証明書ベースの認証の設定

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む6読むのに数分

    • ユーザーインターフェイスベースのログインまたは受信 Web サービスの相互認証を設定します。

    始める前に

    必要なロール:admin

    インスタンスで ADCv2 ロードバランサーを使用していることを確認します。詳細は、ADCv2 移行に関するナレッジ記事を参照してください。インスタンスで ADCv2 ロードバランサーを使用していない場合は、Now Support にお問い合わせください。

    手順

    証明書ベースの認証を設定する目的:
    • エンドユーザーが PIV または CAC カードを使用して Now Platform または サービスポータル に安全にログインできるようにするため。証明書ベースの認証を有効にした後、PEM 証明書を自己登録するか、管理者が証明書をマッピングすることができます。「証明書ベースの認証を使用したログイン」を参照してください。
    • 受信 Web サービスの相互認証を有効にするため。証明書ベースの認証が設定されると、システムでは提供された証明書を使用して、ServiceNow REST API および SOAP API にアクセスするために要求を相互認証します。

    証明書ベースの認証のアクティブ化

    admin ロールを持っている場合は、 Now Platform の 証明書ベースの認証プラグイン (com.glide.auth.mutual) をアクティブ化できます。

    始める前に

    必要なロール:admin

    このタスクについて

    次の テーブルが証明書ベースの認証とともにインストールされます。
    • sys_user_certificate
    • sys_ca_certificate
    • sys_ca_certificate_api_track

    手順

    1. 移動先 すべて > システムアプリケーション > 利用可能なすべてのアプリケーション > すべて.
    2. フィルター基準と検索バーを使用して Certificate-based authentication プラグイン (com.glide.auth.mutual) を検索します。

      名前または ID でプラグインを検索できます。プラグインが見つからない場合は、ServiceNow 担当者から要求する必要があります。

    3. [インストール] を選択して、[プラグインをアクティブにする] ダイアログボックスで、[アクティブ化] をクリックします。
      注:
      ドメイン分離と代理管理者がインスタンスで有効になっている場合、管理ユーザーはグローバルドメインに含まれている必要があります。それ以外の場合、次のエラーが表示されます: 別の操作が実行されているため、アプリケーションのインストールは利用できません: <プラグイン名> のプラグインの有効化。

    CA 証明書の登録

    ルート証明書または中間証明書を登録して、認証に使用できるようにします。

    始める前に

    必要なロール:管理者

    手順

    1. 移動先 すべて > 証明書ベースの認証 > CA 証明書チェーン.
    2. [新規] をクリックします。
    3. フォームのフィールドに入力します。
      表 : 1. [相互認証 CA 外部審査済み書] フォーム
      フィールド 説明
      名前 証明書を識別する名前
      有効期限通知 証明書の有効期限が近づいたときにユーザーに警告するオプション。
      期限切れ時に通知 証明書の有効期限が切れたときに通知を受信するユーザーのリスト。
      有効期限切れ前に警告 証明書の有効期限が切れる前に通知を送信する日数。
      有効 クライアント証明書をアクティブにするオプション。
      フォーマット PEM
      タイプ 証明書のタイプ。次のオプションが含まれます。
      • CA 証明書:ルート CA 証明書。チェーンに中間証明書を含めることもできます。CA 証明書は自動的にロードバランサーと同期されます。できるだけこのオプションを使用して、チェーン内の必要な証明書が欠落しないようにしてください。
      • 中間証明書:証明書チェーン内の中間証明書。この証明書はインスタンスにのみ残り、ロードバランサーとは同期されません。このオプションは、既存のチェーンに中間証明書を追加する必要がある場合にのみ使用します。
      簡単な説明 ユーザーのクライアント証明書の簡単な説明。
      注:
      証明書のアップロード中に、読み取り専用フィールドの [有効開始日][有効期限][数日中に期限切れ (Expires in days)][発行者][件名][証明書チェーン]、および [PEM 証明書] が抽出されて自動入力されます。
    4. [送信] をクリックします。
    5. オプション: 証明書を検証するには、[ストア/証明書を検証] をクリックします。

    PEM 証明書をユーザーにマップ

    PEM 証明書をユーザーにマップし、ユーザーが PIV または CAC カードを使用してログインしたり、受信要求を認証したりできるようにします。複数の PEM 証明書をユーザーにマップできます。

    始める前に

    • 必要なロール:admin
    • ユーザーのプライバシー拡張メール (PEM) 証明書があることを確認します。
    注:
    PEM 証明書をユーザー構成にマッピングすると、「証明書の検証」が失敗します。これは、PEM 証明書が保存されていないためです。

    手順

    1. 移動先 すべて > 証明書ベースの認証 > ユーザーから証明書へのマッピング をクリックし、「 新規」をクリックします。
    2. フォームのフィールドに入力します。
      表 : 2. [ユーザークライアント外部審査済み書] フォーム
      フィールド 説明
      名前 ユーザーのクライアント証明書の名前
      有効期限通知 証明書の有効期限が近づいたときにユーザーに警告するオプション。
      有効期限切れ前に警告 証明書の有効期限が切れる前に通知を送信する日数。
      期限切れ時に通知 証明書の有効期限が切れたときに通知を受信するユーザーのリスト。
      有効 クライアント証明書をアクティブにするオプション。
      ユーザー クライアント証明書にマップされているユーザー。

      システムは、受信要求または証明書登録からクライアント証明書を受信した後、このフィールドで指定されたユーザーを使用して要求を実行するセッションを開始します。
      簡単な説明 ユーザーのクライアント証明書の簡単な説明。
      フォーマット Privacy Enhanced Mail (PEM) 形式は、base-64 でエンコードされた Distinguished Encoding Rules (DER) 証明書です。
      タイプ クライアント証明書。このフィールドは読み取り専用です。
      注:
      証明書のアップロード中に、読み取り専用フィールドの [有効開始日][有効期限][数日中に期限切れ (Expires in days)][発行者]、および [件名] が抽出されて自動入力されます。
    3. 添付ファイルアイコンをクリックして証明書をアップロードします。
    4. [送信] をクリックします。
      証明書が信頼できる認証局 (CA) からのものである場合、証明書が検証され、指定されたユーザーにマップされます。

    証明書ベースの認証プロパティの設定

    システムプロパティを使用して、証明書ベースの認証機能を有効または無効にします。

    始める前に

    必要なロール:管理者

    手順

    1. 移動先 すべて > 証明書ベースの認証 > プロパティ.
    2. フォームのフィールドに入力します。
      表 : 3. [証明書ベースの認証プロパティ (Certificate Based Authentication Properties)] フォーム
      プロパティ 説明
      外部審査済み書ベースの認証を有効にする ユーザーインターフェイスのログインと受信 Web サービスの両方に対して証明書ベースの認証を有効にするオプション

      デフォルト:true
      ログイン画面に [PIV / CAC でログイン (Log in with PIV/CAC)] オプションを表示します ログイン画面に [PIV/CAC カードでログイン] オプションを表示します。ユーザーがユーザーインターフェイスを使用して証明書ベースの認証を使用できるようにします。

      デフォルト値:false
      証明書ベースのログインの自動リダイレクトを有効にします 登録された証明書を選択して PIN を入力した後に、ユーザーが [PIV/CAC カードでログイン] をクリックする必要があるかどうかを決定します。アクティブ化すると、登録されたクライアント証明書を選択して PIN を入力した後に、ユーザーが自動的にログインされます。非アクティブ化すると、登録されたクライアント証明書を選択して PIN を入力した後に、ユーザーは [PIV/CAC カードでログイン] をクリックする必要があります。

      デフォルト値:false