Configurer l’authentification basée sur certificat

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 5 minutes de lecture

    • Configurez l’authentification réciproque pour les connexions basées sur l’interface utilisateur ou les services Web entrants.

    Avant de commencer

    Rôle requis : admin

    Vérifiez que votre instance utilise un équilibreur de charge ADCv2. Pour plus d’informations, consultez l’article de labase de connaissances sur la migration ADCv2. Si votre instance n’utilise pas l’équilibreur de charge ADCv2, contactez Now Support.

    Procédure

    Configurez l’authentification basée sur certificat pour :
    • Autorisez les utilisateurs finaux à se connecter en toute sécurité à ou à l’aide des Now PlatformPortail de services cartes PIV ou CAC. Une fois l’authentification basée sur certificat activée, vous pouvez enregistrer automatiquement le certificat PEM ou un administrateur peut mapper le certificat pour vous. Consultez Se connecter à l’aide de l’authentification basée sur certificat.
    • Activez l’authentification réciproque pour les services Web entrants. Une fois l’authentification basée sur certificat configurée, le système utilise les certificats fournis pour authentifier mutuellement les demandes d’accès ServiceNow aux API REST et SOAP.

    Activer l’authentification basée sur certificat

    Vous pouvez activer le module d’extension Authentification basée sur certificat (com.glide.auth.mutual) si Now Platform vous disposez du rôle administrateur.

    Avant de commencer

    Rôle requis : admin.

    Pourquoi et quand exécuter cette tâche

    Les tables suivantes sont installées avec l’authentification basée sur certificat :
    • sys_user_certificate
    • sys_ca_certificate
    • sys_ca_certificate_api_track

    Procédure

    1. Accédez à la Tout > Applications système > Toutes les applications disponibles > Tout.
    2. Recherchez le module d’extension d’authentification basée sur certificat (com.glide.auth.mutual) à l’aide des critères de filtre et de la barre de recherche.

      Vous pouvez rechercher le module d'extension par son nom ou son ID. Si vous ne trouvez pas le module d'extension souhaité, vous devrez peut-être le demander au personnel ServiceNow.

    3. Sélectionnez Installer pour lancer le processus d'installation.
      Remarque :
      Lorsque Séparation de domaine et l'administrateur délégué sont activés dans une instance, l'utilisateur administratif doit être dans le domaine global. Sinon, l'erreur suivante s'affiche : L'installation de l'application n'est pas disponible, car une autre opération est en cours d'exécution : activation du module d'extension pour <plugin name>.
      Un message s'affiche une fois l'installation terminée. Pour plus d’informations sur les composants installés avec un module d’extension, voir Recherche des composants installés avec une application.

    Enregistrer le certificat de l’autorité de certification

    Enregistrez les certificats racines ou intermédiaires pour qu'ils soient disponibles à l'authentification.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Accédez à la Tout > Authentification basée sur certificat > Chaîne de certificats CA.
    2. Cliquez sur Nouveau.
    3. Renseignez les champs suivants du formulaire :
      Tableau 1. Formulaire Certificat d’authentification de l’autorité de certification mutuelle
      Champ Description
      Nom Nom permettant d’identifier le certificat.
      Notification d'échéance Option permettant d’avertir les utilisateurs lorsqu’un certificat est sur le point d’expirer.
      Notification à l'expiration Liste des utilisateurs à notifier lorsque le certificat expire.
      Avertissement avant l'expiration (en jours) Nombre de jours pendant lesquels une notification est envoyée aux utilisateurs avant l’expiration d’un certificat.
      Actif Option permettant d’activer le certificat client.
      Format PEM
      Type Type de certificat. Les options incluent :
      • Certificat de l’autorité de certification : certificat de l’autorité de certification racine. Peut également inclure des certificats intermédiaires dans la chaîne. Les certificats CA sont automatiquement synchronisés avec l’équilibreur de charge. Utilisez cette option dans la mesure du possible pour éviter de manquer un certificat requis dans la chaîne.
      • Certificat intermédiaire : certificat intermédiaire dans la chaîne de certifications. Ce certificat reste sur l’instance uniquement et n’est pas synchronisé avec l’équilibreur de charge. N’utilisez cette option que si vous devez ajouter un certificat intermédiaire à une chaîne existante.
      Description brève Brève description du certificat client de l’utilisateur.
      Remarque :
      Pendant le chargement du certificat, les champs en lecture seule Valide à partir de, Expire,Expire dans les jours, Émetteur et Objet, Chaîne du certificat et Certificat PEM sont extraits et renseignés automatiquement.
    4. Cliquez sur Envoyer.
    5. Facultatif : Cliquez sur Valider les banques/certificats pour valider le certificat.

    Mapper le certificat PEM à l’utilisateur

    Mappez les certificats PEM aux utilisateurs pour leur permettre de se connecter à l’aide de cartes PIV ou CAC ou d’authentifier les demandes entrantes. Vous pouvez mapper plusieurs certificats PEM à un utilisateur.

    Avant de commencer

    • Rôle requis : admin
    • Assurez-vous d’avoir le certificat PEM (Privacy Enhanced Mail) de l’utilisateur.
    Remarque :
    Après avoir mappé le certificat PEM à la configuration utilisateur, la « vérification du certificat » échoue. Cela est dû au fait que le certificat PEM n’est pas stocké.

    Procédure

    1. Accédez à la Tout > Authentification basée sur certificat > Utilisateur vers Mappage de certificat et cliquez sur Nouveau.
    2. Renseignez les champs suivants du formulaire :
      Tableau 2. Formulaire Certificat client de l’utilisateur
      Champ Description
      Nom Nom du certificat client de l’utilisateur.
      Notification d'échéance Option permettant d’avertir les utilisateurs lorsqu’un certificat est sur le point d’expirer.
      Avertissement avant l'expiration (en jours) Nombre de jours pendant lesquels une notification est envoyée aux utilisateurs avant l’expiration d’un certificat.
      Notification à l'expiration Liste des utilisateurs à notifier lorsque le certificat expire.
      Actif Option permettant d’activer le certificat client.
      Utilisateur Utilisateur mappé au certificat client.

      Le système reçoit le certificat client à partir de la demande entrante ou de l’enregistrement du certificat, puis utilise l’utilisateur désigné dans ce champ pour lancer une session afin d’exécuter la demande.
      Description brève Brève description du certificat client de l’utilisateur.
      Format Le format PEM (Privacy Enhanced Mail) est un certificat DER (Distinguished Encoding Rules) codé en base 64.
      Type Cert. client Ce champ est en lecture seule.
      Remarque :
      Pendant le chargement du certificat, les champs en lecture seule Valide à partir de, Expire,Expire dans les jours, Émetteur et Objet sont extraits et renseignés automatiquement.
    3. Cliquez sur l’icône Pièces jointes et chargez le certificat.
    4. Cliquez sur Envoyer.
      Le certificat est validé et mappé à l’utilisateur spécifié si le certificat provient d’une autorité de certification (CA) approuvée.

    Configurer les propriétés d’authentification basée sur certificat

    Utilisez les propriétés système pour activer ou désactiver les fonctionnalités d’authentification basées sur certificat.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Accédez à la Tout > Authentification basée sur certificat > Propriétés.
    2. Renseignez les champs suivants du formulaire :
      Tableau 3. Formulaire Propriétés de l’authentification basée sur certificat
      Propriété Description
      Activer l'authentification basée sur certificat Option permettant d’activer l’authentification basée sur certificat pour les connexions à l’interface utilisateur et les services Web entrants.

      Par défaut : true
      Afficher l’option « Se connecter avec PIV/CAC » sur l’écran de connexion Affiche l’option Se connecter avec la carte PIV/CAC sur l’écran de connexion. Permet aux utilisateurs de se connecter à l’aide de l’authentification basée sur certificat à l’aide de l’interface utilisateur.

      Valeur par défaut : false
      Activer la redirection automatique pour la connexion basée sur certificat Détermine s’il faut exiger que l’utilisateur clique sur Se connecter avec la carte PIV/CAC après avoir sélectionné un certificat enregistré et saisi son code PIN. Activez cette option pour connecter automatiquement l’utilisateur une fois qu’il a sélectionné un certificat client enregistré et saisi son code PIN. Désactivez pour exiger que l’utilisateur clique sur Se connecter avec la carte PIV/CAC après avoir sélectionné un certificat client enregistré et saisi son code PIN.

      Valeur par défaut : false