인증서 기반 인증 설정

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 읽기5분

    • 사용자 인터페이스 기반 로그인 또는 인바운드 웹 서비스에 대한 상호 인증을 설정합니다.

    시작하기 전에

    필요한 역할: admin

    인스턴스가 ADCv2 부하 분산 장치를 사용하고 있는지 확인합니다. 자세한 내용은ADCv2 마이그레이션 기술 문서를 참조하세요. 인스턴스에서 ADCv2 부하 분산 장치를 사용하지 않는 경우 에 문의하십시오 Now Support.

    프로시저

    다음을 위해 인증서 기반 인증을 설정합니다.
    • 최종 사용자가 PIV 또는 CAC 카드에 Now Platform 안전하게 로그인하거나 서비스 포털 사용할 수 있도록 합니다. 인증서 기반 인증을 사용하도록 설정한 후 PEM 인증서를 자체 등록하거나 관리자가 인증서를 매핑할 수 있습니다. 인증서 기반 인증을 사용하여 로그인 문서를 참조하십시오.
    • 인바운드 웹 서비스에 대한 상호 인증을 활성화합니다. 인증서 기반 인증이 설정되면 시스템은 제공된 인증서를 사용하여 REST 및 SOAP API에 대한 액세스 ServiceNow 요청을 상호 인증합니다.

    인증서 기반 인증 활성화

    관리자 역할이 있는 경우 인증서 기반 인증 플러그인(com.glide.auth.mutual)을 Now Platform 활성화할 수 있습니다.

    시작하기 전에

    필요한 역할: admin.

    이 태스크 정보

    인증서 기반 인증과 함께 다음 테이블이 설치됩니다.
    • sys_user_certificate
    • sys_ca_certificate
    • sys_ca_certificate_api_track

    프로시저

    1. 모두 > 시스템 애플리케이션 > 사용 가능한 모든 애플리케이션 > 모두로 이동합니다.
    2. 필터 기준 및 검색 창을 사용하여 인증서 기반 인증 플러그인(com.glide.auth.mutual)을 찾습니다.

      이름 또는 ID를 기준으로 플러그인을 검색할 수 있습니다. 플러그인을 찾을 수 없으면 ServiceNow 담당자에게 요청해야 할 수 있습니다.

    3. 설치를 선택하여 설치 프로세스를 시작합니다.
      주:
      인스턴스에서 도메인 분리와 위임된 관리자가 활성화된 경우, 관리자 역할이 있는 사용자가 전역 도메인에 있어야 합니다. 그렇지 않으면 <플러그인 이름>에 대한 플러그인 활성화 작업이 실행 중이므로 애플리케이션 설치를 사용할 수 없습니다라는 오류가 나타납니다.
      설치가 완료되면 메시지가 표시됩니다.

    CA 인증서 등록

    루트 인증서 또는 중간 인증서를 등록하여 인증에 사용할 수 있도록 합니다.

    시작하기 전에

    필요한 역할: admin

    프로시저

    1. 다음으로 이동 모두 > 인증서 기반 인증 > CA 인증서 체인.
    2. 새로 만들기를 클릭합니다.
    3. 양식의 필드에 내용을 입력합니다.
      표 1. 상호 인증 CA 인증서 양식
      필드 설명
      이름 인증서를 식별하기 위한 이름입니다.
      만료 알림 인증서가 만료될 때 사용자에게 경고하는 옵션입니다.
      만료 시 알림 인증서가 만료될 때 알림을 받을 사용자의 목록입니다.
      만료되기 전 경고 인증서가 만료되기 전에 사용자에게 알림이 전송되는 기간(일)입니다.
      활성 클라이언트 인증서를 활성화하는 옵션입니다.
      형식 PEM
      유형 인증서의 유형입니다. 옵션은 다음과 같습니다.
      • CA 인증서: 루트 CA 인증서입니다. 체인에 중간 인증서를 포함할 수도 있습니다. CA 인증서는 로드 밸런서와 자동으로 동기화됩니다. 체인에서 필요한 인증서가 누락되지 않도록 가능한 경우 이 옵션을 사용합니다.
      • 중간 인증서: 인증서 체인의 중간 인증서입니다. 이 인증서는 인스턴스에만 남아 있으며 부하 분산 장치와 동기화되지 않습니다. 기존 체인에 중간 인증서를 추가해야 하는 경우에만 이 옵션을 사용합니다.
      간단한 설명 사용자 클라이언트 인증서에 대한 간단한 설명입니다.
      주:
      인증서를 업로드하는 동안 읽기 전용 필드인 유효 기간(시작), 만료, 며칠 후 만료, 발급자, 제목, 인증서 체인PEM 인증서 가 추출되고 자동으로 채워집니다.
    4. 제출을 클릭합니다.
    5. 옵션: Validate Stores/Certificates(스토어/인증서 확인)를 클릭하여 인증서를 확인합니다.

    PEM 인증서를 사용자에게 매핑

    PEM 인증서를 사용자에게 매핑하여 PIV 또는 CAC 카드를 사용하여 로그인하거나 인바운드 요청을 인증할 수 있도록 합니다. 여러 PEM 인증서를 사용자에게 매핑할 수 있습니다.

    시작하기 전에

    • 필요한 역할: admin
    • 사용자의 PEM(Privacy Enhanced Mail) 인증서가 있는지 확인합니다.
    주:
    PEM 인증서를 사용자에게 매핑 구성 후 "인증서 확인"이 실패합니다. PEM 인증서가 저장되지 않기 때문입니다.

    프로시저

    1. 다음으로 이동 모두 > 인증서 기반 인증 > 사용자 - 인증서 매핑 을 클릭하고 새로 만들기를 클릭합니다.
    2. 양식의 필드에 내용을 입력합니다.
      표 2. 사용자 클라이언트 인증서 양식
      필드 설명
      이름 사용자 클라이언트 인증서의 이름입니다.
      만료 알림 인증서가 만료될 때 사용자에게 경고하는 옵션입니다.
      만료되기 전 경고 인증서가 만료되기 전에 사용자에게 알림이 전송되는 기간(일)입니다.
      만료 시 알림 인증서가 만료될 때 알림을 받을 사용자의 목록입니다.
      활성 클라이언트 인증서를 활성화하는 옵션입니다.
      사용자 클라이언트 인증서에 매핑된 사용자입니다.

      시스템은 인바운드 요청 또는 인증서 등록에서 클라이언트 인증서를 수신한 다음 이 필드에 지정된 사용자를 사용하여 요청을 실행하는 세션을 시작합니다.
      간단한 설명 사용자 클라이언트 인증서에 대한 간단한 설명입니다.
      형식 PEM(Privacy Enhanced Mail) 형식은 base-64로 인코딩된 DER(Distinguished Encoding Rules) 인증서입니다.
      유형 클라이언트 인증서. 이 필드는 읽기 전용입니다.
      주:
      인증서를 업로드하는 동안 읽기 전용 필드인 유효 기간(시작), 만료, 며칠 후 만료, 발급자제목 이 추출되고 자동으로 채워집니다.
    3. 첨부 파일 아이콘을 클릭하고 인증서를 업로드합니다.
    4. 제출을 클릭합니다.
      신뢰할 수 있는 CA(인증 기관)에서 발급한 인증인 경우 인증이 확인되고 지정된 사용자에게 매핑됩니다.

    인증서 기반 인증 속성 구성

    시스템 속성을 사용하여 인증서 기반 인증 기능을 활성화하거나 비활성화할 수 있습니다.

    시작하기 전에

    필요한 역할: admin

    프로시저

    1. 다음으로 이동 모두 > 인증서 기반 인증 > 속성.
    2. 양식의 필드에 내용을 입력합니다.
      표 3. 인증서 기반 인증 속성 양식
      속성 설명
      인증서 기반 인증을 사용 사용자 인터페이스 로그인과 인바운드 웹 서비스 모두에 대해 인증서 기반 인증을 활성화하는 옵션입니다.

      기본값: true
      로그인 화면에 "PIV/CAC로 로그인" 옵션 표시 로그인 화면에 PIV/CAC 카드로 로그인 옵션을 표시합니다. 사용자가 사용자 인터페이스를 통해 인증서 기반 인증을 사용하여 로그인할 수 있도록 허용합니다.

      기본값: false
      인증서 기반 로그인에 대해 자동 리디렉션 사용 등록된 인증서를 선택하고 PIN을 입력한 후 사용자가 PIV/CAC 카드로 로그인을 클릭하도록 요구할지 여부를 결정합니다. 사용자가 등록된 클라이언트 인증서를 선택하고 PIN을 입력한 후 자동으로 로그인하려면 활성화합니다. 사용자가 등록된 클라이언트 인증서를 선택하고 PIN을 입력한 후 PIV/CAC 카드로 로그인을 클릭하도록 요구하려면 비활성화합니다.

      기본값: false