Dans ce flux, ServiceNow fonctionne à la fois comme serveur d’autorisation (gestion de l’authentification utilisateur et émission de jeton) et de serveur de ressources (hébergement des API). Si la SSO est activée, ServiceNow redirige l’utilisateur vers le fournisseur d’identité (IdP) configuré pour authentification. Une fois l’utilisateur authentifié avec succès, le contrôle revient à ServiceNow, qui émet alors le code d’autorisation. Ce processus garantit que, même avec authentification externe, ServiceNow l’autorité reste l’autorité pour l’émission des jetons et la gestion de l’accès aux API.

Idéal pour :

Applications qui doivent accéder aux données utilisateur au nom de l’utilisateur avec le consentement de l’utilisateur.

Fonctionnement :

L’utilisateur lance le processus de connexion à partir de l’application cliente, qui le redirige vers une page de connexion ServiceNow. Une fois que l’utilisateur s’est connecté et a donné son consentement, l’application cliente reçoit un code d’autorisation, qu’elle échange avec l’instance contre un jeton d’accès ServiceNow . Il s’agit du flux le plus sécurisé et le plus utilisé pour les intégrations face aux utilisateurs. Il prend en charge à la fois les clients confidentiels (avec un secret client) et les clients publics (à l’aide de PKCE).