Eine OpenID Connect-Konfiguration (OIDC) für Single Sign-on (SSO) erstellen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 6 Minuten Lesedauer

    • Erstellen oder aktualisieren Sie eine OpenID Connect(OIDC)-Konfiguration mithilfe des Mehrfachanbieter-SSO-Plugins.

    Vorbereitungen

    Wenn Sie über eine Client-ID, einen geheimen Clientschlüssel und eine bekannte Konfigurations-URL des Identitätsanbieters verfügen, können Sie die OIDC-Konfiguration für SSO direkt importieren.

    Hinweis:
    Die Anmeldeoption mit OIDC-IdP wird nicht unterstützt, wenn das Plugin „Domain Separation“ installiert ist.

    Wenn Sie nicht über die erforderlichen Informationen zum Identitätsanbieter verfügen, können Sie OIDC für SSO manuell konfigurieren. Nach Abschluss der Konfiguration können sich Benutzer mit externen Identitätsanbietern für soziale Medien wie Google Oktabei den Anwendungen ServiceNow anmelden.

    Prozedur

    1. Navigieren zu Alle > Mehrfachanbieter-SSO > Identity Provider.
    2. Wählen Sie eine der folgenden Optionen aus.
      • Klicken Sie auf einen Datensatz eines OIDC-Identitätsanbieters, um eine vorhandene Konfiguration zu aktualisieren.
      • Um eine neue Konfiguration zu erstellen, klicken Sie auf Neu, und wählen Sie OpenID Connectaus.
    3. Geben Sie für eine neue Konfiguration die OIDC-Konfigurationsinformationen mit einer der folgenden Methoden ein.
      OptionBezeichnung
      Importieren Sie die bekannte OpenID Connect-Konfiguration Wenn Sie die bekannte Konfigurations-URL zusammen mit den zugehörigen Client-Anmeldeinformationen haben, können Sie eine OIDC-Konfiguration direkt importieren.
      Hinweis:
      Wenn Sie die bekannte OIDC-Konfiguration importieren, werden alle zugehörigen Felder automatisch ausgefüllt.
      Konfigurieren Sie das Formular „OIDC-Identitätsanbieter“ manuell Wenn keine OAuth-OIDC-Entität vorhanden ist, schließen Sie das Popup-Fenster Import OpenID Connect Known Configuration (Bekannte OpenID Connect-Konfiguration importieren) und füllen Sie die Felder im Formular OIDC-Identitätsanbieter manuell aus.
      Tabelle : 1. Importieren Sie die Felder „OpenID Connect Known Configuration“.
      Eigenschaft Beschreibung
      Name Eindeutiger Name für die Konfiguration des OIDC-Identitätsanbieters.
      Client-ID Client-ID der Anwendung, die beim OIDC-Drittpartei-Identitätsanbieter registriert ist.
      Geheimer Clientschlüssel Geheimer Clientschlüssel der Anwendung, die beim OIDC-Identitätsanbieter der Drittpartei registriert ist.
      Bekannte Konfigurations-URL URL, die Metadaten zum Drittpartei-OIDC-Identitätsanbieter enthält.

      Alle Pflichtfelder müssen im Formular „OIDC-Identitätsanbieter“ ausgefüllt werden.

      Bevor Sie das Formular „OIDC-Identitätsanbieter“ manuell ausfüllen, vergewissern Sie sich, dass Sie bereits ein OAuth-Entitätsprofil für den OIDC-IdP haben.

      Wenn Sie kein OAuth-Entitätsprofil haben, können Sie es mit den Standardvorlagen für externe OIDC-Anbieter wie Okta, Azure und anderen erstellen.

      Der Gewährungstyp des OAuth-Entitätsprofils muss mit einem Autorisierungscode lauten. Weitere Informationen finden Sie unter Einen OAuth-OIDC-Anbieter auf der Now Platform konfigurieren.

      Hinweis:
      Sie können die Vorlagen von Drittanbieter-Identitätsanbietern verwenden. Auth0, Azure AD, Google und Okta sind in den Demodaten des Plugins „Single Sign-on-Installationsprogramm für mehrere Anbieter“ verfügbar.
      Tabelle : 2. OIDC-Identitätsanbieter-Felder
      Eigenschaft Beschreibung
      Name Name des OIDC-Identitätsanbieter-Datensatzes.
      Aktiv Option zum Aktivieren der OIDC-IdP-Konfiguration.
      Hinweis:
      Diese Option kann erst nach einer erfolgreichen Testverbindung aktiviert werden.
      Standard Option zum Festlegen der OIDC-IdP-Konfiguration als Standard, wenn mehr als eine OIDC-Konfiguration vorhanden ist.
      Automatische IdP-Weiterleitung Option zum Aktivieren der automatischen Umleitung der Anwender zur Anmeldeseite des Identitätsanbieters. Dieses Feld zeigt an, wenn im Abschnitt „Zugehörige Links“ die Option Als automatische IdP-Weiterleitung festlegen festgelegt ist.
      Hinweis:
      Wenn Sie eine neue IdP-Konfiguration für die automatische Weiterleitung aktivieren, wird das Cookie glide_sso_id automatisch mit dem neuen IdP für die automatische Weiterleitung aktualisiert. Die Systemeigenschaft glide.authenticate.sso.update.idp.cookie steuert diese Funktion.
      OIDC-Entitätsprofil OAuth-Entitätsprofil für die OIDC-Konfiguration.
      ServiceNow Homepage Die URL der für die Authentifizierung verwendeten Anmeldeseite. Dieses Feld wird automatisch auf Ihre Instanz-URL festgelegt. Das Format der URL lautet: https://yourinstance.service-now.com/navpage.do
      Weiterleitung für externe Abmeldung Die URL, an die Anwender von der Integration nach der Abmeldung weitergeleitet werden. Normalerweise das -Portal, das für SSO verwendet wird. Dieses Feld wird automatisch auf „external_logout_complete.do“ festgelegt. Beispiel: https://IhreInstanz.service-now.com/external_logout_complete.do
      Als Anmeldeoption anzeigen Option zum Anzeigen des OIDC-IdP als Anmeldeoption auf der Anmeldeseite. Als Anmeldeoption wird die Anmeldung mit der Schaltfläche „Identitätsanbieter“ angezeigt.
      SSO-Bezeichnung Bezeichnung des OIDC-IdP, die auf der Anmeldeseite angezeigt wird. Dieses Feld wird nur angezeigt, wenn die Option Als Anmeldung anzeigen aktiviert ist.
      Logo-URL Öffentlich verfügbare URL, die das Logo des OIDC-IdP-Anbieters enthält. Dieses Feld wird nur angezeigt, wenn die Option Als Anmeldung anzeigen aktiviert ist.
    4. Wahlweise: Aktivieren Sie die automatische Anwenderbereitstellung auf der Registerkarte Anwenderbereitstellung>Registerkarte Anwenderbereitstellung.

      Sie können die automatische Anwenderbereitstellung während der Anwenderanmeldung aktivieren. Wenn die automatische Anwenderbereitstellung aktiviert ist, wird in der ServiceNow-Instanz automatisch ein Anwenderdatensatz erstellt, wenn dieser Anwenderdatensatz nicht vorhanden ist.

      Tabelle : 3. Felder für die Anwenderbereitstellung
      Eigenschaft Beschreibung
      Anwender automatisch bereitstellen Option zum Aktivieren der automatischen Anwenderbereitstellung. Diese Eigenschaft erstellt einen Anwender in der Instanzanwendertabelle (sys_user), wenn der Anwender den IdP beendet, aber nicht in der Anwendertabelle vorhanden ist.
      Bereitstellen mit Datenquelle, die zum Transformieren eines ID-Tokens, eines Anwenderinformations- Endpunkts oder von ID-Token und Anwenderinformationen in einen ServiceNow-Anwender verwendet werden soll. Verwenden Sie die Liste „Nachschlagen“, um die vordefinierte Datenquellenvorlage auszuwählen, und öffnen Sie dann den Datensatz, um die Tabellenzuordnung für Transformationen zu konfigurieren.
      Bereitstellungsdatenquelle ID-Token-Datenquelle, die für die Anwenderbereitstellung verwendet wird.
      Datenquelle von Anwenderinformationen Die Endpunkt-Datenquelle für Anwenderinformationen, die für die Anwenderbereitstellung verwendet wird. Dieses Feld wird angezeigt, wenn Anwenderinformationen oder ID-Token und Anwenderinformationen für das Feld Bereitstellen mit ausgewählt sind.
      Anwender bei der nächsten Anmeldung aktualisieren Option zum Aktivieren der Anwenderaktualisierung während der nächsten Anmeldung.
      Anwenderintervallzeit aktualisieren (Sekunden) Mindestzeitraum in Sekunden für die Aktualisierung eines Anwenderdatensatzes zwischen nachfolgenden Anmeldungen. Dieses Feld wird automatisch auf 3.600 Sekunden festgelegt. Beispiel: Nachdem sich ein Anwender angemeldet hat, wird der Anwenderdatensatz nach 3.600 Sekunden bis zur nächsten Anmeldung aktualisiert. Dieses Feld ist nur verfügbar, wenn das Feld Anwender bei nächster Anmeldung aktualisieren aktiviert ist.
      Auf bereitgestellte Anwender angewendete Anwenderrollen Liste der Rollen, die auf die neu bereitgestellten Anwender angewendet werden.
    5. Registerkarte „OIDC-Entität“.
      Sie können die OIDC-Clientkonfiguration und den OIDC-Verbindungs-Flow mithilfe des Entitätsdatensatzes anzeigen und ändern.
    6. Registerkarte OIDC-Providerkonfiguration
      Sie können die bekannte Konfigurations-URL der Validierung der OIDC-IdP- oder ID-Token-Anforderung anzeigen und ändern.
    7. Wahlweise: Registerkarte „Erweitert“

      Skripts, die während des Single Sign-on und der Abmeldung ausgeführt werden.

      Tabelle : 4. Erweiterte Felder
      Eigenschaft Beschreibung
      Single Sign-on-Skript Skript, das während Single Sign-on ausgeführt wird. Dieses Feld wird automatisch auf MultiSSO_OIDC_customfestgelegt.
      Abmeldeskript Skript, das ausgeführt wird, nachdem sich der Anwender abgemeldet hat. Dieses Feld wird automatisch auf MultiSSO_OIDC_logout_customfestgelegt.
    8. Wahlweise: Konfigurieren Sie auf der Registerkarte Kontinuierliche Authentifizierung die folgenden Felder:
      Hinweis:
      • Die Registerkarte „Kontinuierliche Authentifizierung“ wird nur angezeigt, wenn Sie das Plugin „Zero Trust – Kontinuierliche Authentifizierung“ (com.snc.zero_trust_continuation_authentication) installieren, für das eine Lizenz erforderlich ist.
      • Wenn Sie die Richtlinie für kontinuierliche Authentifizierung verwenden, um den Zugriff auf Tabellen oder Datenklassen zu schützen, lesen Sie unter Kontinuierliche Authentifizierungnach.
      Kontinuierliche Authentifizierung – Registerkarteninformationen
      Tabelle : 5. Kontinuierliche Authentifizierung
      Feld Beschreibung
      Kontinuierliche Authentifizierung konfiguriert Aktivieren Sie das Kontrollkästchen, um die Konfiguration als aktiv festzulegen.
      Verbraucher-URL für kontinuierliche Authentifizierung Geben Sie die Verbraucher-URL vom Identitätsanbieter an.
      Skript für kontinuierliche Authentifizierung

      Wählen Sie das Suchsymbol, um das von der Plattform bereitgestellte Skript auszuwählen. In dieser Konfiguration für OIDC Okta: ContinuousAuth_Okta_StepUp_Script
    9. Wahlweise: Konfigurieren Sie auf der Registerkarte eSignature-Genehmigung die eSignature für den OIDC-IDP.
      Hinweis:
      Die Registerkarte „eSignature-Genehmigung“ wird nur angezeigt, wenn Sie das Plugin „Genehmigung mit e-Signature“ (com.glide.e_signature_approvals) installieren.
      Tabelle : 6. eSignature-Genehmigungsfelder
      Eigenschaft Beschreibung
      Assertionen-Verbraucher-URL für eSignatur-Authentifizierung Wenn Sie eine anwenderdefinierte Methode für die Handhabung der OIDC-Authentifizierung für eSignature verwenden, können Sie eine eigene Verbraucher-URL einrichten. Wenn Sie beispielsweise Mehrfachanbieter-SSO verwenden, müssen Sie diese Eigenschaft nicht verwenden. Das Format der URL ist https://Ihre-instanz.service-now.com/consumer.do
      Breite des Popup-Dialogfelds zur Authentifizierung Breite des Popup-Dialogfelds zur Authentifizierung. Dieses Feld wird automatisch auf 800festgelegt.
      Höhe des Popup-Dialogfelds zur Authentifizierung Höhe des Popup-Dialogfelds zur Authentifizierung. Dieses Feld wird automatisch auf 900festgelegt.
    10. Wahlweise: Navigieren Sie zur Anmeldeseite der Instanz, um zu überprüfen, ob IdP als Anmeldeoption angezeigt wird.
      Die URL muss das folgende Format haben: https://IhreInstanz/login_mit_sso.do?glide_sso_id=sysId_IdP
      Hinweis:
      Wenn Sie Ausgewählt als Anmeldeoptionaktiviert haben, können Sie zur Anmelde-URL der Instanz wechseln.