Domain separation dans Cloud Provisioning and Governance : considérations pour les fournisseurs de services

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 8 minutes de lecture

    • Passez en revue les considérations suivantes pour créer, implémenter et maintenir efficacement Domain Separation pour les services Cloud Provisioning and Governance dans l'instance que vous configurez pour vos clients.

    • Inclut la prise en charge de niveau Basique.
    • Logique métier : le fournisseur de service (SP) crée ou modifie des processus par client. Les cas d'utilisation reflètent l'utilisation appropriée de l'application par plusieurs clients SP dans une seule instance.
    • Le propriétaire de l'instance doit configurer la logique métier et les paramètres de données du produit minimum viable (MVP) par locataire comme prévu pour l'application spécifique.

    Comment fonctionne Domain separation dans Cloud Provisioning and Governance

    Domain Separation pour Cloud Provisioning and Governance aligne une ou plusieurs entreprises sur un domaine. Pour utiliser Domain Separation avec l'application, affectez tous les comptes d'utilisateur à une société spécifique associée à ce domaine.

    Toutes les entités liées à la société, comme les comptes dans le cloud et les comptes de services, sont créées dans le même domaine que la société. Lorsqu'une nouvelle société est créée, créez un domaine avec un nom unique et affectez-le à la société. Toutes les entités connexes pour un compte, comme les contacts et les tickets, doivent résider dans le même domaine. Lorsque vous créez une entité connexe pour un compte séparé par domaine, l'entité est affectée au domaine de la société.

    Les membres d'un domaine ne peuvent afficher que les données contenues dans leur domaine ou leurs domaines enfants qui sont inférieurs dans la hiérarchie des domaines. Par défaut, tous les utilisateurs et tous les enregistrements sont membres du domaine global, sauf si vous les affectez à un domaine particulier. Une fois que vous avez affecté un utilisateur ou un enregistrement à un domaine, l'instance compare le domaine de l'utilisateur au domaine de l'enregistrement pour déterminer si l'utilisateur peut afficher l'enregistrement.

    Les fournisseurs de services utilisent Domain Separation pour séparer les données de chaque client. Les utilisateurs d'un domaine donné peuvent consulter uniquement les données de leurs propres domaines ou de domaines enfants. Les SP contrôlent généralement le domaine de niveau supérieur, ce qui leur permet de consulter les données associées à tous les domaines. Ne déléguez pas l'administration aux utilisateurs administrateurs dans le cloud des domaines enfants dans Cloud Provisioning and Governance.

    Le filtre de pool, le profil de ressource, la facturation, le quota, les autorisations, l'IPAM, le budget et les notifications sont séparés par domaine. Toutes les tables de Cloud Provisioning and Governance ne sont pas séparées par domaine. Bien que la plupart des tables de niveau supérieur soient séparées par domaine, plusieurs tables enfants ne sont pas séparées par domaine. Toutefois, le fait que toutes les tables ne soient pas séparées par domaine n'a pas d'impact sur le fonctionnement de l'application dans un contexte séparé par domaine.
    Avertissement :
    Ne modifiez pas les tables liées au plan directement dans les enregistrements de table.

    Considérations relatives à la configuration de l'instance pour les fournisseurs de service

    Bien que Domain Separation fournisse une prise en charge partagée, le partage est toujours contenu dans une seule instance. Certaines données, propriétés et processus globaux sont partagés dans tous les domaines. L'image suivante illustre la hiérarchie Domain Separation pour les cas d'utilisation sans restriction et restreints.

    Hiérarchie des fournisseurs de services
    Effectuez les tâches suivantes pour configurer votre instance séparée par domaine :
    • Créez un domaine.

      • Vous pouvez créer autant de domaines que nécessaire, mais assurez-vous de ne pas créer de domaines inutiles sur l'instance. Un grand nombre de domaines sur l'instance peuvent avoir un impact sur les performances. Avant de créer de nouveaux domaines, vérifiez la hiérarchie des domaines sous Administrateur de domaine > Carte de domaine. Vérifiez si vous devez réellement créer un nouveau domaine ou si une hiérarchie de domaines existante peut fonctionner à la place.

        Sélectionnez un domaine primaire pour indiquer le domaine de niveau supérieur dans la carte de domaine. Le domaine supérieur représente un seul domaine parent commun, qui agit comme un nœud parent unique, pour les domaines du fournisseur de services. Pour plus d’informations, consultez Sélectionner un domaine principal.

      • Créez le domaine du SP sous le domaine supérieur et définissez le domaine par défaut. Garder vos domaines organisés est une étape essentielle du processus de séparation des domaines. Assurez-vous d’être conscient de l’importance de définir une valeur par défaut. Le système affecte automatiquement les enregistrements de tâche et d'utilisateur qui ne sont pas déjà affectés à un domaine au domaine par défaut. Pour plus d’informations, consultez Faire d’un domaine le domaine par défaut pour obtenir des instructions sur la façon de créer un domaine par défaut.

      • Créez une hiérarchie de domaines. Pour plus d’informations, consultez Créer une hiérarchie de domaine.

        Créez une hiérarchie de domaines qui met en miroir les structures d'organisation pour le regroupement sous le domaine supérieur. Dans la mesure où vous pouvez effectuer la détection et la mise en service uniquement à partir du domaine feuille, configurez les domaines feuilles dans la hiérarchie qui représentent des entités et des organisations concrètes.

        En fonction de la hiérarchie des domaines, les utilisateurs ont accès aux données de leur domaine d'origine et à tous les domaines enfants. Le processus avance et les données remontent. Vous pouvez affecter des enregistrements utilisateurs avec une valeur de domaine qui représente le domaine d'origine de l'utilisateur. Même si les utilisateurs n'ont pas accès aux données dans les domaines parents, les domaines pairs ou les domaines d'autres branches de la hiérarchie. Un processus configuré dans un domaine parent s'applique à tous les domaines enfants. Pour plus d'informations, consultez

        Les données client sont affectées en fonction des hiérarchies de domaines :

        • Parent/Child (Parent/enfant) : processus et données affectés
          • Conception basée sur un flux de processus.
          • N'oubliez pas que les domaines parent peuvent accéder à toutes les données des domaines enfant.
        • Domaine « Contains » : seules les données sont affectées. Par exemple, l'ajout d'un SP dans le TOP Contains du diagramme n'entraîne pas l'exécution des processus du SP dans le domaine TOP et dans les domaines vers le bas.
          • Accorde des droits d'accès aux données aux personnes de groupes qui ont besoin d'un accès dédié à certains domaines.
          • Contient des causes ou des conditions à ajouter aux requêtes de base de données qui peuvent entraîner des problèmes de performance avec des ensembles de données et de domaines volumineux.
        • Visibility (Visibilité) : hiérarchie qui est toujours visible par les utilisateurs une fois que vous fournissez l'accès. Seules les données sont affectées, et non les processus.
          • Accorde l'accès aux données d'un domaine à un autre domaine qui n'avait pas cet accès lors de la création de la hiérarchie parent-enfant.
          • Permet aux utilisateurs de voir toutes les données dans les domaines pour lesquels ils ont une visibilité d'accès, tout le temps, quel que soit l'enregistrement sur lequel ils travaillent.
            Remarque :
            Utilisez cette option avec parcimonie, car la visibilité peut entraîner un accès complet que vous n'avez peut-être pas l'intention d'accorder.
      • Ajouter une nouvelle société

        Vous pouvez ajouter des sociétés qui représentent vos fournisseurs, vos fabricants ou vos clients. Ces sociétés fournissent un moyen de catégoriser les utilisateurs, les groupes et les actifs.

        Créez des entreprises et des domaines feuilles pour chaque client que vous prenez en charge sur une seule instance. Les entreprises vous aident à associer des utilisateurs au domaine. La société et le domaine doivent avoir un mappage un-à-un unique ou plusieurs-à-un. Cela rend l'affectation des utilisateurs à un domaine plus facile et gérable pour les SP.
        Important :
        Lorsque vous créez une entreprise pour chaque domaine, utilisez un préfixe avec un identificateur unique, tel que « ENTREPRISE_ » ou « ORG_ ».
        Pour personnaliser l'instance ServiceNow pour chaque entreprise, vous pouvez saisir des numéros de téléphone de contact, des adresses postales et des notes supplémentaires. Vous pouvez également personnaliser le logo de l'entreprise et le texte de la bannière que les utilisateurs finaux voient en haut de chaque page. Pour plus d’informations, consultez Créer un nouveau profil d’entreprise.
    • Créez des groupes d'utilisateurs et affectez des rôles et des domaines aux utilisateurs de chaque nouvelle entreprise. Affectez des utilisateurs à des entreprises pour les associer à des domaines. Associez une entreprise à un utilisateur pour mapper l'utilisateur à un domaine.
      1. Accédez à la Organisations > Société et cliquez sur Nouveau pour créer de nouveaux utilisateurs. Pour plus d’informations sur la création d’utilisateurs, consultez Créer un utilisateur
        Remarque :
        N'utilisez pas l'option Domaine géré manuellement pour choisir le domaine pour les utilisateurs.
      2. Créez des groupes et affectez des rôles aux groupes. Les utilisateurs affectés au groupe héritent des rôles. Vous pouvez créer des utilisateurs du portail de l'utilisateur dans le cloud pour une entreprise dans le domaine feuille. Pour plus d’informations sur la création de groupes, reportez-vous à la rubrique Créer un groupe d’utilisateurs.
      3. Créez ces utilisateurs dans chacun des domaines feuilles :
        • Utilisateur de MID Server pour chaque domaine feuille et entreprise. Affectez le rôle mid_server aux utilisateurs de Serveur MID.
        • Administrateur de domaine pour chaque domaine feuille et entreprise. Affectez le rôle sn_cmp.cmp_root_admin aux administrateurs dans le cloud (domaine).
        • Utilisateur de domaine pour chaque domaine feuille. Affectez le rôle sn_cmp.cloud_service_user aux utilisateurs du cloud.
        • (Facultatif) Créez des utilisateurs pour des rôles supplémentaires dans les domaines feuilles (par exemple designer, gouverneur).

          Pour fournir une visibilité limitée de certains domaines à certains utilisateurs, ajoutez-les via des groupes. Pour plus d’informations, consultez Accorder des domaines de visibilité à un utilisateur individuel.

      4. Créez une relation de domaine « contient » entre le domaine du SP et le domaine SUPÉRIEUR.
        Remarque :
        En créant une relation « contient », vous autorisez tous les administrateurs du domaine du fournisseur de services à accéder à toutes les données de domaine. Les utilisateurs du domaine global ne peuvent pas voir les données à partir de la mise en page de la carte, car l'extension du champ d'application du domaine par défaut n'est pas autorisée.

        Pour plus d’informations sur la façon de contrôler ce que des utilisateurs spécifiques et ce qu’un domaine entier d’utilisateurs peuvent voir, consultez Domaines de visibilité et Domaines de contenu.

    Étapes suivantes

    Pour plus d’informations sur l’intégration de clients ou d’entreprises dans une instance séparée par domaine pour Cloud Provisioning and Governance les services, consultez Inclure une entreprise.