurs utilisateurs aient le rôle administrateur spécifique à l’application. L’affectation du rôle administrateur spécifique à l’application à plusieurs utilisateurs réduit le risque d’être bloqué hors de l’application incluse dans le périmètre. La [scoped_app_name].min_admin_count propriété présente les limitations suivantes :
    • Si vous spécifiez une valeur non valide pour la propriété, l’exigence par défaut pour affecter au moins un administrateur spécifique à l’application est appliquée.
    • Si vous spécifiez une valeur valide pour la propriété, vous ne pouvez supprimer aucun administrateur spécifique à l’application, sauf si vous dépassez la valeur spécifiée. Par exemple, si vous spécifiez une valeur de deux et que vous avez trois administrateurs spécifiques à l’application, vous ne pouvez supprimer qu’un seul de ces rôles.
    • Vous pouvez spécifier une valeur supérieure au nombre réel d’administrateurs spécifiques de l’application affectés. Toutefois, vous ne pouvez pas supprimer d’administrateurs spécifiques à l’application tant que vous n’avez pas dépassé la valeur spécifiée. Par exemple, si vous spécifiez une valeur de six, mais que vous n’avez que trois administrateurs spécifiques à l’application, vous ne pouvez supprimer aucun de ces rôles.

    Pour plus d’informations sur les procédures, reportez-vous à la section Limiter l’accès à une application.

    Déployer des applications avec l’administration des applications

    Vous devez disposer du rôle d’administrateur au niveau du système dans vos instances de développeur et de production pour déployer une application protégée par l’administration de l’application. Le processus est décrit dans les étapes suivantes.

    1. Développez l’application sur une instance de développement.
    2. Créez le rôle administrateur spécifique à l’application.
    3. Accordez le rôle d’administrateur spécifique à l’application à tous les utilisateurs administrateurs au niveau du système.
    4. Mettez à jour l’enregistrement de l’application pour activer l’administration de l’application et limiter l’accès à l’application.
    5. Publiez l’application dans le référentiel d’applications.
    6. À partir d’une instance de production, installez l’application à partir du référentiel d’applications.
    7. En tant qu’administrateur niveau système sur l’instance de production, accordez le rôle administrateur spécifique à l’application aux utilisateurs appropriés.
    8. Supprimez le rôle administrateur spécifique à l’application de tous les utilisateurs disposant du rôle administrateur au niveau du système.

    Pour connaître les procédures permettant d’activer l’administration des applications et de restreindre l’affectation de rôles spécifiques à l’application, consultez Limiter l’accès à une application.

    Formation

    Il dispose d’une ServiceNow® Site Developer formation pour la sécurisation des applications.