ServiceNowにおいてセキュリティ関連の設定を行うために必要なsecurity_adminロールと、そのロールが必要になる操作の前に行うおまじないであるElevate role(ロールの昇格)について説明します。
privileged role(特権ロール)とは
特権ロールのイメージ
ServiceNowには、privileged role(特権ロール)という概念があります。通常のロールは付与されていれば常に効果を発揮し、例えばそのロールを持っていれば書き込み可能なテーブルにはいつでも書き込めます。一方、privileged role(特権ロール)は、付与しただけでは効果を発揮せず、evelevate role(ロールの昇格)という操作を行って初めて効果を発揮します。特権ロールは、高い権限を持つロールを利用する際に明示的にその権限で操作していることをユーザに認識させるための機能です。
付与しただけの状態では、OFFになっていて、ロールの昇格によってこれをONにするイメージです。
Elevate role(ロールの昇格)
特権ロールの効果をONにするための操作がElevate role(ロールの昇格)です。手順は次の通りです。
- 画面右上のアイコンのメニューからElevate role(ロールを昇格)をクリック
- 昇格するロールを選択し、”Update(更新)”ボタンを押下する
カスタムロールでも特権ロールに設定が可能
特権ロールはsecurity_adminなどに限定されている機能ではなく、ロール作成時に「Elevated privilage(権限の強化)」項目にチェックを付ける(trueにする)ことで、カスタムロールでも特権ロールにすることができます。
security_admin … 特権ロールの代表例
特権ロールの代表例がsecurity_adminです。次のようなセキュリティ関連の設定を行う場合に使います。
- ACLの設定
各種テーブルに対するCRUD権限を制御するACLを変更する際には、予めsecurity_adminロールへの昇格が必要です。 - Hight Security Setting
インスタンスのセキュリティに関わる一部のプロパティを設定する際には、予めsecurity_adminロールへの昇格が必要です。
security_adminを付与するときにもロールの昇格が必要
最後に一点補足として、よく「security_adminロールを付与できない!」という人が現れるのですが、別の人にsecurity_adminロールを付与するためには、予めロールの昇格を行っておく必要があります。
以上です。
コメント