스크립팅 거버넌스 도구 탐색
스크립팅 거버넌스 도구(SGT)는 사용자 전체에서 스크립팅 액세스를 관리하기 위한 단일 중앙 집중식 통제를 제공합니다.ServiceNow AI Platform
Zurich 릴리스에는 관리자가 스크립트 필드 ServiceNow AI Platform를 편집할 수 있는 사용자를 중앙에서 제어할 수 있는 기능이 도입되었습니다. 이 기능은 조건부 스크립트 작성기 그룹 및 해당 자식 역할인 snc_required_script_writer_permission를 기반으로 빌드된 새 권한 계층을 추가합니다. 사용자가 기존 ACL 기반 액세스 권한과 관계없이 스크립트 필드를 편집하려면 이 그룹의 구성원이어야 합니다. 이 권한 계층은 데이터 형식 ACL을 통해 적용되며 예약된 작업 및 시스템 속성에 의해 유지관리됩니다.
이 기능을 관리하기 위해 에서는 ServiceNow AI Platform 관리자가 스크립팅 접근 권한이 있는 사용자를 확인하고, 스크립트 필드를 편집한 사용자의 인스턴스를 스캔하고, 사용자의 스크립팅 접근 권한을 직접 추가하거나 취소할 수 있는 대시보드인 스크립팅 거버넌스 도구(SGT) 를 제공합니다.
중요한 이유
스크립팅은 테이블 간에 데이터를 읽고 쓰고, 비즈니스 논리를 바이패스하고, 플랫폼 동작을 근본적인 수준에서 변경할 수 있으므로 스크립팅 액세스는 모든 인스턴스에서 관리할 수 있는 가장 중요한 권한 중 하나가 됩니다.
Zurich 이전에는 스크립팅 액세스가 개별 스크립트 필드의 ACL로만 제어되었습니다. 스크립트를 편집할 수 있는 사용자를 결정하려면 관리자가 각 ACL을 개별적으로 확인해야 했습니다. 인스턴스 전체에서 스크립팅 액세스를 보거나 관리할 수 있는 단일 위치는 없었습니다.
스크립팅 거버넌스 기능은 기존 ACL 기반 권한 위에 접근 통제의 필수 두 번째 계층을 추가하여 이를 해결합니다. 필드 수준 ACL만으로는 스크립트 필드를 편집하기에 더 이상 충분하지 않습니다. 이제 보안 관리자는 조건부 스크립트 작성기 그룹에서 사용자를 추가하거나 제거하여 스크립팅 액세스를 중앙에서 관리할 수 있습니다.
2계층 액세스 모델
스크립팅 거버넌스 기능은 2계층 액세스 모델을 적용합니다. 사용자가 스크립트 필드를 편집하려면 먼저 두 레이어가 독립적으로 통과해야 합니다. 한 레이어를 통과하는 것만으로는 충분하지 않습니다.
- 계층 1 - 기존 필드 수준 ACL
- 사용자는 스크립팅 필드의 기존 ACL을 전달해야 합니다(바로 사용 가능 또는 사용자 지정). 이 검사는 취리히 이전 동작과 변경되지 않습니다.
- 계층 2 — SGT 역할 확인
-
또한 사용자는 조건부 스크립트 작성기 그룹의 구성원 자격을 통해 부여되는 snc_required_script_writer_permission 역할을 보유해야 합니다.
역할이 필드 수준 ACL을 충족했기 때문에 Zurich 업그레이드 전에 스크립트 필드를 편집할 수 있었던 사용자는 계층 2도 충족하지 않는 한 업그레이드 후에 차단됩니다. snc_required_script_writer_permission 역할은 새로운 스크립팅 접근 권한을 자체적으로 부여하지 않습니다. 이미 레이어 1을 통과한 사용자만 액세스할 수 있습니다.
다음 표는 2계층 모델에서의 액세스 결과를 요약한 것입니다.
| 필드 수준 ACL 전달(계층 1)? | snc_required_script_writer_permission(계층 2)을 보유하고 있습니까? |
스크립트 필드를 편집할 수 있습니까? |
|---|---|---|
| 예 | 예 | ✅ 예 |
| 예 | 아니요 | ❌ 아니요 |
| 아니요 | 예 | ❌ 아니요 |
| 아니요 | 아니요 | ❌ 아니요 |
데이터 유형 ACL
스크립팅 거버넌스 기능에는 계층 2를 적용하기 위해 9가지 데이터 유형 ACL이 도입되었습니다. 다음 데이터 유형에 대해 snc_required_script_writer_permission 역할이 필요한 ACL이 아닌 경우 거부됩니다.
- 데이터 유형
-
- 스크립트
- script_client
- script_plain
- script_server
- email_script
- html_script
- html_template
- XML
- condition_string
주:기본적으로 관리자 역할에는 스크립팅 액세스 권한이 없습니다. 관리자 사용자는 동일한 2계층 검사의 적용을 받으며 조건부 스크립트 작성기 그룹의 구성원이거나 snc_required_script_writer_permission 역할을 명시적으로 보유하지 않는 한 스크립트 필드를 편집할 수 없습니다. 자세한 내용은 다음 문서를 참조하십시오 데이터 유형 ACL.
예약된 작업 및 속성
스크립팅 거버넌스 기능의 일부로 하위 역할로 snc_required_script_writer_permission 역할을 갖는 조건부 스크립트 작성기 그룹이 도입되었습니다. Zurich 업그레이드가 완료되면 일회성 예약된 작업이 실행되어 모든 적격 사용자를 이 그룹에 자동으로 채우므로 업그레이드 후에 아무도 스크립팅 액세스 권한을 잃지 않도록 합니다. 작업이 완료되면 그룹 구성원 자격을 최신 상태로 유지하기 위해 주간 반복 작업이 생성됩니다. 두 직업과 해당 자격 기준은 모두 다음과 같이 설명되어 있습니다.
- 조건부 스크립트 작성기 그룹에 사용자 추가
- Zurich 업그레이드가 완료된 직후에 한 번 실행되는 작업입니다. 자격 기준을 충족하는 모든 사용자를 조건 부 스크립트 작성기 그룹에 추가하여 업그레이드 후 사용자가 스크립팅 액세스 권한을 잃지 않도록 합니다. 작업이 완료되면 플랫폼에서 작업을 비활성화합니다.
- 조건부 스크립트 작성기 그룹에서 사용자 업데이트
- 자격 기준을 충족하는 새 사용자를 그룹에 추가하고 더 이상 자격 기준을 충족하지 않는 사용자를 제거하는 주간 작업입니다. glide.security.scripting_role.auto_provisioning 속성에 의해 제어됩니다.
표 1. 속성에 따라 동작 업데이트 값 동작 true(기본값) 주간 작업은 일정에 따라 실행되며 적격 사용자를 그룹에 자동으로 추가합니다. 아니오 작업이 실행되지 않습니다. 사용자는 관리자에 의해서만 그룹에 수동으로 추가됩니다.
자격 기준
두 예약된 작업은 모두 동일한 조건을 사용하여 조건부 스크립트 작성기 그룹에 추가되는 사용자를 결정합니다.
| Explicit Role 플러그인 | 사용자 유형 | 요구 사항 | 그룹에 추가되었습니까? |
|---|---|---|---|
| 사용 | 외부 | — | 아니요 |
| 사용 | 내부 | snc_internal 및 하나 이상의 추가 역할이 있어야 합니다. | 예 |
| 사용 안 함 | 모든 사용자 | 역할이 하나 이상 있어야 합니다. | 예 |
스크립팅 거버넌스 도구
스크립팅 거버넌스 도구는 관리자가 ServiceNow 플랫폼에서 스크립팅 액세스를 관리하는 데 도움이 되는 대시보드입니다. 조건부 스크립트 작성기 그룹의 구성원인 사용자에 대한 가시성을 제공하여 인스턴스에서 스크립팅할 수 있는 사용자 수를 명확하게 파악할 수 있습니다.
또한 스크립팅 역할이 포함된 그룹과 이를 하위 역할로 포함하는 역할을 볼 수 있습니다. 도구를 통해 스크립팅 액세스를 관리하는 방법에는 두 가지가 있습니다.
- 수동 구성: 조건부 스크립트 작성기 그룹에서 사용자를 수동으로 추가하거나 제거하여 스크립팅 접근 권한이 있는 사용자를 제어합니다.
- 스크립팅한 사용자 스캔: 인스턴스를 스캔하여 특정 시간 범위 내에 스크립팅한 사용자를 찾습니다. 스캔은 감사 로그를 쿼리하고 스크립트 필드가 있는 테이블에 대해 쓰기 또는 업데이트를 수행한 사용자를 식별합니다.