OAuth JSON Web トークンベアラー権限許可の構成

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • OAuth JSON Web トークン (JWT) ベアラー権限許可を構成すると、ユーザーの操作なしでトークンベースの認証が保護されます。署名付き JWT でセキュリティを強化し、繰り返しログイン試行をなくすことで認証のオーバーヘッドを削減します。

    始める前に

    必要なロール: oauth_admin、mi_admin、admin

    JSON Web トークン (JWT) でサポートされているアルゴリズム: RS256、RS384、RS512、ES256、ES384、ES512。

    手順

    1. 移動先 マシン ID コンソール > > インバウンド統合 > > 新しい統合 > JWT ベアラー権限許可.
    2. [詳細] フォームのテキストフィールドを適切な情報で更新します。
      表 : 1. [詳細] フォーム
      フィールド 説明
      Name (名前) JWT OAuth アクセスが必要なアプリケーションを識別する一意の名前
      クライアント ID 自動生成された一意のアプリケーション ID。システムは、このフィールドの値を使用して公開鍵または共有鍵を取得し、JWT を検証します。このフィールドの値は、JWT の発行者要求および対象者要求の値と一致する必要があります。
      クライアントシークレット インスタンスとクライアントアプリケーションまたは Web サイトの両方が、相互通信を許可するために使用する共有シークレット文字列。インスタンスでクライアントシークレットを自動生成するには、このフィールドを空白のままにします。既存のクライアントシークレットを表示するには、ロックアイコンを選択します。
      ユーザーフィールド JWT の件名要求の値を照合するためにシステムが使用するユーザー (sys_user) テーブル内のフィールド。

      例:

      サブジェクト要求の値が user.name@example.com のトークンを追加する場合は、[ ユーザーフィールド ] を [ メール] に設定します。このフィールドは、メールフィールドで user.name@example.com の値を検索し、一致するユーザーレコードを受信要求で使用するようにシステムに指示します。
      JTI 検証を有効化 トークン交換のたびに新しいトークンを要求する場合に選択します。

      デフォルト:オン
      JWKS URL JSON Web キー設定 URL。これは、JSON 形式の公開鍵のコレクションです。ID プロバイダーは、クライアントアプリケーションとサービスがキーを取得して JSON Web トークン (JWT) の署名を検証できるように、既知の URL で JWKS を公開します。
      JTI 請求 各トークンの一意の識別子。ServiceNow はこの要求を使用して、トークンが再利用されていないことを確認することで、トークンの再生を検出して防止します。
      コメント 関連するコメントを追加します。
      JWT 検証者マップ ID プロバイダー、検証方法 (JWKS URL や証明書など)、および ServiceNow ユーザーフィールドへの JWT 要求のマッピングを指定します。
      プラスアイコンをクリックして、マップを追加または編集します。[JWT 検証者マップ] ページで次の詳細を入力します。
      • 名前:JWT 検証者マップ構成の一意の名前。
      • アプリケーション:検証者マップが使用されるアプリケーション。
      • kid (キー ID):JWT 署名の検証に使用されるキーの識別子。
      • システム証明書:トークンの検証に使用される ServiceNow 証明書レコード
      • 共有キー:トークンの検証に使用される対称キー。
      Active (アクティブ) チェックボックスをオンにすると、OAuth アプリケーションがアクティブになります。
    3. [詳細オプション (オプション)] フォームのテキストフィールドを適切な情報で更新します。
      表 : 2. 詳細オプション (オプション) フォーム
      フィールド 説明
      トークン制限の適用 認証プロファイルを有効にするように設定された API でのみトークンの使用を有効にする場合に選択します。API アクセスポリシーを使用してアクセス許可を設定できます。

      デフォルト:未選択。
      JWKS キャッシュ有効期間 ServiceNow が ID プロバイダーからの JSON Web キーセット (JWKS) をキャッシュする期間 (分)。
      アクセストークンの有効期間 アクセストークンが期限切れになるまで有効な期間 (秒)。
      クロックスキュー トークンの生成と検証に関連するサーバーまたはデバイスのシステム クロックにわずかな違いがあると、時間的制約のある要求を検証するときに問題が発生する可能性があります。上記の時間を調整します。デフォルト値:0 秒。
    4. [認証スコープ (オプション)] フォームのテキストフィールドを適切な情報で更新します。
      注:
      認証スコープを選択すると、関連するすべての API が [認証の制限] テキスト ボックスに自動的に入力されます。
      表 : 3. 認証スコープフォーム
      フィールド 説明
      認証スコープ アプリケーションのアクセスレベル。認証スコープは、アクセストークンが API またはデータに対して実行できるアクションを制限します。
      制限認証 認証を制限する API の名前。
      1. [ 別の行を追加 ] を選択して、認証スコープを追加します。
      2. [ 新しい認証スコープの作成 ] を選択して、新しい認証スコープを追加します。
        [ スコープ] フィールド のテキストボックスに認証スコープの名前を入力して、新しく作成した認証スコープを選択します。新しい認証スコープに関連付ける必要がある API を手動で追加および編集できます。
        注:
        [認証スコープ] メニューから API を追加または編集すると、同じ認証スコープに関連付けられているすべての OAuth エンティティに影響します。
    5. [Save (保存)] を選択します。
      新しい OAuth JSON Web トークンベアラー権限許可が作成されます。
    6. 検索項目 すべて > インバウンド統合 > アプリケーションレジストリ をクリックして、新しく作成された JWT ベアラー権限許可を表示します。