厳格な REST API セキュリティを適用する方法 - Support and Troubleshooting

厳格な REST API セキュリティを適用する方法 Issue 特定のテーブルのみにアクセスできるが、他のテーブルにはアクセスできないように REST API ユーザー ACL をロックダウンできます。この目的のために out of the box の ACL がありますが、デフォルトで有効になっていないため、あまり知られていません。以下の情報を参照してください。

Release すべて

Cause これは、許可される権限だけを付与するようにセキュリティを適用する必要がある場合に役立つ情報です。

Resolution これは関連ドキュメントからの抜粋です

REST API ACL https://docs.servicenow.com/csh?topicname=c_RESTAPI.html&version=latest

REST API セキュリティ デフォルトでは、ServiceNow REST APIs は基本認証または OAuth を使用して、REST API/エンドポイントへのユーザーアクセスを許可します。 マルチファクター認証 を使用して REST API にアクセスするようにインスタンスを設定することもできます。 受信相互認証はサポートされていません。

REST エンドポイント呼び出しで指定するユーザー ID は、ユーザー操作の場合と同じ方法でアクセス制御されます。各要求には、ユーザー名やパスワードなどの適切な認証情報が必要です。エンドポイント要求ごとに、エンドポイントにアクセスするための十分な認証情報が設定された認証ヘッダーが含まれていることを確認します。

ServiceNow REST APIs は、既存のセッションへのバインディングを有効にする cookie もサポートしています。

REST API ロール ユーザー認証に加えて、各 REST エンドポイントには、エンドポイントへのアクセスに必要なロールに関して異なる要件がある場合があります。アドミンロールが必要なものもあれば、API 固有のロールが必要なものもあります。ロール要件は、REST API/エンドポイントに関連付けられたアクセス制御リスト (ACL) で指定されます。各 REST API/エンドポイントの有効なロールの詳細については、「 REST API リファレンス 」を参照するか、[セキュリティシステム (Security System)] > [アクセス制御 (ACL)] から、インスタンス内の API/エンドポイントに関連する ACL を探してください。

REST API ACL REST API ACL は、必要なロールや、ユーザーが ServiceNow REST API またはエンドポイントにアクセスするために満たす必要がある条件などの基準を定義します。単一の ACL は、テーブル API や添付ファイル API ACL など REST API 全体に対して定義したり、または MetricBase PUT メソッドにのみ適用されるテーブル API や添付ファイル API ACL など、個々のエンドポイントに対して定義したりできます。

次の ServiceNow REST API ACL はベースシステムで使用できますが、デフォルトでは非アクティブ化されています。その他の ServiceNow REST API ACL はすべてデフォルトでアクティブです。

テーブル API 集計 API インポートセット API 添付ファイル API