スクリプティングガバナンスツールと条件付きスクリプトライターグループの概要 - Support and Troubleshooting

スクリプティングガバナンスツールと条件付きスクリプトライターグループの概要 Issue .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } 自動ユーザープロビジョニングの仕組みやスクリプティング権限の管理方法など、Zurich リリースで導入されたスクリプティングガバナンスツールと条件付きスクリプトライターグループについて理解します。

スクリプトガバナンスツールを使用すると、スクリプトおよびスクリプト可能フィールドを編集できるユーザーをきめ細かく制御できます。既存のアクセス権を維持するために、ユーザーは Zurich のアップグレード中に条件付きスクリプトライターグループに自動的に追加されます。この記事では、この機能の仕組みとその構成方法について説明します。

Release .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } Zurich リリース以降

Resolution .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } スクリプティングガバナンスツールとは何ですか? スクリプティングガバナンスツールでは、あらゆるタイプのスクリプトを編集できるユーザーをきめ細かく制御できます。*.[script] の複数の ACL は、ユーザーに snc_required_script_writer_permission ロールが明示的に割り当てられていない限り、スクリプトへのアクセスを拒否することで、スクリプト機能へのアクセスを制限します。

このツールは、ユーザーが実行可能コードを含む可能性のあるフィールドにデータを保存するアクションを監視します。それには次のようなものがあります。

ビジネスルール クライアントスクリプト スクリプトインクルード UI ポリシー バックグラウンドスクリプト スクリプトタグを許可する HTML フィールド その他のスクリプト可能要素 明示的なスクリプティングアーティファクトに対する変更のみを追跡する従来のコントロールとは異なり、スクリプティングガバナンスツールは、実行可能コンテンツを保持できるフィールドへの変更を監視します。

重要: 通常はフルアクセス権を持つアドミンであっても、条件付きスクリプトライターグループのメンバーであるか、snc_required_script_writer_permissionロールを持っていない限り、スクリプト可能要素を変更することはできません。

条件付きスクリプトライターグループとは何ですか? 条件付きスクリプトライターグループは、スクリプトおよびスクリプト可能フィールドを編集できるユーザーを制御します。このグループのメンバーには、snc_required_script_writer_permissionロールが付与されます。

Zurich のアップグレード中、以前のバージョンとの継続性を維持し、ユーザーがスクリプトを作成または編集するためのアクセス権を失うのを防ぐために、基準を満たすすべての現在のユーザーが自動的にこのグループに追加されました。

自動プロビジョニングはどのように機能しますか? システムプロパティ glide.security.scripting_role.auto_provisioning は、ユーザーを条件付きスクリプトライターグループに自動的に追加するかどうかを制御します。

true (デフォルト値) に設定した場合: ユーザーにはスクリプティング権限が自動的にプロビジョニングされます。 false に設定すると 自動割り当ては無効になります。アドミニストレーターは、スクリプティングアクセス権が必要なユーザーに手動でロールを付与する必要があります。 注意: このプロパティを false に設定すると、UI から true に戻すことはできません。自動プロビジョニングを再度有効にする必要がある場合は、「ワークアラウンド」セクションを参照してください。

グループに追加されるユーザーは誰ですか? 次のルールは、ユーザーが条件付きスクリプトライターグループに追加されるかどうかを決定します。

明示的なロールプラグインが有効になっている場合:

外部ユーザーはグループに追加されません。 内部ユーザーを含めるには、snc_internal以外に少なくとも1 つの追加ロールが必要です。 明示的なロールプラグインが無効になっている場合:

グループアサインの対象となるには、ユーザーが少なくとも 1 つのロールを持っている必要があります。

どのスケジュール済みジョブがプロビジョニングを管理しますか? sys_triggerの ケジュール済みジョブにより、条件付きスクリプトライターグループへのユーザーのプロビジョニングを管理します。

ユーザーを条件付きスクリプトライターグループに追加

このジョブは、Zurich へのアップグレード直後に、既存のユーザーの条件付きスクリプトライターグループへの初期プロビジョニングを実行します。 一度実行されると、プラットフォームによって自動的に無効になります。 その目的は、アップグレード後もすべての既存のユーザーが以前のレベルのスクリプティングアクセス権を保持していることを確認することです。 条件付きスクリプトライターでユーザーを更新

このジョブは、初期アップグレード後に進行中の自動プロビジョニングを処理します。 システムプロパティ glide.security.scripting_role.auto_provisioning が true に設定されている場合にのみ、ユーザーを条件付きスクリプトライターグループに追加します。 注: システムプロパティ glide.security.scripting_role.auto_provisioning は、最初のプロビジョニングジョブが完了した後に動的に作成されます。プロパティは実行時に作成されるため、インスタンスによって sys_ids が異なります。

これは既存のアクセスにどのように影響しますか? このロールは、既存のロールとアクセス制御の上位で機能します。テーブルやレコードへの追加のアクセスは許可されません。

例 1: 特定のテーブルのクライアントスクリプトまたはビジネスルールへのアクセス権を持たない ITIL ユーザーは、条件付きスクリプトライターグループに追加されてもアクセス権を得ることはできません。

例 2: スクリプトとビジネスルールにアクセスできるアドミンは、このロールを持っているか、このグループにアサインされていない限り、それらを編集できません。

例 3: HTML フィールドへのアクセス権を持ち、このロールを持たないユーザーは、フィールドを読み込むことはできますが、編集することはできません。

HTML フィールドが含まれているのはなぜですか? HTML フィールドには、スクリプトタグなどの実行可能コードを含めることができます。スクリプティングガバナンスツールは、ユーザーが実行可能コードを含む可能性のあるフィールドにコンテンツを保存するアクションを監視します。

このツールの目的は、意図に関係なく、スクリプト作成権限によって保護されたフィールドに書き込む人を特定することです。スキャンでは、HTML または実行可能コンテンツを保持できるその他のフィールドタイプを含むレコードを変更したユーザーを検出できます。

ダッシュボードで自動アサイン切り替えスイッチが機能しないのはなぜですか? スクリプティングガバナンスダッシュボードの自動アサインの切り替えに、実際のプロパティ値は反映されません。このトグルは、glide.security.scripting_role.auto_provisioning が true か false かに関係なく、非アクティブとして表示されます。これは、スクリプティングガバナンスツールの UI の欠陥が原因でしたが、オーストラリアのリリースで修正されています。

この問題を回避するには、バックグラウンドスクリプトで次のスクリプトを実行して自動プロビジョニング値を設定します。

SNC.ScriptingGovernanceUtils.forceAutoProvisioningPropertyUpdate(true);

注: 自動プロビジョニングを無効にするには true を false に、有効にするには true に置き換えます。

自動プロビジョニングを無効にした後、再度有効にするにはどうすればよいですか? 自動プロビジョニングプロパティを無効にし、再度有効にする必要がある場合は、バックグラウンドスクリプトで次のスクリプトを実行します。

SNC.ScriptingGovernanceUtils.forceAutoProvisioningPropertyUpdate(true);

これにより、自動プロビジョニングを有効にするためにプロパティがプログラムで再作成または更新されます。

スクリプティング権限を管理するための一般的なガイドライン 自動アサインプロパティを無効にし、スクリプティング機能を本当に必要とするユーザーを慎重に確認します。 より安全な環境を維持するために、スクリプティングアクセスを必要としないユーザーを条件付きスクリプトライターグループから削除します。 グループメンバーシップを定期的に監査して、適切なユーザーのみにスクリプティング権限があることを確認します。

Related Links .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #00718f; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: ; max-width: ; width: ; height: ; } } <a href="https://www.servicenow.com/docs/bundle/zurich-platform-security/page/administer/security/concept/scripting-governance.html?_ga=2.251061121.68809https://www.servicenow.com/docs/bundle/zurich-platform-security/page/administer/security/concept/scripting-governance.html?_ga=2.251061121.688091895.1760016226-843077663.17599989561895.1760016226-843077663.1759998956" target="_blank" rel="noopener noreferrer">スクリプトガバナンスツールのドキュメント

新しいユーザーが条件付きスクリプトライターグループに自動的に追加されることはありません