外部ボールトを使用して MID サーバー経由で OAuth 要求を送信する接続の構成

  • リリースバージョン: Yokohama
  • 更新日 2026年03月13日
  • 所要時間:14分

    • OAuth 2.0 トークンの要求を MID サーバー経由でサードパーティ認証サーバーに送信するように接続を構成します。MID サーバーは、CyberArk 外部ボールトの OAuth 2.0 認証情報 (クライアント ID とクライアントシークレット)、OAuth スコープ、およびインスタンスのトークン URL を要求に追加して、それらをサードパーティ認証サーバーに送信します。

    始める前に

    以下の項目を確認します。

    必要なロール:なし

    このタスクについて

    接続と認証情報は、構成テンプレートを使用して構成することも、手動で構成することもできます。構成テンプレートは、接続レコードフォームのコンポーネントを定義し、他の接続レコードに再利用できます。手動の場合は、この目的のためだけに接続を構成できます。このトピックでは、両方のアプローチを示します。

    手順

    1. 構成テンプレートを使用して接続を構成します。
      1. 次のように移動する。 All (すべて) > 統合ハブ > 構成テンプレート.
      2. [New (新規)] を選択します。
      3. [OAuth クライアント認証情報権限許可タイプを使用した HTTP 接続 (外部ストレージ)] を選択します。
      4. 必要に応じて、フォームを更新します。
        たとえば、[デフォルトのデータテンプレート] セクションの oauth_entity_profile_scope フィールドと oauth_entity_scope フィールドにスコープを指定できます。構成テンプレートの作成の詳細については、「構成テンプレートの作成」を参照してください。
      5. [送信] を選択します。
        構成テンプレートが作成されました。
      6. 次のように移動する。 All (すべて) > 統合ハブ > 接続 & 資格情報エイリアス.
      7. フォームを更新します。
        表 : 1. 接続および資格情報エイリアス
        フィールド 説明
        名前 エイリアスの名前。エイリアスには、英数字とアンダースコアだけを使用できます。

        アップグレード時に、認証情報レコードのタグが接続および資格情報エイリアスに移行します。認証情報タグに英数字とアンダースコア以外の特殊文字が含まれている場合、タグ名はアップグレード後も保持されます。この移行されたエイリアスは引き続き使用できますが、名前を変更して命名の制限を満たすまでエイリアスを更新することはできません。
        アプリケーション 形式 scope_name.alias_name に基づく、接続および資格情報エイリアスの一意の識別子です。
        • スコープがグローバルである場合、ID はエイリアス名です。たとえば、グローバルスコープで作業日エイリアスを作成すると、ID は workday に設定されます。
        • HR アプリケーションスコープで作業日エイリアスを作成すると、ID は x_hr_app.workday に設定されます。
        親エイリアス 親エイリアスを選択するオプション。選択したエイリアスの下に、この接続および資格情報エイリアスを作成します。作成している接続および資格情報エイリアスは、子エイリアスになります。子エイリアスは、親「接続および資格情報エイリアス」ページの [子エイリアス] タブに一覧表示されます。

        [子エイリアス] タブの子エイリアス。
        タイプ 作成しているエイリアスのタイプを示すオプション。次のオプションから選択します。
        • 認証情報:認証情報レコードを含むエイリアス。
        • 接続と資格情報:接続および資格情報レコードの両方を含むエイリアス。このオプションはデフォルトで選択されています。

        [接続と資格情報] が選択されていることを確認します。
        複数の有効な接続をサポート エイリアスが複数の有効な接続をサポートするかどうかを指定する指定子です。接続テーブルを使用して接続を追加し、接続関連リストを使用してその接続をエイリアスに関連付けます。
        デフォルトの再試行ポリシー エイリアスの再試行ポリシーです。詳細については、「再試行ポリシー」を参照してください。
        構成テンプレート 構成テンプレートを選択するオプション。このテンプレートに基づいて接続および資格情報エイリアスを作成します。前の手順で作成した [OAuth クライアント認証情報権限許可タイプを使用した HTTP 接続 (外部ストレージ)] タイプのテンプレートを選択します。
      8. [送信] を選択します。
        接続および資格情報エイリアスレコードが作成されました。
      9. 次のように移動する。 All (すべて) > 統合ハブ > コネクションダッシュボード.
      10. [すべての接続を検索] フィールドに、作成した「接続および資格情報エイリアス」レコードの名前を入力します。
      11. 接続および資格情報エイリアスレコードで、[詳細を表示] を選択します。
      12. [構成] を選択します。
      13. フォームに入力します。
        表 : 2. 接続の設定フォーム
        フィールド 説明
        接続名 接続の名前。名前を更新することはできません。
        接続 URL サードパーティサーバーの URL。
        MID を使用 MID サーバーを有効にするオプション。
        重要:
        このオプションが選択されていることを確認します。
        MID 選択 接続の MID 構成を指定するオプション。
        • 特定の MID サーバー:特定の MID サーバーの手動選択を示すオプション。
        • MID サーバーの自動選択:MID サーバーを自動的に選択することを示すオプション。
        • 特定の MID クラスター:複数の MID サーバーから構成される MID クラスターの手動選択を示すオプション。
        重要:
        選択した MID サーバーが、CyberArk ボールトにアクセスするよう構成された CyberArk AIM クライアントと同じマシン上に存在することを確認します。「CyberArk ボールトの設定と AIM API のインストール」を参照してください。
        MID サーバー MID サーバーを手動で指定するオプション。このオプションは、[MID 選択] フィールドで [特定の MID サーバー] を選択した場合に表示されます。
        MID クラスター 手動で MID クラスターを指定するオプション。このオプションは、[MID 選択] フィールドで [特定の MID クラスター] を選択した場合に表示されます。
        外部の認証情報ストア CyberArk 外部認証情報ストレージを使用するオプション。このオプションを選択すると、MID サーバーは外部認証情報ストレージから OAuth 2.0 認証情報 (クライアント ID とクライアントシークレット) を取得します。
        重要:
        このオプションが選択されていることを確認します。
        認証情報 ID クライアント ID とクライアントシークレットの詳細を保持する CyberArk アカウントの識別子。認証情報識別子を取得する手順については、「CyberArk 上の OAuth 2.0 認証情報の構成」を参照してください。
        [認証情報 ID] フィールドに、次のいずれかの形式で式を入力します。
        • すべての認証情報が同じセーフにある場合は、ext.cred.safe_name パラメーターを使用して MID サーバーの config.xml ファイルにこの安全な名前を設定してから、認証情報 ID を <credential ID> として名前のみで指定します。
        • 特定のセーフにある指定したプラットフォームの認証情報に名前を付けるには、認証情報 ID を <safe>:<credential ID>:<platform ID> として定義します。
        • 認証情報が複数のセーフにある場合は、認証情報 ID を <safe>:<credential ID> の形式で指定します。
        OAuth トークン URL OAuth サーバーからアクセストークンを取得するエンドポイントを指定する URL。
      14. [接続を設定] を選択します。
    2. 接続を手動で構成します。
      1. 次のように移動する。 All (すべて) > システム OAuth > アプリケーションレジストリー.
      2. [New (新規)] を選択します。
      3. [外部ボールトを使用してサードパーティ OAuth プロバイダーに接続] を選択します。
      4. フォームに入力します。
        表 : 3. 新しいアプリケーションレジストリの詳細
        フィールド 説明
        名前 アプリケーションレジストリレコードを識別する名前です。たとえば、「MID アプリを介した OAuth 2.0 トークン要求」と入力します。
        アプリケーション このアプリケーションレジストリにアクセスできるアプリケーションの名前を指定するオプション。このフィールドは読み取り専用です。
        デフォルトの権限許可タイプ クライアントアプリケーションが OAuth サーバーからアクセストークンを取得するデフォルトの方法。デフォルトの読み取り専用権限許可タイプは [クライアント認証情報] です。
        アクセス可能 このアプリケーションレジストリにアクセスできるアプリケーションを指定するオプション。
        トークン URL OAuth サーバーからアクセストークンを取得するエンドポイントを指定する URL。
        認証情報の送信 要求本文で OAuth 2.0 を送信する方法を指定するオプション。
        コメント 関連するコメントを入力します。
      5. [OAuth スコープ] 列で、次の手順を実行して 1 つ以上の OAuth スコープを作成します。
        1. [名前] 列でフィールドをダブルクリックし、OAuth スコープの名前を入力します。
        2. [OAuth スコープ] 列で、フィールドをダブルクリックしてスコープを入力します。
      6. [送信] を選択します。
        OAuth エンティティプロファイルとアプリケーションレジストリが作成されました。
      7. 次のように移動する。 All (すべて) > 統合ハブ > 接続 & 認証情報 > 認証情報.
      8. [New (新規)] を選択します。
      9. [OAuth 2.0 認証情報] を選択します。
      10. [外部ストレージビュー] を選択します。
        重要:
        ビューが OAuth 2.0 認証情報外部ストレージフォームのビューと異なる場合にのみ、[外部ストレージビュー] を選択します。
      11. フォームに入力します。
        表 : 4. OAuth 2.0 認証情報
        フィールド 説明
        名前 認証情報レコードの名前。
        適用先 すべての MID サーバーまたは特定の MID サーバーに認証情報レコードが適用可能な場合に指定するオプション。特定の MID サーバーの場合は、MID サーバーを追加します。

        次のオプションからいずれかを選択します。

        • すべての MID サーバー:MID サーバーのコレクションから MID サーバーが自動的に選択されます。
        • 特定の MID サーバー:1 つ以上の MID サーバーを指定するオプション。
        MID サーバー 1 つ以上の MID サーバーを指定するオプション。
        注:
        このフィールドは、[適用先] フィールドで [特定の MID サーバー] を選択した場合に表示されます。
        アクティブ 認証情報レコードが使用可能かどうかを指定するオプション。デフォルトでは使用可能です。
        OAuth エンティティプロファイル 認証情報で使用する OAuth エンティティプロファイルを指定するオプション。上で作成した OAuth エンティティプロファイルを選択します。「OAuth エンティティプロファイルの構成」を参照してください。
        外部の認証情報ストア 認証情報を ServiceNow インスタンスではなく外部ストレージに保存することを指定するオプション。
        重要:
        このオプションが選択されていることを確認します。
        認証情報 ID クライアント ID とクライアントシークレットを保持する CyberArk アカウントの認証情報識別子を指定するオプション。認証情報識別子を取得する手順については、「CyberArk 上の OAuth 2.0 認証情報の構成」を参照してください。
        認証情報ストレージ Vault 外部認証情報ストレージボールトの名前を指定するオプション。CyberArk を選択していることを確認します。
      12. [送信] を選択します。
        認証情報レコードが作成されました。
      13. 接続および資格情報エイリアスを作成します。
        手順については、「接続情報および認証情報エイリアスの作成」を参照してください。
      14. 次のように移動する。 All (すべて) > 統合ハブ > 接続.
      15. [New (新規)] を選択します。
      16. [HTTP(s) 接続] を選択します。
      17. フォームに入力します。
        表 : 5. 接続フォーム
        フィールド 説明
        名前 この HTTP(S) 接続の一意の名前。
        アクティブ 作成している接続をアクティブに設定するオプション。このオプションはデフォルトで選択されています。
        認証情報 接続を許可するために使用する認証情報レコードを選択します。上で作成した認証情報を選択します。
        接続エイリアス この接続に関連付けるエイリアス レコードを選択します。エイリアスを使用すると、エイリアスを使用するアクションまたはアクティビティを再設定することなく、接続レコードを更新できます。
        URL ビルダー 手動で接続 URL を入力するか、システムを使用して入力に基づいて URL を作成します。デフォルトはオフです。オンにすると、次のフィールドから接続 URL が計算されます。
        • [相互認証] - 相互認証を使用する場合はオンにします。
        • [プロトコル] - 相互認証を使用しない場合は、プロトコルを入力します。デフォルトは HTTPs です。
        • [プロトコル プロファイル] - 相互認証を使用する場合は、sys_protocol_profile からプロトコル プロファイルを入力します。
        • ホスト
        • ポート
        • ベースパス - 接続文字列のパス。
        注:
        相互認証をオンにした場合は、接続 URL が作成されます (プロトコル + :// + host:port +URL)。相互認証をオフにした場合は、接続 URL が作成されます (プロトコル プロファイル + :// + host:port +URL)。
        接続 URL URL ビルダーをオフにした場合は、このフィールドに接続 URL を入力します。
        注:
        相互認証をオンにした場合は、接続 URL が作成されます (プロトコル + :// + host:port +URL)。相互認証をオフにした場合は、接続 URL が作成されます (プロトコル プロファイル + :// + host:port +URL)。
        MID サーバーを使用 MID サーバー経由で OAuth トークン要求を送信することを指定するオプション。
        重要:
        このオプションが選択されていることを確認します。
        接続タイムアウト システムがホスト接続の成功を待機するミリ秒数。この間に接続が成功しない場合、接続要求はタイムアウトします。システムのデフォルトの接続タイムアウト値を使用するには、このフィールドを空のままにします。
        MID 選択 以下のオプションのいずれかを指定するオプション。
        • MID サーバーの自動選択:MID サーバーがクラスターのメンバーであるかどうかに関係なく、MID サーバーの基準に基づいて MID サーバーから選択します。
        • 特定の MID サーバー:MID サーバーを手動で選択します。
        • 特定の MID クラスター:別の MID サーバーへの自動再アサインでは、指定されたクラスターのメンバーからのみ選択されます。
        重要:
        選択した MID サーバーが、CyberArk ボールトにアクセスするよう構成された CyberArk AIM クライアントと同じマシン上に存在することを確認します。「CyberArk ボールトの設定と AIM API のインストール」を参照してください。
        機能 1 つ以上の MID サーバー機能を選択するオプション。機能は、IP アドレス範囲内の MID サーバーの特定の機能を定義し、アプリケーションが最適な MID サーバーを選択できるようにします。MID 機能 アイコン (MID 機能選択アイコン)を選択して、1 つ以上の機能を選択します。
        注:
        • 選択した MID サーバーが、CyberArk ボールトにアクセスするよう構成された CyberArk AIM クライアントと同じマシン上に存在することを確認します。「CyberArk ボールトの設定と AIM API のインストール」を参照してください。
        • このオプションは、[MID 選択] フィールドで [MID サーバーの自動選択 ] を選択した場合に表示されます。
        MID Server MID サーバーを手動で選択します。このオプションは、[MID 選択] フィールドで [特定の MID サーバー] を選択した場合に表示されます。
        MID クラスター MID クラスターを手動で選択します。このオプションは、[MID 選択] フィールドで [特定の MID クラスター] を選択した場合に表示されます。
        MID Application (MID アプリケーション) MID アプリケーションを指定するか、デフォルトのアプリケーション選択を承認するオプション。
        注:
        このオプションは、[MID 選択] フィールドで [MID サーバーの自動選択 ] を選択した場合に表示されます。デフォルトでは、[ すべて ] オプションが選択されています。
      18. [Submit (送信)] を選択します。
        HTTP(s) 接続レコードが作成されました。
      19. 次のように移動する。 All (すべて) > プロセス自動化 > 統合ハブ > コネクションダッシュボード.
      20. [すべての接続を検索] フィールドに、作成した接続レコードの名前を入力します。
        接続エイリアスレコードが表示されます。
        図 : 1. OAuth 2.0 接続レコードが作成されました。
        OAuth 2.0 接続レコードが作成されます。
        OAuth 2.0 接続レコードが作成されました。