ServiceNowインスタンスSQL APIプラグインを設定します
SQL API アクセスを有効にするために必要な 3 ステップの構成プロセス (前提条件と期待される結果を含む) の概要。
インスタンスで SQL API を構成すると、 ServiceNow データを外部の BI ツールや分析プラットフォーム (Power BI、DB Visualizer、カスタム ODBC/JDBC クライアントなど) と統合して、レポートおよびデータ分析機能を強化できます。
この設定では、システムアドミニストレーターが 3 つの連続する手順を完了する必要があります。次の手順に進む前に、各手順を完了してください。
事前準備
開始する前に、次の前提条件を満たしていることを確認します。
- ServiceNowインスタンスへのシステムアドミニストレーターアクセス権がある。
- SQL API プラグインがインスタンスにインストールされている。
- ODBC/JDBC クライアントマシンの IP アドレス範囲を特定するために、ネットワークチームに相談しました。
- SQL APIを介してアクセスする必要があるServiceNowテーブルを特定しました。
構成ステップ
インスタンスで SQL API アクセスを設定するには、次の 3 つの手順を実行します。
| ステップ | 手順 | 説明 |
|---|---|---|
| 1 | サービスアカウントの作成とロールのアサイン | [ユーザー管理] で専用の非インタラクティブ (マシン) サービスアカウントを作成します。sn_odbc_rest_accessロールまたはsn_jdbc_rest_accessロールをアサインします。それぞれ異なるロールとセキュリティ制限を持つ複数のサービスアカウントを作成して、さまざまな統合またはチームをサポートできます。デフォルトでは、 SQL API はすべてのクエリのテーブル、行、およびフィールドレベルでアクセスをチェックします。サービスアカウントに sn_sql_api_privileged_mode ロールを割り当てることで、これらをオフにできます。 |
| 2 | SQL APIのアクセス制御リスト (ACL) の作成 | egress_sql操作を使用してテーブルレベルのアクセスを構成します。サービスアカウントがクエリする必要があるテーブルごとに、2 つの ACL を作成します。egress_sql用に 1 つ (SQL APIデータエクスポート) 用に、もう 1 つを読み取り用 (レコードレベルのアクセス) に作成します。各テーブルと各ロールの組み合わせに対してこれを繰り返します。 |
| 3 | IP フィルター基準の作成 | ODBC/JDBC ドライバーを介して接続できる IP アドレスまたは IP 範囲を定義します。デフォルトでは、すべての受信 IP がブロックされます。IP フィルターとポリシー条件を使用して SQL API 認証ポリシーを設定します。これにより、信頼できるクライアントマシンからのアクセスのみが許可されます。 |
想定されるもの
3 つの手順をすべて完了すると、サービスアカウントは ODBC または JDBC を介して ServiceNow インスタンスに接続し、アクセスが許可されているテーブルをクエリできるようになります。
次の点にご注意ください。
- 複数のサービスアカウント:異なるロールとアクセス制御設定を持つ複数のサービスアカウントを作成できます。これにより、さまざまな BI ツールまたはチームが個別に個別に管理されたアクセス権を持つことができます。
- egress_sql を介したテーブルレベルのアクセス:アクセスはグローバルに許可されません。各テーブルには、独自の
egress_sqlと読み取りACL が必要です。サービスアカウントは、両方の ACL が明示的に設定されているテーブルに対してのみクエリを行うことができます。 - サービスアカウントの使用:個人ユーザーアカウントはサポートされていません。関連付けられたユーザーがアクセス権を失ったり組織を離れたりすると、レポートとダッシュボードは破損します。サービスアカウントは継続性を促進します。
- MFA をオフにする:非インタラクティブ (マシン) ユーザーは MFA チャレンジを完了できません。すべての SQL API サービスアカウントで MFA がオフになっていることを確認します。