Richten Sie die zertifikatsbasierte Authentifizierung ein

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Richten Sie die gegenseitige Authentifizierung für benutzeroberflächenbasierte Anmeldungen oder eingehende Webservices ein.

    Vorbereitungen

    Erforderliche Rolle: admin

    Vergewissern Sie sich, dass Ihre Instanz ein ADCv2-Lastenausgleichsmodul verwendet. Weitere Informationen finden Sie imWissensartikel ADCv2-Migration. Wenn Ihre Instanz das ADCv2-Lastenausgleichsmodul nicht verwendet, wenden Sie sich an Now Support.

    Prozedur

    Richten Sie die zertifikatsbasierte Authentifizierung ein, um:
    • Ermöglichen Sie Endbenutzern die sichere Anmeldung bei Now Platform oder Serviceportal mit PIV- oder CAC-Karten. Nachdem die zertifikatsbasierte Authentifizierung aktiviert wurde, können Sie das PEM-Zertifikat selbst registrieren, oder ein Administrator kann das Zertifikat für Sie zuordnen. Weitere Informationen finden Sie unter Melden Sie sich mit der zertifikatsbasierten Authentifizierung an.
    • Aktivieren Sie die gegenseitige Authentifizierung für eingehende Webservices. Sobald die zertifikatsbasierte Authentifizierung eingerichtet ist, verwendet das System die bereitgestellten Zertifikate, um Anforderungen für den Zugriff auf ServiceNow REST- und SOAP-APIs gegenseitig zu authentifizieren.

    Aktivieren Sie die zertifikatsbasierte Authentifizierung

    Sie können das Plugin für die zertifikatsbasierte Authentifizierung (com.glide.auth.mutual) für Now Platform aktivieren, wenn Sie die Administratorrolle innehaben.

    Vorbereitungen

    Erforderliche Rolle: admin.

    Warum und wann dieser Vorgang ausgeführt wird

    Die folgenden Tabellen werden mit der zertifikatsbasierten Authentifizierunginstalliert:
    • sys_user_certificate
    • sys_ca_certificate
    • sys_ca_certificate_api_track

    Prozedur

    1. Navigieren zu Alle > Systemanwendungen > Alle verfügbaren Anwendungen > Alle.
    2. Suchen Sie mithilfe der Filterkriterien und der Suchleiste nach dem Plugin „ Certificate-based Authentication “ (com.glide.auth.mutual).

      Sie können nach dem Plugin anhand seines Namens oder seiner ID suchen. Wenn Sie kein Plugin finden können, müssen Sie es möglicherweise von einem Mitarbeiter von ServiceNow anfordern.

    3. Wählen Sie Installieren und wählen Sie dann im Dialogfeld „Plugin aktivieren“ die Option Aktivieren.
      Hinweis:
      Wenn die Domain Separation und der delegierte Administrator in einer Instanz aktiviert sind, muss sich der Administrator in der globalen Domäne befinden. Andernfalls wird der folgende Fehler angezeigt: Die Anwendungsinstallation ist nicht verfügbar, da ein anderer Vorgang ausgeführt wird: Plugin-Aktivierung für <Plugin-Name>.

    Registrieren Sie das CA-Zertifikat

    Registrieren Sie Stammzertifikate oder Zwischenzertifikate, um sie für die Authentifizierung verfügbar zu machen.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Navigieren zu Alle > Zertifikatsbasierte Authentifizierung > CA-Zertifikatkette.
    2. Klicken Sie auf Neu.
    3. Füllen Sie die Felder im Formular aus.
      Tabelle : 1. Formular „Zertifizierungszertifikat für gegenseitige Authentifizierung“
      Feld Beschreibung
      Name Name zur Identifizierung des Zertifikats.
      Ablaufbenachrichtigung Option, um Benutzer zu warnen, wenn ein Zertifikat abläuft.
      Benachrichtigung bei Ablauf Liste der Benutzer, die benachrichtigt werden sollen, wenn das Zertifikat abläuft.
      Tage vor Ablauf benachrichtigen Anzahl der Tage, an denen eine Benachrichtigung an Benutzer gesendet wird, bevor ein Zertifikat abläuft.
      Aktiv Option zum Aktivieren des Client-Zertifikats.
      Format PEM
      Typ Typ des Zertifikats. Verfügbare Optionen:
      • CA-Zert: Das CA-Stammzertifikat. Kann auch Zwischenzertifikate in die Kette einbeziehen. CA-Zertifikate werden automatisch mit dem Lastenausgleichsmodul synchronisiert. Verwenden Sie diese Option nach Möglichkeit, um zu vermeiden, dass ein erforderliches Zertifikat in der Kette fehlt.
      • Zwischenzertifikat: Ein Zwischenzertifikat in der Zertifikatkette. Dieses Zertifikat verbleibt nur in der Instanz und wird nicht mit dem Lastenausgleichsmodul synchronisiert. Verwenden Sie diese Option nur, wenn Sie einer vorhandenen Kette ein Zwischenzertifikat hinzufügen müssen.
      Kurzbeschreibung Kurzbeschreibung des Benutzer-Client-Zertifikats.
      Hinweis:
      Während des Zertifikat-Uploads werden die schreibgeschützten Felder Gültig ab, Ablaufdatum, Ablaufdatumin Tagen, Aussteller und Antragsteller, Zertifikatketteund PEM-Zertifikat extrahiert und automatisch ausgefüllt.
    4. Klicken Sie auf Absenden.
    5. Wahlweise: Klicken Sie auf Speicher/Zertifikate validieren, um das Zertifikat zu validieren.

    Ordnen Sie das PEM-Zertifikat dem Benutzer zu

    Ordnen Sie Benutzern PEM-Zertifikate zu, damit sie sich mit PIV- oder CAC-Karten anmelden oder eingehende Anforderungen authentifizieren können. Sie können einem Benutzer mehrere PEM-Zertifikate zuordnen.

    Vorbereitungen

    • Erforderliche Rolle: admin
    • Vergewissern Sie sich, dass Sie das PEM-Zertifikat (Privacy Enhanced Mail) des Benutzers haben.
    Hinweis:
    Nach der Konfiguration „PEM-Zertifikat zu Anwender zuordnen“ schlägt „Zertifikat überprüfen“ fehl. Dies liegt daran, dass das PEM-Zertifikat nicht gespeichert wird.

    Prozedur

    1. Navigieren zu Alle > Zertifikatsbasierte Authentifizierung > Benutzer-zu-Zertifikat-Zuordnung und klicken Sie auf Neu.
    2. Füllen Sie im Formular die folgenden Felder aus:
      Tabelle : 2. Formular „Benutzer-Client-Zertifikat“
      Feld Beschreibung
      Name Name des Benutzer-Client-Zertifikats.
      Ablaufbenachrichtigung Option, um Benutzer zu warnen, wenn ein Zertifikat abläuft.
      Tage vor Ablauf benachrichtigen Anzahl der Tage, an denen eine Benachrichtigung an Benutzer gesendet wird, bevor ein Zertifikat abläuft.
      Benachrichtigung bei Ablauf Liste der Benutzer, die benachrichtigt werden sollen, wenn das Zertifikat abläuft.
      Aktiv Option zum Aktivieren des Client-Zertifikats.
      Benutzer Benutzer, der dem Client-Zertifikat zugeordnet ist.

      Das System empfängt das Client-Zertifikat entweder von der eingehenden Anforderung oder der Zertifikatregistrierungund verwendet dann den in diesem Feld angegebenen Benutzer, um eine Sitzung zur Ausführung der Anforderung zu initiieren.
      Kurzbeschreibung Kurzbeschreibung des Benutzer-Client-Zertifikats.
      Format Das PEM-Format (Privacy Enhanced Mail) ist ein base64-codiertes DER-Zertifikat (Distinguished Encoding Rules).
      Typ Client-Zertifikat Dieses Feld ist schreibgeschützt.
      Hinweis:
      Während des Zertifikat-Uploads werden die schreibgeschützten Felder Gültig ab, Ablaufdatum, Ablaufdatum, Ausstellerund Betreff extrahiert und automatisch ausgefüllt.
    3. Klicken Sie auf das Anhangsymbol, und laden Sie das Zertifikat hoch.
    4. Klicken Sie auf Absenden.
      Das Zertifikat wird validiert und dem angegebenen Benutzer zugeordnet, wenn das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) stammt.

    Konfigurieren Sie die Eigenschaften der zertifikatsbasierten Authentifizierung

    Verwenden Sie Systemeigenschaften, um zertifikatbasierte Authentifizierungsfunktionen zu aktivieren oder zu deaktivieren.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Navigieren zu Alle > Zertifikatsbasierte Authentifizierung > Eigenschaften.
    2. Füllen Sie die Felder im Formular aus.
      Tabelle : 3. Formular „Eigenschaften der zertifikatsbasierten Authentifizierung“
      Eigenschaft Beschreibung
      Zertifikatbasierte Authentifizierung aktivieren Option zum Aktivieren der zertifikatsbasierten Authentifizierung für Anmeldungen an der Benutzeroberfläche und eingehende Webservices.

      Standardwert: true
      Option „Mit PIV/CAC anmelden“ auf dem Anmeldebildschirm anzeigen Zeigt die Option Mit PIV/CAC-Karte anmelden auf dem Anmeldebildschirm an. Ermöglicht Benutzern die Anmeldung mit zertifikatbasierter Authentifizierung über die -Benutzeroberfläche.

      Standardwert: false
      Automatische Weiterleitung für die zertifikatbasierte Anmeldung aktivieren Legt fest, ob der Benutzer auf Mit PIV/CAC-Karte anmelden klicken muss, nachdem er ein registriertes Zertifikat ausgewählt und seine PIN eingegeben hat. Aktivieren Sie diese Option, um den Benutzer automatisch anzumelden, nachdem er ein registriertes Client-Zertifikat ausgewählt und seine PIN eingegeben hat. Deaktivieren Sie diese Option, damit der Benutzer auf Mit PIV/CAC-Karte anmelden klicken muss, nachdem er ein registriertes Client-Zertifikat ausgewählt und seine PIN eingegeben hat.

      Standardwert: false