Konfigurieren Sie eine OAuth-JSON-Webtoken-Bearer-Gewährung

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Durch die Konfiguration einer OAuth-JSON-Webtoken-Bearergewährung (JWT) wird die tokenbasierte Authentifizierung ohne Anwenderinteraktion gesichert. Es verbessert die Sicherheit mit signierten JWTs und reduziert den Authentifizierungsaufwand, indem wiederholte Anmeldeversuche vermieden werden.

    Vorbereitungen

    Erforderliche Rolle: oauth_admin, mi_admin, admin

    Die unterstützten Algorithmen für JSON Web Token (JWT): RS256, RS384, RS512, ES256, ES384, ES512.

    Prozedur

    1. Navigieren zu Rechneridentitätskonsole > > Eingehende Integrationen > > Neue Integration > JWT-Bearer-Gewährungan.
    2. Aktualisieren Sie die Textfelder im Formular „Details“ mit den entsprechenden Informationen.
      Tabelle : 1. Detailformular
      Feld Beschreibung
      Name Ein eindeutiger Name, der die Anwendung identifiziert, für die Sie JWT OAuth-Zugriff benötigen.
      Client-ID Die automatisch generierte eindeutige ID der Anwendung. Das System verwendet den Wert dieses Felds, um den öffentlichen oder freigegebenen Schlüssel abzurufen und das JWT zu validieren. Der Wert dieses Felds muss mit dem Wert der Ansprüche des Ausstellers und der Zielgruppe in JWT übereinstimmen.
      Geheimer Clientschlüssel Die Zeichenfolge des gemeinsamen Geheimnisses, die sowohl die Instanz als auch die Client-Anwendung oder -Website verwenden, um Kommunikation miteinander zu autorisieren. Lassen Sie dieses Feld leer, damit die Instanz automatisch ein geheimes Clientgeheimnis generiert. Um vorhandene geheime Clientgeheimnisse anzuzeigen, wählen Sie das Sperrsymbol aus.
      Anwenderfeld Feld in der Anwendertabelle (sys_user), das das System verwendet, um den Wert des Antragstellungsanspruchs in der JWT abzugleichen.

      Beispiel:

      Wenn Sie ein Token hinzufügen, das einen Anspruchswert des Antragstellers von user.name@example.com hat, legen Sie fest Anwenderfeld Bis E-Mail . Dieses Feld weist das System an, das E-Mail-Feld nach dem Wert user.name@example.com zu durchsuchen und den übereinstimmenden Anwenderdatensatz in der eingehenden Anforderung zu verwenden.
      JTI-Verifizierung aktivieren Wählen Sie diese Option aus, um bei jedem Tokenaustausch ein neues Token anzufordern.

      Standard: Ausgewählt.
      JWKS-URL Die URL des JSON-Webschlüsselsatzes. Es handelt sich um eine Sammlung öffentlicher Schlüssel im JSON-Format. Identitätsanbieter veröffentlichen ein JWKS unter einer bekannten URL, damit Client-Anwendungen und -Services die Schlüssel abrufen und die Signaturen von JSON-Webtoken (JWTs) validieren können.
      JTI-Anspruch Eindeutiger Bezeichner für jedes Token. ServiceNow verwendet diesen Anspruch, um die Tokenwiedergabe zu erkennen und zu verhindern, indem überprüft wird, dass ein Token nicht wiederverwendet wird.
      Kommentare Fügen Sie relevante Kommentare hinzu.
      JWT-Verifizierungszuordnung Geben Sie den Identitätsanbieter, die Verifizierungsmethode (z. B. eine JWKS-URL oder ein Zertifikat) und die Zuordnung von JWT-Ansprüchen zu ServiceNow-Anwenderfeldern an.
      Klicken Sie auf das Plus-Symbol, um die Karten hinzuzufügen oder zu bearbeiten. Geben Sie die folgenden Details in an JWT-Verifiziererzuordnung Seite:
      • Name: Der eindeutige Name der JWT-Verifiziererzuordnungskonfiguration.
      • Anwendung: Die Anwendung, in der die Überprüfungszuordnung verwendet wird.
      • Kid (Schlüssel-ID): Der Bezeichner des Schlüssels, der zur Validierung der JWT-Signatur verwendet wird.
      • SYS-Zertifikat: Der ServiceNow-Zertifikatdatensatz, der für die Tokenverifizierung verwendet wird
      • Freigegebener Schlüssel: Ein symmetrischer Schlüssel, der zum Validieren von Token verwendet wird.
      Aktiv Aktivieren Sie das Kontrollkästchen, um die OAuth-Anwendung zu aktivieren.
    3. Aktualisieren Sie die Textfelder im Formular „Erweiterte Optionen“ (optional) mit den entsprechenden Informationen.
      Tabelle : 2. Formular „Erweiterte Optionen“ (optional)
      Feld Beschreibung
      Tokenbeschränkung erzwingen Wählen Sie diese Option aus, um nur Token für die Verwendung mit APIs zu aktivieren, die festgelegt sind, um das Authentifizierungsprofil zu aktivieren. Sie können Zugriffsgewährung mithilfe einer API-Zugriffsrichtlinie festlegen.

      Standard: Nicht Ausgewählt.
      JWKS-Cache-Lebensdauer Die Dauer (in Minuten), für die ServiceNow den JSON-Webschlüsselsatz (JWKS) vom Identitätsanbieter zwischenspeichert.
      Lebensdauer des Zugriffstokens Die Dauer (in Sekunden), für die das Zugriffstoken gültig bleibt, bevor es abläuft.
      Taktversatz Kleine Unterschiede in den Systemuhren von Servern oder Geräten, die an der Generierung und Validierung eines Tokens beteiligt sind, können zu Problemen bei der Validierung zeitsensibler Ansprüche führen. Passen Sie die Zeit oben an. Standardwert ist: 0 Sekunden.
    4. Aktualisieren Sie die Textfelder im Formular „Authentifizierungsbereich“ (optional) mit den entsprechenden Informationen.
      Hinweis:
      Wenn Sie eine auswählen Authentifizierungsbereich , Alle zugehörigen APIs werden automatisch in ausgefüllt Autorisierung beschränken Textfeld.
      Tabelle : 3. Formular „Authentifizierungsbereich“
      Feld Beschreibung
      Authentifizierungsbereich Zugriffsebene einer Anwendung. Der Authentifizierungsbereich schränkt die Aktionen ein, die ein Zugriffstoken für APIs oder Daten ausführen kann.
      Autorisierung beschränken Namen der APIs, für die Sie die Autorisierung einschränken möchten.
      1. Wählen Sie Aus Fügen Sie eine weitere Zeile hinzu Zum Hinzufügen von Authentifizierungsbereichen.
      2. Wählen Sie Aus Erstellen Sie einen neuen Authentifizierungsbereich Um einen neuen Authentifizierungsbereich hinzuzufügen.
        Geben Sie den Namen des Authentifizierungsbereichs in ein Feld „Umfang“ Textfeld zum Auswählen des neu erstellten Authentifizierungsbereichs. Sie können die APIs, die dem neuen Authentifizierungsbereich zugeordnet werden müssen, manuell hinzufügen und bearbeiten.
        Hinweis:
        Hinzufügen oder Bearbeiten von APIs aus Authentifizierungsbereich Das Menü betrifft alle OAuth-Entitäten, die demselben Autorisierungsbereich zugeordnet sind.
    5. Wählen Sie Speichern.
      Eine neue OAuth-JSON-Web-Token-Bearer-Berechtigung wird erstellt.
    6. Gehe zu Alle > Eingehende Integrationen > Anwendungsregistrierungen Zum Anzeigen der neu erstellten JWT-Bearer-Berechtigung.