San Diego へのアップグレード後にキーストアのパスワードを復号化できない - Known Error

San Diego へのアップグレード後にキーストアのパスワードを復号化できない 説明 すぐに利用可能な sys_certificate に関連するテーブル内のデータを保護する password2 サブモジュール (「com_glide_certificates_glideencrypter」) に、モジュールアクセスポリシーがありません。

そのため、キーストアパスワードを復号化しようとしても拒否されます (これは、ポリシーが定義されていない場合のデフォルトの動作です)。

再現手順 1.sys_certificate に移動します。 2.任意のキーストアレコードを開きます。 3.「Show XML」を使用して、暗号テキスト ( key_store_password に含まれる) にアクセスします。 4.バックグラウンドスクリプト (またはスクリプトインクルードなど) を介して、GlideEncrypter を使用して 3 の KMF 暗号化の値を復号化します。

期待される結果：値が正常に復号化されます。 (Rome の動作) 実際の結果：暗号化モジュール「global.com_glide_certificates_glideencrypter」へのアクセスが拒否されます。

ワークアラウンド 1.「com_glide_certificates_glideencrypter」暗号化モジュール https:// .service-now.com/sys_kmf_crypto_caller_policy_list.do?sysparm_query=crypto_module%3D8994cbe3ff23201022f462aa453bf13d%5Eactive%3Dtrue%5Eresult%3Dreject に対して自動生成されたモジュールアクセスポリシーのリストに移動します。

2.各ポリシーを確認し、必要に応じて [結果(Result)] = [追跡(Track)] に切り替えて、特定のスコープ/スクリプト/ロールへのアクセス権を付与します。

注 : これは「sn_kmf.cryptographic_manager」ロールを持つユーザーとして行う必要があります。顧客は、security_adminに昇格して次の方法で割り当てることができます。 https://docs.servicenow.com/bundle/quebec-platform-administration/page/administer/key-management-framework/reference/kmf-roles.html 。または、ServiceNow サポートが MAINT ユーザーとしてこの変更を実行することもできます。