サードパーティポータルで使用される ServiceNow の Web コンポーネントを認証するための Web 埋め込み可能機能を保護します。

Web 埋め込み可能機能を使用すると、ServiceNow Web コンポーネントを ServiceNow の外側にある外部 Web サイトに埋め込むことができます。これらの Web コンポーネントを使用すると、ユーザーが ServiceNow インターフェイスに直接アクセスしなくても、専用 API を使用して ServiceNow とやり取りし、リアルタイムのデータ交換や機能の使用が可能になります。

Web 埋め込み可能機能を使用するときは、ServiceNow Web コンポーネントに対して安全に認証し、ユーザーの高権限のロールを制限または削除することが重要です。認証時に埋め込みセッションが確立され、ServiceNow から Web コンポーネント内に情報が表示されます。

(/now/client/authenticate) API エンドポイントを使用してサードパーティからの要求が認証され、ServiceNow の埋めこみセッションが確立されます。

このエンドポイントを使用するには、認証要求の一部として、認証ヘッダーに有効なベアラー認証 JWT ベースのトークンを入れて送信する必要があります。有効なトークンが送信されると、セッションは埋め込みと見なされ、ユーザーのアドミンロールとセキュリティアドミンロールが削除されます。

さらに、ロールの降格を実行して、埋め込みセッション中に削除する必要があるロールを追加で構成できます。埋め込みセッションロールの構成の詳細については、「クライアントセッションアクセスロールの構成」を参照してください。

Web 埋め込み可能項目の構成の詳細については、「Configure Web Embeddables」を参照してください。

デフォルトでは、ポリシーの構成には [埋め込みセッション] フィルター基準のみ使用できます。Zero Trust アクセス (ZTA) プラグインを利用すると、IP、場所、ロール、グループ、ID プロバイダー属性などのフィルターを使用して、使い方をさらに拡張できます。これらのフィルターは、[クライアントセッションアクセスのロール構成] テーブルで作成されたポリシーに追加できます。これにより、アクセスがさらに複雑な制御に対応し、組み込みセッションを確立する際のセキュリティ体制が向上します。ZTA の詳細については、「ゼロトラストアクセス (ZTA)」を参照してください。

また、これらの追加のセキュリティ対策を実装して、ユーザーが Web コンポーネントを使用する際の権限をさらに強力に制御することもできます。

• 対応する OIDC (OAuth エンティティ) レコードのクライアントタイプを [埋め込み] に設定します。クライアントタイプを [埋め込み] に設定するには、Zero Trust アクセス (ZTA) プラグインをインストールする必要があります。
• アクセス制御 (ACL) のセキュリティ属性として IsEmbeddedSession を使用します。組み込みクライアントアクセス (com.glide.security.client_access) プラグインをインストールするときに、IsEmbeddedSession セキュリティ属性が追加されます。詳細については、「OOB (Out-of-Box) セキュリティ属性」を参照してください。