Richten Sie die zertifikatbasierte Authentifizierung ein

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Richten Sie die gegenseitige Authentifizierung für anwenderoberflächenbasierte Anmeldungen oder für eingehende Webservices ein.

    Vorbereitungen

    Erforderliche Rolle: admin

    Stellen Sie sicher, dass Ihre Instanz ein ADCv2-Lastenausgleichsmodul verwendet. Weitere Informationen finden Sie im Wissensartikel zurADCv2-Migration. Wenn Ihre Instanz nicht das Lastenausgleichsmodul ADCv2 verwendet, wenden Sie sich an Now Support.

    Prozedur

    Richten Sie die zertifikatbasierte Authentifizierung ein, um:
    • Ermöglichen Sie Endanwendern, sich mit PIV- oder CAC-Karten sicher bei Now Platform oder Serviceportal anzumelden. Nachdem die zertifikatbasierte Authentifizierung aktiviert wurde, können Sie das PEM-Zertifikat selbst registrieren, oder ein Administrator kann das Zertifikat für Sie zuordnen. Weitere Informationen finden Sie unter Melden Sie sich mit der zertifikatbasierten Authentifizierung an.
    • Aktivieren Sie die gegenseitige Authentifizierung für eingehende Webservices. Sobald die zertifikatbasierte Authentifizierung eingerichtet ist, verwendet das System die bereitgestellten Zertifikate, um Anforderungen für den Zugriff auf ServiceNow REST- und SOAP-APIs gegenseitig zu authentifizieren.

    Aktivieren Sie die Zertifikatbasierte Authentifizierung

    Wenn Sie die Administratorrolle innehaben, können Sie das Plugin für die zertifikatsbasierte Authentifizierung (com.glide.auth.mutual) für Now Platform aktivieren.

    Vorbereitungen

    Erforderliche Rolle: admin.

    Warum und wann dieser Vorgang ausgeführt wird

    Die folgenden Tabellen werden mit der zertifikatsbasierten Authentifizierunginstalliert:
    • sys_user_certificate
    • sys_ca_certificate
    • sys_ca_certificate_api_track

    Prozedur

    1. Navigieren Sie zu Alle > Systemanwendungen > Alle verfügbaren Anwendungen > Alle.
    2. Suchen Sie das Plugin „ Zertifikatbasierte Authentifizierung “ (com.glide.auth.mutual) mithilfe der Filterkriterien und der Suchleiste.

      Sie können nach dem Plugin anhand seines Namens oder seiner ID suchen. Wenn Sie kein Plugin finden können, müssen Sie es möglicherweise von einem Mitarbeiter von ServiceNow anfordern.

    3. Wählen Sie Installieren, um den Installationsprozess zu starten.
      Hinweis:
      Wenn die Domain Separation und der delegierte Administrator in einer Instanz aktiviert sind, muss sich der Administrator in der globalen Domäne befinden. Andernfalls wird der folgende Fehler angezeigt: Die Anwendungsinstallation ist nicht verfügbar, da ein anderer Vorgang ausgeführt wird: Plugin-Aktivierung für <Plugin-Name>.
      Nach Abschluss der Installation wird eine Meldung angezeigt.

    Registrieren Sie das CA-Zertifikat

    Registrieren Sie Stammzertifikate oder Zwischenzertifikate, um sie für die Authentifizierung verfügbar zu machen.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Navigieren zu Alle > Zertifikatsbasierte Authentifizierung > CA-Zertifikatkettean.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Zertifizierungszertifikat zur gegenseitigen Authentifizierung“.
      Feld Beschreibung
      Name Name zur Identifizierung des Zertifikats.
      Ablaufbenachrichtigung Option, um Benutzer zu warnen, wenn ein -Zertifikat abläuft.
      Benachrichtigung bei Ablauf Liste der Benutzer, die benachrichtigt werden sollen, wenn das Zertifikat abläuft.
      Tage vor Ablauf benachrichtigen Anzahl der Tage, in denen eine Benachrichtigung an Benutzer gesendet wird, bevor ein Zertifikat abläuft.
      Aktiv Option zum Aktivieren des Client-Zertifikats.
      Format PEM
      Typ Typ des Zertifikats. Verfügbare Optionen:
      • CA-Zertifikat: Das CA-Stammzertifikat. Kann auch Zwischenzertifikate in die Kette aufnehmen. CA-Zertifikate werden automatisch mit dem Lastenausgleichsmodul synchronisiert. Verwenden Sie diese Option nach Möglichkeit, um zu vermeiden, dass ein erforderliches Zertifikat in der Kette fehlt.
      • Zwischenzertifikat: Ein Zwischenzertifikat in der Zertifikatkette. Dieses Zertifikat verbleibt nur auf der Instanz und wird nicht mit dem Lastenausgleichsmodul synchronisiert. Verwenden Sie diese Option nur, wenn Sie einer vorhandenen Kette ein Zwischenzertifikat hinzufügen müssen.
      Kurzbeschreibung Kurze Beschreibung des Benutzer-Client-Zertifikats.
      Hinweis:
      Während des Zertifikat-Uploads werden die schreibgeschützten Felder Gültig ab, Läuftab, Läuft ab in Tagenab, Aussteller und Betreff, Zertifikatsketteund PEM-Zertifikatextrahiert und automatisch ausgefüllt werden.
    4. Klicken Sie auf Absenden.
    5. Wahlweise: Klicken Sie auf Stores/Zertifikate validieren, um das Zertifikat zu validieren.

    Ordnen Sie das PEM-Zertifikat dem Anwender zu

    Ordnen Sie Anwendern PEM-Zertifikate zu, damit sie sich mit PIV- oder CAC-Karten anmelden oder eingehende Anforderungen authentifizieren können. Sie können einem Benutzer mehrere PEM-Zertifikate zuordnen.

    Vorbereitungen

    • Erforderliche Rolle: admin
    • Vergewissern Sie sich, dass Sie über das Privacy Enhanced Mail-Zertifikat (PEM) des Benutzers verfügen.
    Hinweis:
    Nach der Konfiguration zum Zuordnen des PEM-Zertifikats zum Anwender schlägt „Zertifikat verifizieren“ fehl. Dies liegt daran, dass das PEM-Zertifikat nicht gespeichert wird.

    Prozedur

    1. Navigieren zu Alle > Zertifikatsbasierte Authentifizierung > Anwender-zu-Zertifikat-Zuordnung und klicken Sie auf Neu.
    2. Füllen Sie diese Felder des Formulars aus:
      Tabelle : 2. Formular „Anwender-Client-Zertifikat“.
      Feld Beschreibung
      Name Name des Anwender-Client-Zertifikats.
      Ablaufbenachrichtigung Option, um Benutzer zu warnen, wenn ein -Zertifikat abläuft.
      Tage vor Ablauf benachrichtigen Anzahl der Tage, in denen eine Benachrichtigung an Benutzer gesendet wird, bevor ein Zertifikat abläuft.
      Benachrichtigung bei Ablauf Liste der Benutzer, die benachrichtigt werden sollen, wenn das Zertifikat abläuft.
      Aktiv Option zum Aktivieren des Client-Zertifikats.
      Anwender Benutzer, der dem Client-Zertifikat zugeordnet ist.

      Das System empfängt das Client-Zertifikat entweder von der eingehenden Anforderung oder von der Zertifikatregistrierungund verwendet dann den in diesem Feld angegebenen Benutzer, um eine Sitzung zum Ausführen der Anforderung zu initiieren.
      Kurzbeschreibung Kurze Beschreibung des Benutzer-Client-Zertifikats.
      Format Das Privacy Enhanced Mail-Format (PEM) ist ein base64-codiertes DER-Zertifikat (Distinguished Encoding Rules).
      Typ Client-Zert. Dieses Feld ist schreibgeschützt.
      Hinweis:
      Während des Zertifikat-Uploads werden die schreibgeschützten Felder Gültig ab, Läuftab, Läuftab in Tagenab, Aussteller und Betreff extrahiert und automatisch gefüllt werden.
    3. Klicken Sie auf das Anhangsymbol, und laden Sie das Zertifikat hoch.
    4. Klicken Sie auf Absenden.
      Das Zertifikat wird validiert und dem angegebenen Benutzer zugeordnet, wenn das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle stammt.

    Konfigurieren Sie Eigenschaften für die zertifikatbasierte Authentifizierung

    Verwenden Sie die Systemeigenschaften, um die Funktionen der zertifikatsbasierten Authentifizierung zu aktivieren bzw. zu deaktivieren.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Navigieren zu Alle > Zertifikatsbasierte Authentifizierung > Eigenschaftenan.
    2. Füllen Sie die Felder des Formulars aus.
      Tabelle : 3. Formular „Eigenschaften der zertifikatsbasierten Authentifizierung“.
      Eigenschaft Beschreibung
      Zertifikatbasierte Authentifizierung aktivieren Option zum Aktivieren der zertifikatbasierten Authentifizierung für Anmeldungen über die Anwenderoberfläche und für eingehende Webservices.

      Standardwert: true
      Option „Mit PIV/CAC anmelden“ im Anmeldebildschirm anzeigen Zeigt die Option Mit PIV/CAC-Karte anmelden auf dem Anmeldebildschirm an. Ermöglicht Benutzern das Anmelden mit zertifikatbasierter Authentifizierung über die -Anwenderoberfläche.

      Standardwert: false
      Automatische Weiterleitung für die zertifikatbasierte Anmeldung aktivieren Bestimmt, ob der Anwender auf Mit PIV/CAC-Karte anmelden klicken muss, nachdem er ein registriertes Zertifikat ausgewählt und die PIN eingegeben hat. Aktivieren Sie diese Option, um den Benutzer automatisch anzumelden, nachdem er ein registriertes Client-Zertifikat ausgewählt und die PIN eingegeben hat. Deaktivieren Sie diese Option, damit der Anwender auf Mit PIV/CAC-Karte anmelden klicken muss, nachdem er ein registriertes Client-Zertifikat ausgewählt und die PIN eingegeben hat.

      Standardwert: false