Konfigurieren Sie einen OAuth-OIDC-Provider auf der Now Platform

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Sie können einen OAuth-OIDC-Provider so konfigurieren, dass Identitätstoken akzeptiert werden, die von einem OIDC-Provider einer Drittpartei mithilfe eingehender API-Aufrufe oder unserer Single Sign-on-Option (Mehrfachanbieter-SSO) generiert wurden.

    Vorbereitungen

    Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Now Platform unterstützt OIDC durch unsere externe SSO-Implementierung (Single Sign-on) zusätzlich zu eingehenden API-Aufrufen. Ein Beispiel für eine OIDC-Provider-Konfiguration finden Sie unter Azure ADeinrichten. Ein SSO-spezifisches Beispiel für eine OIDC-Provider-Konfiguration finden Sie unter OpenID Connect (OIDC)-Konfigurationen für Single Sign-on (SSO) erstellen.

    Prozedur

    1. Navigieren zu Alle > System-OAuth > Applikationsregistrierung.
      • Klicken Sie auf Neu, klicken Sie auf Konfigurieren Sie einen OIDC-Provider, um ID-Token zu überprüfen, und füllen Sie dann das Formular aus.
      • Wählen Sie eine vorhandene Vorlage für einen OIDC-Provider aus (ADFS, Auth0, Azure AD, Google, Okta), und füllen Sie das Formular aus.
        Hinweis:
        OIDC-Provider-Vorlagen sind nach dem Laden von Demodaten mit dem Plugin OAuth 2.0 verfügbar.
      Feld Beschreibung
      Name Ein eindeutiger Name, der die OAuth-OIDC-Entität identifiziert.
      Client-ID Client-ID der Anwendung, die beim OAuth-OIDC-Server des Drittanbieters registriert ist. Die Instanz verwendet die Client-ID, wenn ein Zugriffstoken angefordert wird.
      Geheimer Clientschlüssel Geheimer Clientschlüssel der Anwendung, die beim OAuth-OIDC-Server des Drittanbieters registriert ist.
      OAuth-API-Skript Ein Skript, mit dem Sie Anforderungen und Antworten an einen externen OAuth-Provider anpassen können.
      OAuth-OIDC-Providerkonfiguration Der OIDC-Provider (ADFS, Auth0, Azure AD, Google, Okta) kann zur Validierung des JWT-Tokens verwendet werden. Klicken Sie auf den Datensatz Ihrer OIDC -Provider-Konfiguration, um zu überprüfen, ob der Benutzeranspruch und das Benutzerfeld ordnungsgemäß festgelegt sind. Wenn Sie JTI-Anspruchsverifizierung aktivieren, validiert die JWT-Tokenvalidierung ServiceNow auch die vom Provider gesendete JTI.
      Hinweis:
      Wenn die Validierung nicht aktiviert ist, kann die JTI nicht validiert werden, unabhängig davon, ob sie im JWT-Token vorhanden ist.
      Taktversatz Die Anzahl in Sekunden, nach der die Einschränkung als gültig betrachtet wird. Der Standardwert ist 300.
      Kommentare Die der Anwendung zuzuordnenden Informationen.
      Anwendung Der Name der Anwendung, die diese Entität enthält.
      Zugänglich von Wählen Sie eine Option aus, um den Zugriff aus allen Anwendungsbereichen oder nur aus diesem Anwendungsbereich zu ermöglichen.
      Tokenbeschränkungen erzwingen Wählen Sie diese Option aus, um nur die Verwendung von Token mit APIs zuzulassen, die so festgelegt sind, dass sie das Authentifizierungsprofil zulassen. Sie können den Gewährungszugriff mithilfe einer API-Zugriffsrichtlinie festlegen. Weitere Informationen finden Sie unter REST API-Zugriffsrichtlinien erstellen.

      Standard: Deaktiviert.
      Aktiv Aktivieren Sie die Checkbox, um die OAuth-Anwendung zu aktivieren.
      Umleitungs-URL Die URL der OAuth-Anwendung zum Empfangen des Autorisierungscodes.
      Endpunkt-URL von „Sitzung beenden“ Der URL-Endpunkt, der nach Beendigung einer Sitzung aktiviert wird.
      Aktivieren Sie die Authentifizierung Option zum Erzwingen der Authentifizierung für Benutzer.
    2. Klicken Sie auf Absenden.
      Der Datensatz wird in der Tabelle der Anwendungs-Registrys [oauth_entity] gespeichert.
      Wenn Ihre Instanz Token und Autorisierungscodes ausgibt, wird in der Tabelle „Anwendungsregistrierungen“ [oauth_entity] ein Datensatz vom Typ Externer OIDC-Provider erstellt. Weitere Informationen finden Sie unter .
    3. Wahlweise: Wechseln Sie zur zugehörigen Liste im Datensatz „OAuth-Entitätsprofile“, um ein vom System generiertes Standardprofil für den neuen OAuth-Provider ohne Bereich zu validieren.
      Sie können ein OAuth-Provider-Profil ändern oder hinzufügen, einschließlich Name, Gewährungstyp und OAuth-Bereich.
    4. Wahlweise: Wechseln Sie zur zugehörigen Liste im Datensatz OAuth-Entitätsbereiche, um alle verfügbaren OAuth-Bereiche für diesen OAuth-Provider zu definieren.
      Die definierten Bereiche können ausgewählt werden, wenn Sie ein Profil erstellen oder aktualisieren. Jeder definierte OAuth-Bereich enthält einen Namen und einen Bereich, den Sie der Anbieterspezifikation entnehmen müssen, z. B. einen Lesebereich oder einen Schreibbereich. Jeder Bereich muss separat definiert werden.
    5. Wahlweise: Wechseln Sie zur zugehörigen Liste im Datensatz Benutzerbereitstellung, um die automatische Benutzerbereitstellung zu aktivieren.
      OptionBezeichnung
      Benutzer automatisch bereitstellen Option zum Erzwingen der Authentifizierung für Benutzer.
      Bereitstellungsdatenquelle Die Datenquelle, die zum Transformieren eines OIDC-Tokens in einen ServiceNow -Benutzer verwendet werden soll. Verwenden Sie die Nachschlageliste, um die vordefinierte Datenquellenvorlage auszuwählen, und öffnen Sie dann den Datensatz, um die Transformationstabellenzuordnung zu konfigurieren. Bei der Konfiguration der Transformationszuordnung stammen die Quellfelder aus der Tabelle JWT token, die Zielfelder aus der Tabelle sys_user.
      Auf bereitgestellte Benutzer angewendete Benutzerrollen Die Benutzerrollen, die auf die neu bereitgestellten ServiceNow Benutzer angewendet werden.