Créer une configuration OpenID Connect (OIDC) pour l’authentification unique (SSO)

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 7 minutes de lecture

    • Créez ou mettez à jour une configuration OpenID Connect (OIDC) à l’aide du module d’extension SSO de plusieurs fournisseurs.

    Avant de commencer

    Si vous disposez d’un ID client, d’un secret client et d’une URL de configuration connue du fournisseur d’identité, vous pouvez importer directement la configuration OIDC pour SSO.

    Remarque :
    • Le bouton Connexion avec OIDC ne s’affiche pas sur la page de connexion pour les fournisseurs d’identités basés sur OIDC si le module d’extension Séparation de domaine est installé.
    • L’administrateur peut utiliser l’IdP basé sur OIDC pour activer SSO pour un utilisateur d’une entreprise ou d’un domaine spécifique.

    Si vous ne disposez pas des informations requises sur le fournisseur d’identité, vous pouvez configurer manuellement OIDC pour SSO. Une fois la configuration terminée, les utilisateurs peuvent se connecter aux ServiceNow applications à l’aide de fournisseurs d’identité sociale tiers tels que Google Okta.

    Procédure

    1. Accédez à la Tous > Authentification unique (SSO) de plusieurs fournisseurs > Fournisseurs d'identité.
    2. Choisissez une des options suivantes.
      • Pour mettre à jour une configuration existante, cliquez sur un enregistrement de fournisseur d’identité OIDC.
      • Pour créer une configuration, cliquez sur Nouveau et sélectionnez OpenID Connect.
    3. Pour une nouvelle configuration, entrez les informations de configuration OIDC de l’une des méthodes suivantes.
      OptionDescription
      Importer la configuration connue OpenID Connect Si vous disposez de l’URL de configuration connue ainsi que des informations d’identification de votre client associées, vous pouvez importer directement une configuration OIDC.
      Remarque :
      Si vous importez la configuration bien connue OIDC, tous les champs connexes sont renseignés automatiquement.
      Configurer manuellement le formulaire Fournisseur d’identité OIDC Si vous n’avez pas d’entité OAuth OIDC existante, fermez la fenêtre contextuelle Importer la configuration connue OpenID Connect et remplissez manuellement les champs du formulaire Fournisseur d’identité OIDC.
      Tableau 1. Importer les champs de configuration connue OpenID Connect
      Propriété Description
      Nom Nom unique pour la configuration du fournisseur d’identité OIDC.
      ID client ID client de l’application enregistré dans le fournisseur d’identité OIDC tiers.
      Secret client Secret client de l’application enregistrée dans le fournisseur d’identité OIDC tiers.
      URL de configuration reconnue URL qui contient des métadonnées sur le fournisseur d’identité OIDC tiers.

      Tous les champs obligatoires doivent être renseignés sur le formulaire Fournisseur d’identité OIDC.

      Avant de remplir manuellement le formulaire Fournisseur d’identité OIDC, assurez-vous que vous disposez déjà d’un profil d’entité OAuth pour l’IdP OIDC.

      Si vous n’avez pas de profil d’entité OAuth, vous pouvez le créer à l’aide des modèles de fournisseur OIDC externe par défaut, tels qu’Okta, Azure et d’autres.

      Le type d’octroi du profil d’entité OAuth doit être accompagné d’un code d’autorisation. Pour plus d'informations, consultez Configurer un fournisseur OIDC OAuth sur le ServiceNow AI Platform.

      Remarque :
      Vous pouvez utiliser les modèles des fournisseurs d’identité tiers, Auth0, Azure AD, Google et Okta sont disponibles dans les données de démonstration du module d’extension Programme d’installation de l’authentification unique de plusieurs fournisseurs.
      Tableau 2. Champs Fournisseur d’identité OIDC
      Propriété Description
      Nom Nom de l’enregistrement du fournisseur d’identité OIDC.
      Actif Option permettant d’activer la configuration IdP OIDC.
      Remarque :
      Cette option ne peut être définie sur active qu’après un test de connexion réussi.
      Par défaut Option permettant de définir la configuration IdP OIDC par défaut lorsqu’il existe plusieurs configurations OIDC.
      Rediriger automatiquement l'IdP Option permettant d’activer la redirection automatique des utilisateurs vers la page de connexion du fournisseur d’identité. Ce champ s’affiche lorsque l’option Définir comme IdP de redirection automatique est définie sous la section Liens connexes.
      Remarque :
      Si vous activez une nouvelle configuration d’IdP de redirection automatique, le glide_sso_id cookie se met automatiquement à jour avec le nouvel IdP de redirection automatique. La glide.authenticate.sso.update.idp.cookie propriété système contrôle cette fonctionnalité.
      Profil de l'entité OIDC Profil de l’entité OAuth pour la configuration OIDC.
      ServiceNow Page d’accueil URL de la page de connexion utilisée pour l’authentification. Ce champ est automatiquement défini sur l’URL de votre instance. Le format de l’URL est le suivant : https://yourinstance.service-now.com/navpage.do
      Redirection de déconnexion externe URL vers laquelle l’intégration redirige les utilisateurs après leur déconnexion. En règle générale, le portail, qui est utilisé pour la SSO. Ce champ est automatiquement défini sur external_logout_complete.do Par exemple, https://yourinstance.service-now.com/external_logout_complete.do
      Afficher comme option de connexion Option permettant d’afficher l’IdP OIDC comme option de connexion sur la page de connexion. L’option de connexion s’affiche sous la forme du bouton Connexion avec fournisseur d’identité .
      Étiquette SSO Étiquette de l’IdP OIDC affichée sur la page de connexion. Ce champ s’affiche uniquement lorsque l’option Afficher comme connexion est activée.
      URL du logo URL accessible au public qui contient le logo du fournisseur d’IdP OIDC. Ce champ s’affiche uniquement lorsque l’option Afficher comme connexion est activée.
    4. Facultatif : Activez l’attribution automatique d’utilisateurs dans l’onglet Attribution d’utilisateurs>onglet Attribution d’utilisateurs.

      Vous pouvez choisir d’activer la mise en service automatique de l’utilisateur pendant la connexion de l’utilisateur. Lorsque la mise en service automatique d’un utilisateur est activée, un enregistrement utilisateur est automatiquement créé dans l’instance ServiceNow si cet enregistrement utilisateur n’existe pas.

      Tableau 3. Champs d’attribution d’utilisateurs
      Propriété Description
      Attribuer automatiquement les utilisateurs Option permettant d’activer la mise en service automatique d’un utilisateur. Cette propriété crée un utilisateur dans la table Utilisateur d’instance (sys_user) lorsque l’utilisateur quitte sur IdP, mais n’existe pas dans la table Utilisateur.
      Mise en service à l'aide de Source de données à utiliser pour transformer un jeton d’ID, un point de terminaison d’informations utilisateur ou à la fois un jeton d’ID et des informations utilisateur en utilisateur ServiceNow. Utilisez la liste de recherche pour sélectionner le modèle de source de données prédéfini, puis ouvrez l’enregistrement pour configurer le mappage de la table des transformations.
      Mettre en service la source de données Source de données de jeton d’ID utilisée pour l’attribution d’utilisateurs.
      Source d'informations de l'utilisateur Source de données du point de terminaison d’informations utilisateur utilisée pour l’attribution d’utilisateurs. Ce champ s’affiche lorsque les informations utilisateur ou le jeton d’ID et les informations utilisateur sont sélectionnés pour le champ Mettre en service à l’aide .
      Mettre à jour l'utilisateur lors de la prochaine connexion Option permettant d’activer la mise à jour de l’utilisateur lors de la prochaine connexion.
      Mettre à jour la durée de l'intervalle d'utilisateur (en secondes) Intervalle de temps minimum, en secondes, pour mettre à jour un enregistrement utilisateur entre les connexions suivantes. Ce champ est automatiquement défini sur 3 600 secondes. Par exemple, après la connexion d’un utilisateur, l’enregistrement utilisateur est mis à jour après 3 600 secondes jusqu’à la prochaine connexion. Ce champ n’est disponible que lorsque le champ Mettre à jour l’utilisateur lors de la prochaine connexion est activé.
      Rôles d'utilisateur appliqués aux utilisateurs attribués Liste des rôles appliqués aux utilisateurs nouvellement mis en service.
    5. Onglet Entité OIDC
      Vous pouvez afficher et modifier la configuration du client OIDC et le flux de connexion OIDC à l’aide de l’enregistrement d’entité.
    6. Onglet Configuration du fournisseur OIDC
      Vous pouvez afficher et modifier l’URL de configuration connue de l’IdP OIDC ou de la validation de la demande de jeton d’ID.
    7. Facultatif : Onglet Avancé

      Scripts exécutés pendant l’authentification unique et la déconnexion.

      Tableau 4. Champs avancés
      Propriété Description
      Script d'authentification unique Script qui s’exécute pendant l’authentification unique. Ce champ est automatiquement défini sur MultiSSO_OIDC_custom.
      Script de déconnexion Script qui s’exécute après la déconnexion de l’utilisateur. Ce champ est automatiquement défini sur MultiSSO_OIDC_logout_custom.
    8. Facultatif : Dans l’onglet Authentification continue, configurez les champs suivants :
      Remarque :
      • L’onglet Authentification continue s’affiche uniquement lorsque vous installez le module d’extension Authentification Zero Trust - continue (com.snc.zero_trust_continuous_authentication) qui nécessite une licence.
      • Si vous utilisez la stratégie d’authentification continue pour protéger l’accès à la table ou à la classe de données, reportez-vous à la section Authentification continue (CA).
      Authentification continue : informations sur l’onglet
      Tableau 5. Authentification continue
      Champ Description
      Authentification continue configurée Cochez la case pour activer la configuration.
      URL du consommateur de l'authentification continue Fournissez l’URL du consommateur à partir du fournisseur d’identité.
      Script d'authentification continue

      Sélectionnez l’icône de recherche pour choisir le script fourni dans la plateforme. Dans cette configuration, pour OIDC Okta : ContinuousAuth_Okta_StepUp_Script
    9. Facultatif : Dans l’onglet Approbation de signature électronique, configurez la signature électronique pour l’IdP OIDC.
      Remarque :
      L’onglet Approbation de signature électronique s’affiche uniquement lorsque vous installez le module d’extension Approbation avec signature électronique (com.glide.e_signature_approvals).
      Tableau 6. Champs d’approbation de signature électronique
      Propriété Description
      URL de consommateur d'assertion pour l'authentification de signature électronique Si vous utilisez une méthode personnalisée de gestion de l’authentification OIDC pour les signatures électroniques, vous pouvez configurer votre propre URL de consommateur. Par exemple, si vous utilisez l’authentification unique (SSO) de plusieurs fournisseurs, vous n’avez pas besoin d’utiliser cette propriété. Ce format d’URL est https://yourinstance.service-now.com/consumer.do
      Largeur de la boîte de dialogue contextuelle d’authentification Largeur de la boîte de dialogue contextuelle d’authentification. Ce champ est automatiquement défini sur 800.
      Hauteur de la boîte de dialogue contextuelle d’authentification Hauteur de la boîte de dialogue contextuelle d’authentification. Ce champ est automatiquement défini sur 900.
    10. Facultatif : Accédez à la page de connexion de l’instance pour vérifier que l’IdP apparaît comme option de connexion.
      L’URL doit être au format suivant : https://yourinstance/login_with_sso.do?glide_sso_id=sysId_IdP
      Remarque :
      Si vous avez activé l’option Sélectionné comme option de connexion, vous pouvez accéder à l’URL de connexion de l’instance.