Configurer l’authentification basée sur certificat

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Configurez l’authentification réciproque pour les connexions basées sur l’interface utilisateur ou les services Web entrants.

    Avant de commencer

    Rôle requis : administrateur

    Vérifiez que votre instance utilise un équilibreur de charge ADCv2. Pour plus d’informations, consultez l’article de labase de connaissances Migration ADCv2. Si votre instance n’utilise pas l’équilibreur de charge ADCv2, contactez Now Support.

    Procédure

    Configurez l’authentification basée sur certificat pour :
    • Autorisez les utilisateurs finaux à se connecter en toute sécurité au ou Portail de services à l’aide de Now Platform cartes PIV ou CAC. Une fois l’authentification basée sur certificat activée, vous pouvez enregistrer vous-même le certificat PEM ou un administrateur peut mapper le certificat pour vous. Consultez Se connecter à l’aide de l’authentification basée sur certificat.
    • Activez l’authentification réciproque pour les services Web entrants. Une fois l’authentification basée sur certificat configurée, le système utilise les certificats fournis pour s’authentifier mutuellement les demandes d’accès aux ServiceNow API REST et SOAP.

    Activer l’authentification basée sur certificat

    Vous pouvez activer le module d’extension d’authentification basée sur certificat (com.glide.auth.mutual) si Now Platform vous disposez du rôle administrateur.

    Avant de commencer

    Rôle requis : admin.

    Pourquoi et quand exécuter cette tâche

    Les tables suivantes sont installées avec l’authentification basée sur certificat :
    • sys_user_certificate
    • sys_ca_certificate
    • sys_ca_certificate_api_track

    Procédure

    1. Accédez à Tout > Applications système > Toutes les applications disponibles > Toutes.
    2. Utilisez les critères de filtrage et la barre de recherche pour rechercher le module d’extension Certificate Based Authentication (com.glide.auth.mutual).

      Vous pouvez rechercher le module d'extension par son nom ou son ID. Si vous ne trouvez pas le module d'extension souhaité, vous devrez peut-être le demander au personnel ServiceNow.

    3. Sélectionnez Installer pour lancer le processus d'installation.
      Remarque :
      Lorsque Séparation de domaine et l'administrateur délégué sont activés dans une instance, l'utilisateur administratif doit être dans le domaine global. Sinon, l'erreur suivante s'affiche : L'installation de l'application n'est pas disponible, car une autre opération est en cours d'exécution : activation du module d'extension pour <plugin name>.
      Un message s'affiche une fois l'installation terminée.

    Enregistrer le certificat de l’autorité de certification

    Enregistrez les certificats racines ou intermédiaires pour qu'ils soient disponibles à l'authentification.

    Avant de commencer

    Rôle requis : administrateur

    Procédure

    1. Accédez à la Tout > Authentification basée sur certificat > Chaîne de certificats CA.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs suivants du formulaire :
      Tableau 1. Formulaire de certificat d’authentification de l’autorité de certification mutuelle
      Champ Description
      Nom Nom permettant d’identifier le certificat.
      Notification d'échéance Option permettant d’avertir les utilisateurs lorsqu’un certificat est sur le point d’expirer.
      Notification à l'expiration Liste des utilisateurs à notifier lorsque le certificat expire.
      Avertissement avant l'expiration (en jours) Nombre de jours pendant lesquels une notification est envoyée aux utilisateurs avant l’expiration d’un certificat.
      Actif Option permettant d’activer le certificat client.
      Format PEM
      Type Type de certificat. Les options incluent :
      • Certificat CA : certificat de l’autorité de certification racine. Peut également inclure des certificats intermédiaires dans la chaîne. Les certificats CA sont automatiquement synchronisés avec l’équilibreur de charge. Utilisez cette option lorsque cela est possible pour éviter de manquer un certificat requis dans la chaîne.
      • Certificat intermédiaire : un certificat intermédiaire dans la chaîne de certificats. Ce certificat reste sur l’instance uniquement et n’est pas synchronisé avec l’équilibreur de charge. N’utilisez cette option que si vous avez besoin d’ajouter un certificat intermédiaire à une chaîne existante.
      Description brève Brève description du certificat client de l’utilisateur.
      Remarque :
      Lors du chargement du certificat, les champs en lecture seule Valide à partir de, Expire,Expire dans jours, Émetteur et Objet, Chaîne de certificats et Certificat PEM sont extraits et renseignés automatiquement.
    4. Cliquez sur Envoyer.
    5. Facultatif : Cliquez sur Valider les magasins/certificats pour valider le certificat.

    Mapper le certificat PEM à l’utilisateur

    Mappez les certificats PEM aux utilisateurs pour leur permettre de se connecter à l’aide de cartes PIV ou CAC ou pour authentifier les demandes entrantes. Vous pouvez mapper plusieurs certificats PEM à un utilisateur.

    Avant de commencer

    • Rôle requis : administrateur
    • Assurez-vous de disposer du certificat PEM (Privacy Enhanced Mail) de l’utilisateur.
    Remarque :
    Une fois le certificat PEM mappé à la configuration utilisateur, « vérifier le certificat » échouera. Cela est dû au fait que le certificat PEM n’est pas stocké.

    Procédure

    1. Accédez à la Tout > Authentification basée sur certificat > Utilisateur vers Mappage de certificat et cliquez sur Nouveau.
    2. Renseignez les champs suivants du formulaire :
      Tableau 2. Formulaire Certificat client utilisateur
      Champ Description
      Nom Nom du certificat client de l’utilisateur.
      Notification d'échéance Option permettant d’avertir les utilisateurs lorsqu’un certificat est sur le point d’expirer.
      Avertissement avant l'expiration (en jours) Nombre de jours pendant lesquels une notification est envoyée aux utilisateurs avant l’expiration d’un certificat.
      Notification à l'expiration Liste des utilisateurs à notifier lorsque le certificat expire.
      Actif Option permettant d’activer le certificat client.
      Utilisateur Utilisateur mappé au certificat client.

      Le système reçoit le certificat client à partir de la demande entrante ou de l’enregistrement du certificat, puis utilise l’utilisateur désigné dans ce champ pour lancer une session afin d’exécuter la demande.
      Description brève Brève description du certificat client de l’utilisateur.
      Format Le format PEM (Privacy Enhanced Mail) est un certificat DER (Distinguished Encoding Rules) codé en base 64.
      Type Cert. client Ce champ est en lecture seule.
      Remarque :
      Lors du chargement du certificat, les champs en lecture seule Valide à partir de, Expire,Expire in days, Émetteur et Objet sont extraits et renseignés automatiquement.
    3. Cliquez sur l’icône Pièces jointes et chargez le certificat.
    4. Cliquez sur Envoyer.
      Le certificat est validé et mappé à l’utilisateur spécifié si le certificat provient d’une autorité de certification (CA) approuvée.

    Configurer les propriétés d’authentification basée sur certificat

    Utilisez les propriétés système pour activer ou désactiver les fonctionnalités d’authentification basée sur certificat.

    Avant de commencer

    Rôle requis : administrateur

    Procédure

    1. Accédez à la Tout > Authentification basée sur certificat > Propriétés.
    2. Renseignez les champs suivants du formulaire :
      Tableau 3. Formulaire Propriétés de l’authentification basée sur certificat
      Propriété Description
      Activer l'authentification basée sur certificat Option permettant d’activer l’authentification basée sur certificat pour les connexions à l’interface utilisateur et les services Web entrants.

      Valeur par défaut : true
      Afficher l’option « Se connecter avec PIV/CAC » sur l’écran de connexion Affiche l’option Se connecter avec la carte PIV/CAC sur l’écran de connexion. Permet aux utilisateurs de se connecter à l’aide de l’authentification basée sur certificat à l’aide de l’interface utilisateur.

      Valeur par défaut : false
      Activer la redirection automatique pour la connexion basée sur certificat Détermine s’il faut exiger que l’utilisateur clique sur Se connecter avec la carte PIV/CAC après avoir sélectionné un certificat enregistré et saisi son code PIN. Activez cette option pour connecter automatiquement l’utilisateur une fois qu’il a sélectionné un certificat client enregistré et saisi son code PIN. Désactivez cette option pour exiger que l’utilisateur clique sur Se connecter avec la carte PIV/CAC après avoir sélectionné un certificat client enregistré et entré son code PIN.

      Valeur par défaut : false