Configurer l’authentification basée sur certificat

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 5 minutes de lecture

    • Configurez l’authentification réciproque pour les connexions basées sur l’interface utilisateur ou les services Web entrants.

    Avant de commencer

    Rôle requis : admin

    Vérifiez que votre instance utilise un équilibreur de charge ADCv2. Pour plus d’informations, consultez l’article de labase de connaissances Migration ADCv2. Si votre instance n’utilise pas l’équilibreur de charge ADCv2, contactez Now Support.

    Procédure

    Configurez l’authentification basée sur certificat pour :
    • Autorisez les utilisateurs finaux à se connecter en toute sécurité à ou Now PlatformPortail de services à l’aide de cartes PIV ou CAC. Une fois l’authentification basée sur certificat activée, vous pouvez enregistrer vous-même le certificat PEM ou un administrateur peut mapper le certificat pour vous. Consultez Se connecter à l’aide de l’authentification basée sur certificat.
    • Activer l’authentification réciproque pour les services Web entrants. Une fois l’authentification basée sur certificat configurée, le système utilise les certificats fournis pour authentifier mutuellement les demandes d’accès ServiceNow aux API REST et SOAP.

    Activer l’authentification basée sur certificat

    Vous pouvez activer le module d’extension Certificate-based authentication (com.glide.auth.mutual) si Now Platform vous disposez du rôle admin.

    Avant de commencer

    Rôle requis : admin.

    Pourquoi et quand exécuter cette tâche

    Les tables suivantes sont installées avec l’authentification basée sur certificat :
    • sys_user_certificate
    • sys_ca_certificate
    • sys_ca_certificate_api_track

    Procédure

    1. Accédez à la Tout > Applications système > Toutes les applications disponibles > Tout.
    2. Recherchez le module d’extension Certificate-based authentication (com.glide.auth.mutual) à l’aide des critères de filtre et de la barre de recherche.

      Vous pouvez rechercher le module d'extension par son nom ou son ID. Si vous ne trouvez pas le module d'extension souhaité, vous devrez peut-être le demander au personnel ServiceNow.

    3. Cliquez sur Installer, puis sur Activer dans la boîte de dialogue Activer le module d'extension.
      Remarque :
      Lorsque Séparation de domaine et l'administrateur délégué sont activés dans une instance, l'utilisateur administratif doit être dans le domaine global. Sinon, l'erreur suivante s'affiche : L'installation de l'application n'est pas disponible, car une autre opération est en cours d'exécution : activation du module d'extension pour <plugin name>.

    Enregistrer le certificat de l’autorité de certification

    Enregistrez les certificats racines ou intermédiaires pour qu'ils soient disponibles à l'authentification.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Accédez à la Tous > Authentification basée sur certificat > Chaîne de certificats CA.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs suivants du formulaire :
      Tableau 1. Formulaire Certificat d’authentification de l’autorité de certification mutuelle
      Champ Description
      Nom Nom permettant d’identifier le certificat.
      Notification d'échéance Option permettant d’avertir les utilisateurs lorsqu’un certificat est sur le point d’expirer.
      Notification à l'expiration Liste des utilisateurs à notifier lorsque le certificat expire.
      Avertissement avant l'expiration (en jours) Nombre de jours lorsqu’une notification est envoyée aux utilisateurs avant l’expiration d’un certificat.
      Actif Option permettant d’activer le certificat client.
      Format PEM
      Type Type de certificat. Les options incluent :
      • Certificat CA : certificat de l’autorité de certification racine. Peut également inclure des certificats intermédiaires dans la chaîne. Les certificats d’autorité de certification sont automatiquement synchronisés avec l’équilibreur de charge. Dans la mesure du possible, utilisez cette option pour éviter d’omettre un certificat requis dans la chaîne.
      • Certificat intermédiaire : certificat intermédiaire dans la chaîne de certificats. Ce certificat reste uniquement sur l’instance et n’est pas synchronisé avec l’équilibreur de charge. Utilisez cette option uniquement si vous avez besoin d’ajouter un certificat intermédiaire à une chaîne existante.
      Description brève Brève description du certificat client utilisateur.
      Remarque :
      Lors du chargement du certificat, les champs en lecture seule (Date de début de validité, Expire,Expire in days, Issuer et Objet), Chaîne du certificat et Certificat PEM sont extraits et renseignés automatiquement.
    4. Cliquez sur Envoyer.
    5. Facultatif : Cliquez sur Valider les magasins/certificats pour valider le certificat.

    Mapper le certificat PEM à l’utilisateur

    Mappez les certificats PEM aux utilisateurs pour leur permettre de se connecter à l’aide de cartes PIV ou CAC ou d’authentifier les demandes entrantes. Vous pouvez mapper plusieurs certificats PEM à un utilisateur.

    Avant de commencer

    • Rôle requis : admin
    • Assurez-vous de disposer du certificat PEM (Privacy Enhanced Mail) de l’utilisateur.
    Remarque :
    Après avoir mappé le certificat PEM à la configuration utilisateur, la « vérification du certificat » échouera. Cela est dû au fait que le certificat PEM n’est pas stocké.

    Procédure

    1. Accédez à la Tous > Authentification basée sur certificat > Utilisateur vers Mappage de certificat et cliquez sur Nouveau.
    2. Renseignez les champs suivants du formulaire :
      Tableau 2. Formulaire Certificat client utilisateur
      Champ Description
      Nom Nom du certificat client de l’utilisateur.
      Notification d'échéance Option permettant d’avertir les utilisateurs lorsqu’un certificat est sur le point d’expirer.
      Avertissement avant l'expiration (en jours) Nombre de jours lorsqu’une notification est envoyée aux utilisateurs avant l’expiration d’un certificat.
      Notification à l'expiration Liste des utilisateurs à notifier lorsque le certificat expire.
      Actif Option permettant d’activer le certificat client.
      Utilisateur Utilisateur mappé au certificat client.

      Le système reçoit le certificat client à partir de la demande entrante ou de l’enregistrement du certificat, puis utilise l’utilisateur désigné dans ce champ pour lancer une session d’exécution de la demande.
      Description brève Brève description du certificat client utilisateur.
      Format Le format PEM (Privacy Enhanced Mail) est un certificat DER (Distinguished Encoding Rules) codé en base 64.
      Type Cert. client Ce champ est en lecture seule.
      Remarque :
      Lors du chargement du certificat, les champs en lecture seule Valide à partir de, Expire,Expire in days, Issuer et Subject (Émetteur) et Subject (Objet ) sont extraits et renseignés automatiquement.
    3. Cliquez sur l’icône des pièces jointes et chargez le certificat.
    4. Cliquez sur Envoyer.
      Le certificat est validé et mappé sur l’utilisateur spécifié si le certificat provient d’une autorité de certification (CA) approuvée.

    Configurer les propriétés de l’authentification basée sur certificat

    Utilisez les propriétés système pour activer ou désactiver les fonctionnalités d’authentification basée sur certificat.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Accédez à la Tous > Authentification basée sur certificat > Propriétés.
    2. Renseignez les champs suivants du formulaire :
      Tableau 3. Formulaire Propriétés d’authentification basée sur certificat
      Propriété Description
      Activer l'authentification basée sur certificat Option permettant d’activer l’authentification basée sur certificat pour les connexions à l’interface utilisateur et les services Web entrants.

      Valeur par défaut : true
      Afficher l’option « Se connecter avec PIV/CAC » sur l’écran de connexion Affiche l’option Se connecter avec la carte PIV/CAC sur l’écran de connexion. Permet aux utilisateurs de se connecter à l’aide de l’authentification basée sur certificat à l’aide de l’interface utilisateur.

      Valeur par défaut : false
      Activer la redirection automatique pour la connexion basée sur certificat Détermine s’il faut exiger que l’utilisateur clique sur Se connecter avec la carte PIV/CAC après avoir sélectionné un certificat enregistré et saisi son code PIN. Activez-le pour connecter automatiquement l’utilisateur après qu’il a sélectionné un certificat client enregistré et saisi son code PIN. Désactivez-la pour exiger que l’utilisateur clique sur Se connecter avec la carte PIV/CAC après avoir sélectionné un certificat client enregistré et saisi son code PIN.

      Valeur par défaut : false