ServiceNow konfigurieren

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 5 Minuten Lesedauer

    • Konfigurieren Sie ServiceNow mit Azure AD-Details, um SSO zu verwenden.

    Vorbereitungen

    Plugin: Integration – Single Sign-on-Installationsprogramm für mehrere Anbieter

    Aktivieren Sie die SSO-Eigenschaften für Mehrfachanbieter:

      • Wählen Sie SSO für mehrere Anbieter aktivieren aus.
      • Wählen Sie Aktivieren des automatischen Imports von Benutzern aus allen Identitätsanbietern in die Benutzertabelle.
      • Wählen Sie Debug-Protokollierung für SSO-Integration mit mehreren Anbietern aktivieren aus.
      • Geben Sie emailein, das Feld in der Benutzertabelle, das….

    Erforderliche Rolle: admin

    Prozedur

    1. Navigieren zu Alle > Mehrfachanbieter-SSO > Identity Provider.
    2. Wählen Sie auf der Seite „Identitätsanbieter“ die Option Neuaus.
    3. Wählen Sie im Fenster „Identitätsanbieter“ SAMLaus.
    4. Unter „Metadaten des Identitätsanbieters importieren“ haben Sie folgende Möglichkeiten:
      • URL: Metadaten-URL des App-Verbunds zum automatischen Ausfüllen der Details auf der Konfigurationsseite des Identitätsanbieters.
      • Importieren: Importieren Sie die XML-Datei, um die Details auf der Konfigurationsseite des Identitätsanbieters zu importieren.
    5. Klicken Sie mit der rechten Maustaste oben auf dem Bildschirm, klicken Sie auf sys_id kopieren, und verwenden Sie diesen Wert für die Anmelde- URL im Abschnitt SAML-Grundkonfiguration.
    6. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Single Sign-on-Felder für mehrere Anbieter
      Eigenschaft Erforderlich Beschreibung
      Name Ja Name für den IdP Dieser IdP ist die Sys-ID der automatischen Umleitung.
      Aktiv Ja Aktiv muss für den IdP, der für die Authentifizierung verwendet werden soll, auf „true“ festgelegt werden.
      Hinweis:
      Die Option zum Festlegen dieser Eigenschaft ist nur nach einer erfolgreichen Testverbindung verfügbar.
      Standard Nein IdP mit automatischer Umleitung, früher als primärer IdP bezeichnet, leitet Benutzer automatisch zum Zugriff auf die Basisinstanz-URL um. Diese Eigenschaft legt diese IdP-Konfiguration als Standard fest.
      Automatische IdP-Weiterleitung Nein IdP-Konfiguration, die Sie als IdP für die automatische Umleitung festlegen können.
      Hinweis:
      Wenn Sie eine neue IdP-Konfiguration für die automatische Weiterleitung aktivieren, wird das Cookie glide_sso_id mit dem neuen IdP für die automatische Weiterleitung aktualisiert. Die automatisch aktivierte Systemeigenschaft glide.authenticate.sso.update.idp.cookie steuert diese Funktion.
      URL des Identitätsanbieters Ja URL zu Ihrem IdP Jede IdP-URL muss eindeutig sein.
      AuthnRequest des Identitätsanbieters Ja URL zur HTTP-Redirect-Bindung, die vom SingleSignOnService-Element abgerufen wird.
      SingleLogoutRequest des Identitätsanbieters Nein URL, die aus dem SingleLogoutService-Element abgerufen wird.
      ServiceNow Homepage Ja URL, einschließlich Anmeldeseite, der Instanz, für die sich der IdP authentifiziert Beispiel: https://IhreInstanz.service-now.com/navpage.do
      Entitäts-ID/Aussteller Ja Basis-URL, ausgenommen die Anmeldeseite der Instanz, für die sich der IdP authentifiziert. Beispiel: https://IhreInstanz.service-now.com/
      Zielgruppen-URI Ja Basis-URL, ausgenommen die Anmeldeseite der Instanz, für die sich der IdP authentifiziert. Beispiel: https://IhreInstanz.service-now.com/
      NameID-Richtlinie Ja Wert des NameIDFormat-Elements, das die Integration verwendet.
      Weiterleitung für externe Abmeldung Nein URL, an die die Integration Benutzer nach der Abmeldung umleitet.
      Fehlerhafte Anforderungsumleitung Nein URL für die Umleitung fehlgeschlagener Authentifizierungsanforderungen. Standardmäßig ist dies der URL-Endpunkt einer Fehlerseite oder Abmeldeseite, die im IdP konfiguriert ist. Sie können diesen Wert im Feld glide.authenticate.failed_requirement_redirect ausfüllen.
    7. Wahlweise: Registerkarte „Verschlüsselung und Signatur“.
      Hinweis:
      Verwenden Sie Ihre eigenen Zertifikate für die Verschlüsselung und Signierung.

      Registerkarte „Verschlüsselung und Signatur“.
      Tabelle : 2. Felder Verschlüsselung und Signieren
      Eigenschaft Beschreibung
      Alias zum Signieren/für Verschlüsselungsschlüssel Alias des im SAML 2.0 SP-Schlüsselspeicher gespeicherten Schlüsseleintrags.
      Signaturschlüssel-Passwort Passwort des im SAML 2.0 SP-Schlüsselspeicher gespeicherten Schlüsseleintrags.
      Assertion verschlüsseln Checkbox zum Verschlüsseln der Assertion in der SAML-Antwort. Die für den IdP generierten Metadaten enthalten das x509-Zertifikat, mit dem der IdP die Assertion in der von ihm generierten SAML-Antwort verschlüsselt.
      Signaturalgorithmus für Signieren URL, die auf den AuthnRequest-Verbraucher des SAML 2.0-Identitätsanbieters für die eSignature-Authentifizierung verweist.
      AuthnRequest signieren Kontrollkästchen, um den Single Sign-on-Service des IdP für den Empfang einer signierten AuthnRequest zu aktivieren.
      LogoutRequest signieren Checkbox, um den Single Sign-on-Service des IdP für den Empfang einer signierten LogoutRequest zu aktivieren.
    8. Wahlweise: Registerkarte Benutzerbereitstellung
      Registerkarte „Benutzerbereitstellung“
      Tabelle : 3. Benutzerbereitstellungsfelder
      Eigenschaft Beschreibung
      Automatische Bereitstellung von Benutzer Bei der automatischen Benutzerbereitstellung werden Benutzer basierend auf den vom IdP bereitgestellten Informationen erstellt, wenn der Benutzer nicht in der Benutzertabelle der Instanz vorhanden ist.
      Benutzerdatensatz bei jeder Anmeldung aktualisiere Aktualisieren Sie jedes Mal, wenn sich der Benutzer mit SAML anmeldet, die Benutzerinformationen in der Benutzertabelle der Instanz mit den Informationen im IdP.
    9. Wahlweise: Registerkarte „Erweitert“
      Registerkarte „Erweitert“.
      Tabelle : 4. Erweiterte Felder
      Eigenschaft Beschreibung
      Benutzerfeld Feld in der Benutzertabelle, das den Wert enthält, den der IdP zum Identifizieren des Benutzers benötigt. Diese eindeutige ID ist Teil der Antwort. Zum Beispiel ein Benutzername, eine Mitarbeiter-ID usw. In der Sys-Benutzertabelle wird diese eindeutige ID mit den Benutzerdetails abgeglichen.
      Attribut NameID Feld, das Sie leer lassen, es sei denn, Sie konfigurieren eine neue NameID-Richtlinie. Wenn Sie eine neue Richtlinie konfigurieren, benötigt das System die Benutzertabelle, die zum Identifizieren des Benutzers verwendet werden muss, der sich anmeldet. Das System gleicht das NameID-Token mit dem Namen dieses Benutzertabellenfelds ab.
      AuthnContextClass erstellen Kontrollkästchen, um eine bestimmte Kontextklasse anzugeben, z. B. Passwortgeschützte Übertragung. Wenn das Kontrollkästchen deaktiviert ist, wählt der IdP die am besten geeignete Kontextklasse aus.
      AuthnContextClassRef-Methode URN des Anmeldemechanismus, den der IdP zur Authentifizierung von Benutzern verwenden soll.
      AuthnRequest erzwingen Kontrollkästchen, um das Auftreten von AuthnRequests zu erzwingen.
      Ist „Passive AuthnRequest“. Checkbox, wenn AuthnRequest passiv ist.
      Single Sign-on-Skript Single Sign-on-Skript. Der Standardwert ist MultiSSOV2_SAML2_custom.
      Abmeldeantwort signieren Details zur Abmeldungsantwort in diesem Feld.
      Taktversatz NAnzahl von Sekunden zwischen den beiden Attributen, aus denen die SAMLResponse-Nonce besteht. Der Standardwert ist 60. Eine gültige SAMLResponse muss zwischen den Datums-/Uhrzeitwerten notBefore und notOnOrAfter liegen. Eine Beispiel-SAMLResponse-Nachricht finden Sie unter SAML 2-Beispielantwort mit den Elementen SubjectConfirmation und SubjectConfirmationData und SAML 2-Beispielantwort mit AudienceRestrictions- und Audience-Elementen.
      Protokollbindung für SingleLogoutReuqest des IdP Einer der unterstützten Werte, die im Bindungsattribut des SingleLogoutService-Elements aufgeführt sind.
      Metadaten-URL, aus der IdP-Eigenschaften importiert werden IdP-Eigenschaften werden von dieser URL importiert. Wenn festgelegt, wird der automatische Import des SAML-Zertifikats vom IdP aktiviert, wenn das vorherige Zertifikat abgelaufen ist.
      Hinweis:
      Wenn Sie ein Upgrade von SAML2 Update 1 auf Multi-Provider-SSO durchführen oder Ihre SSO-Verbindung manuell einrichten, wird die IdP-Metadaten-URL nicht automatisch ausgefüllt.
      Anforderung Eindeutige ID als Teil der Anforderung. Die ID kann ein Benutzername, eine Mitarbeiter-ID usw. sein.
      Hinweis:
      Sowohl die Umleitungs- als auch die Nachbindung werden für die Anforderung unterstützt. Die Option zum Festlegen dieses Felds wird nur nach einer erfolgreichen Testverbindung angezeigt. Weitere Informationen finden Sie unter IdP-Verbindungen werden getestet.
      Antwort Eindeutige ID als Teil der Antwort. Die ID kann ein Benutzername, eine Mitarbeiter-ID usw. sein.
      Hinweis:
      Sowohl die Umleitung als auch die Nachbindung werden für die Antwort unterstützt. Die Option zum Festlegen dieses Felds wird nur nach einer erfolgreichen Testverbindung angezeigt. Weitere Informationen finden Sie unter IdP-Verbindungen werden getestet.
    10. Wählen Sie oben rechts auf der Seite Testverbindung aus.
    11. Geben Sie Ihre Anmeldeinformationen ein.
      Die SSO Logout-Testergebnisse werden angezeigt.
    12. Wählen Sie Aktivieren aus, um die Konfiguration zu aktivieren.