Cloud Provisioning and Governance でのドメイン分離:サービスプロバイダーに関する考慮事項

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む9読むのに数分

    • 顧客用に設定しているインスタンスでの Cloud Provisioning and Governance サービスに対してドメイン分離を効果的に作成、実装、および管理するには、次の考慮事項を確認します。

    • ベーシックレベルサポートを含みます。
    • ビジネスロジック:サービスプロバイダー (SP) によって顧客ごとにプロセスを作成または変更できます。ユースケースには、単一のインスタンスでの複数のサービスプロバイダー顧客によるアプリケーションの正しい使用が反映されています。
    • インスタンスのオーナーは、特定のアプリケーションに期待される通りに、テナントごとに MVP ビジネスロジックとデータパラメーターを設定できる必要があります。

    におけるドメイン分離の仕組み Cloud Provisioning and Governance

    Cloud Provisioning and Governance のドメイン分離は、1 つ以上の会社を 1 つのドメインに配します。アプリケーションでドメイン分離を使用するには、そのドメインに関連付けられている特定の会社にすべてのユーザーアカウントをアサインします。

    クラウドアカウントやサービスアカウントなど、会社に関連するすべてのエンティティは、会社と同じドメイン内に作成されます。新しい会社を作成したら、一意の名前を持つドメインを作成して、それを会社にアサインします。連絡先やケースなどのアカウントの関連エンティティはすべて、同じドメインに存在する必要があります。ドメイン分離されたアカウントの関連エンティティを作成すると、そのエンティティは会社のドメインにアサインされます。

    ドメインのメンバーは、自分たちのドメインまたはそのドメインの階層で下位にある子ドメインに含まれるデータのみを表示できます。デフォルトでは、特定のドメインにアサインした場合を除き、すべてのユーザーとすべてのレコードがグローバルドメインのメンバーになります。ユーザーまたはレコードをドメインにアサインすると、そのインスタンスはユーザーのドメインとレコードのドメインを比較して、そのユーザーがそのレコードを表示できるかどうかを判断します。

    サービスプロバイダー (SP) はドメイン分離を使用して、各顧客のデータを分離します。指定されたドメイン内のユーザーは、自分たちのドメインまたは子ドメイン内のデータのみ表示できます。通常、SP はトップレベルドメインを制御します。これにより、すべてのドメインに関連付けられたデータを表示できます。Cloud Provisioning and Governance の子ドメインのクラウド管理者ユーザーに、管理を委任しないでください。

    プールフィルター、リソースプロファイル、請求処理、クォータ、アクセス許可、IPAM、予算、通知は、ドメイン分離されています。Cloud Provisioning and Governance のすべてのテーブルがドメイン分離されているわけではありません。多くのトップレベルテーブルはドメイン分離されていますが、いくつかの子テーブルはドメイン分離されていません。ただし、すべてのテーブルがドメイン分離されているわけではないという事実は、ドメイン分離コンテキストでのアプリケーションの動作には影響を与えません。
    警告:
    テーブルレコード内の詳細計画関連のテーブルを直接変更しないでください。

    サービスプロバイダーのインスタンスセットアップに関する考慮事項

    ドメイン分離がマルチテナントのサポートを提供している間は、マルチテナントはまだ単一のインスタンス内に含まれています。一部のグローバルなプロパティ、データ、およびプロセスは、すべてのドメインで共有されます。次の図は、制限のないユースケースと制限されたユースケースに対するドメイン分離の階層を示しています。

    サービスプロバイダーの階層
    ドメイン分離されたインスタンスをセットアップするには、次のタスクを実行します。
    • ドメインを作成します。

      • 必要な数のドメインを作成できますが、そのインスタンスに不要なドメインを作成しないようにします。インスタンス上に多数のドメインがあると、パフォーマンスに影響を与える可能性があるからです。新しいドメインを作成する前に、次のドメイン階層を確認してください。 ドメイン管理 > ドメインマップ. 新しいドメインを作成する必要があるかどうか、既存のドメイン階層を代わりに使用できないかどうかを確認してください。

        ドメインマップのトップレベルドメインを示すため、プライマリドメインを選択します。TOP ドメインは単一の共通の親ドメインを表し、サービスプロバイダードメインの単一の親ノードとして機能します。詳細については、「プライマリ ドメインの選択」を参照してください。

      • トップドメイン の下に SP ドメインを作成し、そのドメインをデフォルトに設定します。ドメインを整理しておくことは、ドメイン分離のプロセスの重要な部分です。デフォルトを設定することの重要性を認識してください。システムにより、ドメインにまだアサインされていないタスクレコードおよびユーザーレコードが、デフォルトドメインに自動的にアサインされます。デフォルトドメインの作成方法の詳細については、「ドメインをデフォルトにする」を参照してください。

      • ドメイン階層を作成します。詳細については、「Create Domain hierarchy (ドメイン階層の作成)」を参照してください。

        トップドメインの下でグループ化するために、組織構造をミラーリングするドメイン階層を作成します。リーフドメインからのみ検出とプロビジョニングを実行できるため、具体的なエンティティと組織を表す階層にリーフドメインを設定します。

        ドメイン階層に基づいて、ユーザーは自分たちのホームドメインと子ドメインのデータにアクセスできます。プロセスフローは下に向かい、データはバブルになって上に向かいます。ユーザーのホームドメインを表すドメイン値を使用してユーザーレコードをアサインできます。尚、ユーザーは、親ドメイン、ピアドメイン、または階層の他のブランチ内のドメインのデータにアクセスできません。親ドメインでセットアップされたプロセスは、すべての子ドメインに適用されます。詳細については、次を参照してください:

        次のドメイン階層に基づいて顧客データは影響を受けます。

        • 親/子: 影響を受けるプロセスとデータ
          • プロセスフローに基づく設計。
          • 親ドメインが子ドメイン内のすべてのデータにアクセスできることに注意してください。
        • ドメインを「含む」: 影響を受けるのはデータのみです。たとえば、図の SP に TOP が含まれるようにしても、TOP ドメイン以下で SP のプロセスは実行されません。
          • 特定のドメインへの専用アクセスが必要なグループ内の個々のユーザーに、データアクセス権を付与します。
          • データベースクエリーに追加される原因または条件が含まれ、大規模なドメインやデータセットでパフォーマンスの問題が発生する可能性があります。
        • 可視性:アクセス権を付与したユーザーに常に表示される階層。影響を受けるのはデータのみで、プロセスは影響を受けません。
          • 親/子階層の構築時にアクセス権が付与されなかった別のドメインに対して、ドメインのデータアクセス権を付与します。
          • ユーザーがどのレコードを使用しているかにかかわらず、可視性アクセス権を付与されているドメイン内のすべてのデータの表示をユーザーに許可します。
            注:
            可視性は、意図しないような完全なアクセスが許可されてしまうため、慎重に使用してください。
      • 新しい会社を追加する

        取引先のベンダー、メーカー、または顧客を表す会社を追加することができます。これらの会社により、ユーザー、グループ、および資産を分類する方法が提供されます。

        単一のインスタンスでサポートしている各顧客に対して、会社とリーフドメインを作成します。会社は、ユーザーをドメインに関連付けるのに役立ちます。会社とドメインの関係は、1 対 1 のマッピングまたは多対 1 のマッピングのどちらかになります。これにより、ユーザーをドメインにアサインしやすくなり、SP に対して管理することができます。
        重要:
        各ドメインに会社を作成するとき、一意の識別子を含むプリフィックスを使用してください (「COMPANY_」や「ORG_」など)。
        会社ごとに ServiceNow インスタンスをカスタマイズするために、連絡先電話番号、住所の番地、その他のメモを入力できます。また、エンドユーザー向けに各ページの上部に表示される会社のロゴやバナーテキストをカスタマイズすることもできます。詳細については、「新しい会社プロファイルの作成」を参照してください。
    • ユーザーグループを作成し、新しい各会社のユーザーにロールとドメインをアサインします。会社にユーザーをアサインして、ドメインに関連付けます。会社とユーザーを関連付けて、ユーザーをドメインにマッピングします。
      1. 移動先 組織 > 会社、 をクリックし、[ 新規 ] をクリックして新しいユーザーを作成します。ユーザーの作成の詳細については、「ユーザーの作成」を参照してください。
        注:
        ユーザーのドメインを選択するために、手動管理ドメインのオプションを使用しないでください。
      2. グループを作成して、そのグループにロールをアサインします。グループにアサインされたユーザーは、そのロールを継承します。会社のユーザーに対して、リーフドメインにクラウドユーザーポータルを作成できます。グループの作成の詳細については、「ユーザーグループの作成」を参照してください。
      3. 各リーフドメインに、次のようなユーザーを作成します。
        • 各リーフドメインおよび会社に対する MID Server ユーザー。MID サーバー ユーザーに mid_server ロールをアサインします。
        • 各リーフドメインおよび会社のドメイン管理者。クラウド (ドメイン) 管理者に sn_cmp.cmp_root_admin ロールをアサインします。
        • 各リーフドメインのドメインユーザー。クラウドのユーザーに sn_cmp.cloud_service_user ロールをアサインします。
        • (オプション) リーフドメインの追加ロール (designer、governor などのロール) に対するユーザーを作成します。

          特定のユーザーに対して特定のドメインの限定された可視性を提供するには、グループを使用して追加します。詳細については、「個々のユーザーに可視性ドメインを付与する」を参照してください。

      4. SP ドメインと TOP ドメインの間の「包含」ドメイン関係を作成します。
        注:
        「包含」関係を作成することにより、サービスプロバイダードメイン内のすべての管理者がすべてのドメインデータにアクセスできるようになります。グローバルドメインのユーザーは、デフォルトで拡張ドメインスコープが許可されていないので、カードレイアウトからのデータを表示できません。

        特定のユーザーおよびユーザーのドメイン全体で表示できるものを制御する方法の詳細については、「可視性ドメインと包含ドメイン」を参照してください。

    次のステップ

    Cloud Provisioning and Governance サービスのドメイン分離インスタンスでの顧客または会社のオンボーディングの詳細については、「会社のオンボーディング」を参照してください。