Richten Sie die zertifikatbasierte Authentifizierung ein

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Richten Sie die gegenseitige Authentifizierung für anwenderoberflächenbasierte Anmeldungen oder eingehende Webservices ein.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Überprüfen Sie, ob Ihre Instanz einen ADCv2-Lastenausgleichsmodul verwendet. Weitere Informationen finden Sie unter wissensartikel zur ADCv2-Migration . Wenn Ihre Instanz den ADCv2-Lastenausgleichsmodul nicht verwendet, wenden Sie sich an Now Support.

    Prozedur

    Richten Sie die zertifikatbasierte Authentifizierung ein, um:
    • Ermöglichen Sie Endanwendern, sich sicher bei anzumelden Now PlatformOder ServiceportalMit PIV- oder CAC-Karten. Nachdem die zertifikatbasierte Authentifizierung aktiviert ist, können Sie das PEM-Zertifikat selbst registrieren, oder ein Administrator kann das Zertifikat für Sie zuordnen. Weitere Informationen finden Sie unter Melden Sie sich mit zertifikatbasierter Authentifizierung an.
    • Aktivieren Sie die gegenseitige Authentifizierung für eingehende Webservices. Sobald die zertifikatbasierte Authentifizierung eingerichtet ist, verwendet das System die bereitgestellten Zertifikate, um sich gegenseitig Zugriffsanforderungen zu authentifizieren ServiceNowREST- und SOAP-APIs.

    Aktivieren Sie die zertifikatbasierte Authentifizierung

    Sie können das Plugin für die zertifikatbasierte Authentifizierung aktivieren ( com.glide.auth.mutual ) Für Now Platform Wenn Sie über die Administratorrolle verfügen.

    Vorbereitungen

    Erforderliche Rolle: admin.

    Warum und wann dieser Vorgang ausgeführt wird

    Die folgenden Tabellen werden mit installiert Zertifikatbasierte Authentifizierung :
    • sys_user_certificate
    • sys_CA_certificate
    • sys_ca_certificate_api_track

    Prozedur

    1. Navigieren zu Alle > Systemanwendungen > Alle verfügbaren Anwendungen > Allean.
    2. Suchen Sie Zertifikatbasierte Authentifizierung Plugin ( com.glide.auth.mutual ) Mithilfe der Filterkriterien und der Suchleiste.

      Sie können nach dem Plugin anhand seines Namens oder seiner ID suchen. Wenn Sie ein Plugin nicht finden können, müssen Sie es möglicherweise über anfordern ServiceNowPersonal.

    3. Wählen Sie Aus Installieren Um den Installationsprozess zu starten.
      Hinweis:
      Wenn Domänentrennung und delegierter Administrator in einer Instanz aktiviert sind, muss sich der administrative Anwender in befinden Global Domäne. Andernfalls wird der folgende Fehler angezeigt: Die Anwendungsinstallation ist nicht verfügbar, da ein anderer Vorgang ausgeführt wird: Plugin-Aktivierung für <plugin name>.
      Nach Abschluss der Installation wird eine Nachricht angezeigt. Informationen zu den mit einem Plugin installierten Komponenten finden Sie unter Suchen Sie Komponenten, die mit einer Anwendung installiert sind .

    Registrieren Sie das CA-Zertifikat

    Registrieren Sie Stammzertifikate oder Zwischenzertifikate, um sie für die Authentifizierung verfügbar zu machen.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Prozedur

    1. Navigieren zu Alle > Zertifikatsbasierte Authentifizierung > CA-Zertifikatkettean.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder im Formular aus.
      Tabelle : 1. CA-Zertifikatformular für gegenseitige Authentifizierung
      Feld Beschreibung
      Name Name zur Identifizierung des Zertifikats.
      Ablaufbenachrichtigung Option zum Warnen von Anwendern, wenn ein Zertifikat abläuft.
      Benachrichtigung bei Ablauf Liste der Anwender, die benachrichtigt werden sollen, wenn das Zertifikat abläuft.
      Tage vor Ablauf benachrichtigen Anzahl der Tage, in denen eine Benachrichtigung an Anwender gesendet wird, bevor ein Zertifikat abläuft.
      Aktiv Option zum Aktivieren des Client-Zertifikats.
      Format PEM
      Typ Typ des Zertifikats. Optionen umfassen:
      • CA-Zertifikat : Das Stamm-CA-Zertifikat. Kann auch Zwischenzertifikate in die Kette einschließen. CA-Zertifikate werden automatisch mit dem Lastenausgleichsmodul synchronisiert. Verwenden Sie diese Option, wenn möglich, um zu vermeiden, dass ein erforderliches Zertifikat in der Kette fehlt.
      • Zwischenzertifikat : Ein Zwischenzertifikat in der Zertifikatkette. Dieses Zertifikat verbleibt nur in der Instanz und wird nicht mit dem Lastenausgleichsmodul synchronisiert. Verwenden Sie diese Option nur, wenn Sie einer vorhandenen Kette ein Zwischenzertifikat hinzufügen müssen.
      Kurzbeschreibung Kurzbeschreibung des Anwenderclientzertifikats.
      Hinweis:
      Während des Zertifikathochladens werden die schreibgeschützten Felder, Gültig ab , Läuft Ab , Läuft in Tagen ab , Aussteller , Und Betreff , Zertifikatkette , Und PEM-Zertifikat Werden extrahiert und automatisch ausgefüllt.
    4. Klicken Sie auf Absenden.
    5. Wahlweise: Klicken Sie Auf Validieren Sie Speicher/Zertifikate Dient zum Validieren des Zertifikats.

    Ordnen Sie dem Anwender das PEM-Zertifikat zu

    Ordnen Sie Anwendern PEM-Zertifikate zu, damit sie sich mit PIV- oder CAC-Karten anmelden oder eingehende Anforderungen authentifizieren können. Sie können einem Anwender mehrere PEM-Zertifikate zuordnen.

    Vorbereitungen

    • Erforderliche Rolle: Administrator
    • Stellen Sie sicher, dass Sie über das PEM-Zertifikat (Privacy Enhanced Mail) des Anwenders verfügen.
    Hinweis:
    Nach der Konfiguration „PEM-Zertifikat der Anwenderkonfiguration zuordnen“ schlägt „Zertifikat verifizieren“ fehl. Dies liegt daran, dass das PEM-Zertifikat nicht gespeichert ist.

    Prozedur

    1. Navigieren zu Alle > Zertifikatsbasierte Authentifizierung > Anwender-zu-Zertifikat-Zuordnung Und klicken Sie auf Neu .
    2. Füllen Sie im Formular diese Felder aus:
      Tabelle : 2. Formular „Anwenderclientzertifikat“
      Feld Beschreibung
      Name Name des Anwenderclientzertifikats.
      Ablaufbenachrichtigung Option zum Warnen von Anwendern, wenn ein Zertifikat abläuft.
      Tage vor Ablauf benachrichtigen Anzahl der Tage, in denen eine Benachrichtigung an Anwender gesendet wird, bevor ein Zertifikat abläuft.
      Benachrichtigung bei Ablauf Liste der Anwender, die benachrichtigt werden sollen, wenn das Zertifikat abläuft.
      Aktiv Option zum Aktivieren des Client-Zertifikats.
      Anwender Anwender, der dem Client-Zertifikat zugeordnet ist.

      Das System empfängt das Clientzertifikat entweder von der eingehenden Anforderung oder Zertifikatregistrierung , Und verwendet dann den in diesem Feld angegebenen Anwender, um eine Sitzung zum Ausführen der Anforderung zu initiieren.
      Kurzbeschreibung Kurzbeschreibung des Anwenderclientzertifikats.
      Format Das PEM-Format (Privacy Enhanced Mail) ist ein Base-64-codiertes Zertifikat für Distinguished Encoding Rules (DER).
      Typ Client-Zertifikat Dieses Feld ist schreibgeschützt.
      Hinweis:
      Während des Zertifikathochladens werden die schreibgeschützten Felder, Gültig ab , Läuft Ab , Läuft in Tagen ab , Aussteller , Und Betreff Werden extrahiert und automatisch ausgefüllt.
    3. Klicken Sie auf das Symbol „Anhänge“, und laden Sie das Zertifikat hoch.
    4. Klicken Sie auf Absenden.
      Das Zertifikat wird validiert und dem angegebenen Anwender zugeordnet, wenn das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) stammt.

    Konfigurieren Sie zertifikatbasierte Authentifizierungseigenschaften

    Verwenden Sie Systemeigenschaften, um zertifikatbasierte Authentifizierungsfunktionen zu aktivieren oder zu deaktivieren.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Prozedur

    1. Navigieren zu Alle > Zertifikatsbasierte Authentifizierung > Eigenschaftenan.
    2. Füllen Sie die Felder im Formular aus.
      Tabelle : 3. Formular „zertifikatbasierte Authentifizierungseigenschaften“
      Eigenschaft Beschreibung
      Zertifikatbasierte Authentifizierung aktivieren Option zum Aktivieren der zertifikatbasierten Authentifizierung für Anwenderoberflächenanmeldungen und eingehende Webservices.

      Standard: Wahr
      Zeigen Sie die Option „mit PIV/CAC anmelden“ auf dem Anmeldebildschirm an Zeigt an Melden Sie sich mit PIV/CAC-Karte an Option auf dem Anmeldebildschirm. Ermöglicht Anwendern die Anmeldung mit zertifikatbasierter Authentifizierung über die Anwenderoberfläche.

      Standard: Falsch
      Automatische Weiterleitung für die zertifikatbasierte Anmeldung aktivieren Bestimmt, ob der Anwender auf klicken muss Melden Sie sich mit PIV/CAC-Karte an Nachdem Sie ein registriertes Zertifikat ausgewählt und die PIN eingegeben haben. Aktivieren Sie diese Option, um sich automatisch beim Anwender anzumelden, nachdem er ein registriertes Clientzertifikat ausgewählt und seine PIN eingegeben hat. Deaktivieren Sie diese Option, um zu erfordern, dass der Anwender auf klickt Melden Sie sich mit PIV/CAC-Karte an Nachdem er ein registriertes Client-Zertifikat ausgewählt und seine PIN eingegeben hat.

      Standard: Falsch