外部認証情報ストレージを使用した MID サーバー経由の OAuth 2.0 認証

Zurich Platform のセキュリティ

Release

zurich

ft:locale

ja-JP

ft:publication_title

Zurich Platform のセキュリティ

ft:clusterId

psec

bundleId

psec

workflow

Platform

外部認証情報ストレージを使用した MID サーバー経由の OAuth 2.0 認証

リリースバージョン: Zurich

更新日 2025年07月31日

所要時間：2分

OAuth 2.0 認証情報 (クライアント ID とクライアントシークレット) を、ServiceNow インスタンスではなく、CyberArk ボールトに保存します。MID サーバーは、OAuth トークンを取得するために認証情報が必要なときに、CyberArk ボールトから取得します。トークンは MID サーバーに保存され、有効期限が切れると自動的に更新されます。

CyberArk Application Identity Management (AIM) 製品では、Privileged Account Security ソリューションを使用して、アプリケーション、スクリプト、または構成ファイルに組み込まれたアプリケーションパスワードを保存する必要性をなくします。さらに、この製品により、CyberArk ボールト内でこれらの非常に機密性の高いパスワードの保存、ログ記録、および管理を一元的に行うことができます。OAuth 2.0 認証情報を ServiceNow 認証情報レコードに直接保存するのではなく、CyberArk ボールトに保存するように構成できます。CyberArk の詳細については、「CyberArk 認証情報ストレージの統合」を参照してください。

MID サーバー要求の OAuth 2.0 認証のアーキテクチャ

アーキテクチャには ServiceNow インスタンスと、Application Identity Manager (AIM) クライアントおよび MID サーバーが構成される環境の 2 つの部分があります。環境の例としては、クラウドや顧客の環境などがあります。

MID サーバーと Application Identity Manager (AIM) クライアントは同じ環境上に構成する必要があり、Application Identity Manager (AIM) は CyberArk 外部ボールトとやり取りするように構成する必要があります。CyberArk 外部ボールトは、MID サーバーおよび Application Identity Manager (AIM) と同じ環境にホストすることも、別の環境にホストすることもできます。

ServiceNow インスタンスは、CyberArk ボールトに保存されている特定の OAuth 2.0 認証情報にマップする認証情報識別子を保持します。MID サーバーは、OAuth トークン要求を送信する前に、インスタンスから認証情報識別子を取得し、顧客提供の JAR ファイルを使用してその識別子を AIM クライアントに送信します。AIM クライアントは CyberArk ボールトに要求を送信します。CyberArk ボールトは、AIM クライアントを通じて OAuth 2.0 認証情報を MID サーバーに送り返します。MID サーバーは、OAuth 2.0 認証情報を受信した後、OAuth トークン要求をサードパーティ認証サーバーに送信します。トークン要求は、CyberArk に保存されるクライアントとクライアントシークレット、OAuth スコープ、インスタンスに保存されるトークン URL などの情報で構成されます。MID サーバーは、認証サーバーが OAuth トークンを発行すると、それをキャッシュメモリーに保存します。

注:

この機能は、クライアント認証情報権限許可タイプをサポートしています。

この画像は、MID サーバー要求認証プロセスを示しています。

注:

サードパーティ認証サーバーと CyberArk ボールトが顧客ネットワークにホストされていることを前提としています。

MID サーバー要求認証プロセス。