Générer des métadonnées SP pour les installations d’URL personnalisées SAML/SSO

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Une installation SAML ou SSO a besoin des métadonnées SP générées pour l’IdP avant que l’instance d’URL personnalisée ne les génère.

    Avant de commencer

    Rôle requis : administrateur
    L’IdP a besoin des métadonnées du portail de services pour que l’instance puisse s’authentifier et transmettre les demandes.
    Remarque :
    L’ajout de l’URL du service consommateur d’assertion (URL de connexion SP) peut être différent pour chaque IdP (Azure, ADFS ou Okta).

    Procédure

    1. Choisissez votre module d’extension SSO installé :
      OptionDescription
      Authentification unique (SSO) de plusieurs fournisseurs Accédez à la Authentification unique (SSO) de plusieurs fournisseurs > Fournisseurs d'identité. Choisissez un IdP et cliquez sur le bouton Générer les métadonnées . L’intégration génère automatiquement les métadonnées SP de l’instance à partir des paramètres des propriétés système.
      SAML 2 SSO Accédez à la Authentification unique SAML 2 > Métadonnées. L’intégration génère automatiquement les métadonnées SP de l’instance à partir des paramètres des propriétés système.
    2. Copiez les métadonnées du portail de services dans la zone de texte.

      Par exemple :

      <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://yourinstance.service-now.com">
 	<SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
		<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://yourinstance.service-now.com/navpage.do" />
		<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
		<AssertionConsumerService isDefault="true" index="0" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yourinstance.service-now.com/navpage.do" />
		<AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yourinstance.service-now.com/consumer.do"/>
	</SPSSODescriptor>
</EntityDescriptor>
    3. Fournissez les métadonnées du fournisseur de services d’instance à l’IdP.
      Par exemple, SSOCircle permet à un utilisateur de fournir les métadonnées SP en ligne.
    4. Facultatif : Pour configurer des URL personnalisées dans Azure :
      1. Accédez à Inscriptions de l’application.
      2. Sélectionnez Toutes les applications dans le menu.
      3. Sélectionnez l’application ServiceNow.
      4. Cliquez sur Paramètres pour configurer l’URL.
    5. Facultatif : Pour configurer des URL personnalisées dans Okta :
      1. Créez deux ServiceNow applications Okta UD.
      2. Une application Okta pour l’URL d’instance « service-now.com ».
      3. Une application Okta pour l’URL personnalisée.
        Remarque :
        • Désactivez la désactivation forcée de l’authentification dans la configuration Okta pour que le test de la connexion s’exécute correctement.
        • Si vous testez l’enregistrement du fournisseur d’identité associé à l’URL de base, assurez-vous de vous connecter à l’instance avec l’URL de base.
        • Si vous testez le fournisseur d’identité associé à l’URL personnalisée, assurez-vous de vous connecter à l’instance avec l’URL personnalisée.
    6. Facultatif : Pour utiliser l’authentification OAuth, configurez l’URL de redirection comme toutes les URL personnalisées enregistrées dans la configuration du point de terminaison de l’application OAuth pour les applications clientes externes.
      L’URL de redirection est synonyme de l’URL de rappel vers laquelle le serveur d’autorisation redirige.
    7. Facultatif : Pour utiliser le service Google reCAPTCHA, configurez une paire de clés API.