OpenID Connect-Konfiguration (OIDC) für Single Sign-on (SSO) erstellen
Erstellen oder aktualisieren Sie eine OIDC-Konfiguration (OpenID Connect) mithilfe des Mehrfachanbieter-SSO-Plugins.
Vorbereitungen
- Registrieren Sie eine OIDC-Anwendung bei Ihrem Identitätsanbieter (IdP), und notieren Sie die Client-ID, den geheimen Clientschlüssel und die URL der bekannten Konfiguration.
- Aktivieren Sie das Multi-Provider-SSO-Plugin
- Konfigurieren Sie Multi-Provider-SSO-Eigenschaften
- Aktivieren Sie das Plugin „Approval with e-Signature “, um eSignature für den OIDC-IdP zu aktivieren.
- Erforderliche Rolle: admin
Wenn Sie eine Client-ID, einen geheimen Clientschlüssel und eine bekannte Konfigurations-URL des Identitätsanbieters haben, können Sie die OIDC-Konfiguration für SSO direkt importieren.
Hinweis:
Die Anmeldeoption mit OIDC-IdP wird nicht unterstützt, wenn das Plugin „Domain Separation“ installiert ist.
Wenn Sie nicht über die erforderlichen Informationen zum Identitätsanbieter verfügen, können Sie OIDC für SSO manuell konfigurieren. Nach Abschluss der Konfiguration können sich Benutzer mit Social Identity-Anbietern von Drittanbietern wie Google OktaServiceNow bei Anwendungen von [] anmelden.
Prozedur
- Navigieren zu Alle > Mehrfachanbieter-SSO > Identity Provider.
-
Wählen Sie eine der folgenden Optionen aus.
- Um eine vorhandene Konfiguration zu aktualisieren, klicken Sie auf einen OIDC-Identitätsanbieter-Datensatz.
- Um eine neue Konfiguration zu erstellen, klicken Sie auf Neu, und wählen Sie OpenID Connectaus.
-
Geben Sie für eine neue Konfiguration die OIDC-Konfigurationsinformationen mit einer der folgenden Methoden ein.
Option Bezeichnung Importieren Sie die bekannte OpenID Connect-Konfiguration Wenn Sie die bekannte Konfigurations-URL zusammen mit den zugehörigen Client-Anmeldeinformationen haben, können Sie eine OIDC-Konfiguration direkt importieren. Hinweis:Wenn Sie die bekannte OIDC-Konfiguration importieren, werden alle zugehörigen Felder automatisch ausgefüllt.Konfigurieren Sie das OIDC-Identitätsanbieterformular manuell Wenn keine OAuth-OIDC-Entität vorhanden ist, schließen Sie das Popup-Fenster „OpenID Connect-Quellkonfiguration importieren“, und füllen Sie die Felder im Formular „OIDC-Identitätsanbieter“ manuell aus. Tabelle : 1. Importieren Sie OpenID Connect-Felder mit bekannter Konfiguration Eigenschaft Beschreibung Name Eindeutiger Name für die Konfiguration des OIDC-Identitätsanbieters. Client-ID Client-ID der Anwendung, die beim OIDC-Identitätsanbieter der Drittpartei registriert ist. Geheimer Clientschlüssel Geheimer Clientschlüssel der Anwendung, die beim OIDC-Identitätsanbieter der Drittpartei registriert ist. Bekannte Konfigurations-URL URL, die Metadaten zum OIDC-Identitätsanbieter der Drittpartei enthält. Alle Pflichtfelder im Formular „OIDC-Identitätsanbieter“ müssen ausgefüllt werden.
Bevor Sie das Formular „OIDC-Identitätsanbieter“ manuell ausfüllen, stellen Sie sicher, dass Sie bereits ein OAuth-Entitätsprofil für den OIDC-IdP haben.
Wenn Sie kein OAuth-Entitätsprofil haben, können Sie es mit den Standardvorlagen für externe OIDC-Provider wie Okta, Azure und anderen erstellen.
Der Gewährungstyp des OAuth-Entitätsprofils muss einen Autorisierungscode aufweisen. Weitere Informationen finden Sie unter OAuth-OIDC-Provider auf der Now Platform konfigurieren.
Hinweis:Sie können die Vorlagen von Identitätsanbietern von Drittanbietern verwenden. Auth0, Azure AD, Google und Okta sind in den Demodaten des Plugins „Single Sign-on-Installationsprogramm für mehrere Anbieter“ verfügbar.Tabelle : 2. OIDC-Identitätsanbieterfelder Eigenschaft Beschreibung Name Name des OIDC-Identitätsanbieter-Datensatzes. Aktiv Option zum Aktivieren der OIDC-IdP-Konfiguration Hinweis:Diese Option kann nur nach einer erfolgreichen Testverbindung aktiviert werden.Standard Option zum Festlegen der OIDC-IdP-Konfiguration als Standard, wenn mehr als eine OIDC-Konfiguration vorhanden ist. Automatische IdP-Weiterleitung Option zum Aktivieren der automatischen Umleitung der Benutzer zur Anmeldeseite des Identitätsanbieters. Dieses Feld wird angezeigt, wenn die Option Als IdP für automatische Umleitung festlegen im Abschnitt „Zugehörige Links“ festgelegt ist. Hinweis:Wenn Sie eine neue IdP-Konfiguration für die automatische Weiterleitung aktivieren, wird das Cookie glide_sso_id automatisch mit dem neuen IdP für die automatische Weiterleitung aktualisiert. Die Systemeigenschaft glide.authenticate.sso.update.idp.cookie steuert diese Funktion.OIDC-Entitätsprofil OAuth-Entitätsprofil für die OIDC-Konfiguration. ServiceNow Homepage Die URL der Anmeldeseite, die für die Authentifizierung verwendet wird. Dieses Feld wird automatisch auf Ihre Instanz-URL festgelegt. Das Format der URL lautet: https://IhreInstanz.service-now.com/navpage.do Weiterleitung für externe Abmeldung Die URL, an die die Integration Benutzer nach der Abmeldung umleitet. In der Regel das Portal, das für SSO verwendet wird. Dieses Feld wird automatisch auf external_logout_complete.do festgelegt. Beispiel: https://IhreInstanz.service-now.com/external_logout_complete.do Als Anmeldeoption anzeigen Option zum Anzeigen des OIDC-IdP als Anmeldeoption auf der Anmeldeseite. Die Anmeldeoption wird als Schaltfläche „ Anmeldung mit Identitätsanbieter “ angezeigt. SSO-Bezeichnung Bezeichnung des OIDC-IdP, der auf der Anmeldeseite angezeigt wird. Dieses Feld wird nur angezeigt, wenn die Option Als Anmeldung anzeigen aktiviert ist. Logo-URL Öffentlich verfügbare URL, die das Logo des OIDC-IdP-Providers enthält. Dieses Feld wird nur angezeigt, wenn die Option Als Anmeldung anzeigen aktiviert ist. - Wahlweise:
Aktivieren Sie die automatische Benutzerbereitstellung auf der Registerkarte „Benutzerbereitstellung“ > Registerkarte „Benutzerbereitstellung“.
Sie können die automatische Benutzerbereitstellung während der Benutzeranmeldung aktivieren. Wenn die automatische Benutzerbereitstellung aktiviert ist, wird automatisch ein Benutzerdatensatz in der ServiceNow-Instanz erstellt, wenn dieser Benutzerdatensatz nicht vorhanden ist.
Tabelle : 3. Benutzerbereitstellungsfelder Eigenschaft Beschreibung Benutzer automatisch bereitstellen Option zum Aktivieren der automatischen Anwenderbereitstellung. Diese Eigenschaft erstellt einen Benutzer in der Instanzbenutzertabelle (sys_user), wenn der Benutzer den IdP verlässt, aber nicht in der Benutzertabelle vorhanden ist. Bereitstellen mit Datenquelle, die zum Transformieren eines ID-Tokens, eines Benutzerinformationsendpunkts oder von ID-Token und Benutzerinformationen in einen ServiceNow-Benutzer verwendet werden soll. Verwenden Sie die Nachschlageliste, um die vordefinierte Datenquellenvorlage auszuwählen, und öffnen Sie dann den Datensatz, um die Transformationstabellenzuordnung zu konfigurieren. Bereitstellungsdatenquelle ID-Token-Datenquelle, die für die Benutzerbereitstellung verwendet wird. Datenquelle von Anwenderinformationen Die für die Anwenderbereitstellung verwendete Datenquelle des Anwenderinformationsendpunkts. Dieses Feld wird angezeigt, wenn Benutzerinformationen oder ID-Token und Benutzerinformationen für das Feld Bereitstellung mit ausgewählt sind. Anwender bei der nächsten Anmeldung aktualisieren Option zum Aktivieren der Anwenderaktualisierung bei der nächsten Anmeldung. Anwenderintervallzeit aktualisieren (Sekunden) Minimales Zeitintervall in Sekunden zum Aktualisieren eines Benutzerdatensatzes zwischen aufeinanderfolgenden Anmeldungen. Dieses Feld wird automatisch auf 3.600 Sekunden festgelegt. Beispiel: Nachdem sich ein Benutzer angemeldet hat, wird der Benutzerdatensatz 3.600 Sekunden bis zur nächsten Anmeldung aktualisiert. Dieses Feld ist nur verfügbar, wenn das Feld Benutzer bei der nächsten Anmeldung aktualisieren aktiviert ist. Auf bereitgestellte Benutzer angewendete Benutzerrollen Liste der Rollen, die auf die neu bereitgestellten Benutzer angewendet werden. -
Registerkarte „OIDC-Entität“.
Sie können die OIDC-Client-Konfiguration und den OIDC-Verbindungs-Flow mithilfe des Entitätsdatensatzes anzeigen und ändern.
-
Registerkarte „OIDC-Providerkonfiguration“.
Sie können die bekannte Konfigurations-URL der Validierung des OIDC-IdP- oder ID-Token-Anspruchs anzeigen und ändern.
- Wahlweise:
Registerkarte „Erweitert“
Skripts, die beim einmaligen Anmelden und Abmelden ausgeführt werden.
Tabelle : 4. Erweiterte Felder Eigenschaft Beschreibung Single Sign-on-Skript Skript, das während Single Sign-on ausgeführt wird. Dieses Feld wird automatisch auf MultiSSO_OIDC_custom festgelegt. Abmeldeskript Skript, das ausgeführt wird, nachdem sich der Benutzer abgemeldet hat. Dieses Feld wird automatisch auf MultiSSO_OIDC_logout_custom festgelegt. - Wahlweise:
Konfigurieren Sie auf der Registerkarte eSignature-Genehmigung die eSignature für den OIDC-IdP.
Hinweis:Die Registerkarte eSignature-Genehmigung wird nur angezeigt, wenn Sie das Plugin „ Approval with e-Signature “ (com.glide.e_signature_approvals) installieren.
Tabelle : 5. eSignature-Genehmigungsfelder Eigenschaft Beschreibung Assertionen-Verbraucher-URL für eSignatur-Authentifizierung Wenn Sie eine benutzerdefinierte Methode zur Verarbeitung der OIDC-Authentifizierung für eSignature verwenden, können Sie Ihre eigene Verbraucher-URL einrichten. Wenn Sie beispielsweise Mehrfachanbieter-SSO verwenden, müssen Sie diese Eigenschaft nicht verwenden. Dieses Format der URL ist https://IhreInstanz.service-now.com/consumer.do Breite des Popup-Dialogfelds für Authentifizierung Breite des Popup-Dialogfelds zur Authentifizierung. Dieses Feld wird automatisch auf 800festgelegt. Höhe des Popup-Dialogfelds für Authentifizierung Höhe des Popup-Dialogfelds für die Authentifizierung. Dieses Feld wird automatisch auf 900festgelegt. - Wahlweise:
Navigieren Sie zur Anmeldeseite der Instanz, um zu überprüfen, ob IdP als Anmeldeoption angezeigt wird.
Die URL muss das folgende Format aufweisen: https://yourinstance/login_with_sso.do?glide_sso_id=sysId_IdPHinweis:Wenn Sie „ Als Anmeldeoption ausgewählt“ aktiviert haben, können Sie zur Anmelde-URL der Instanz wechseln.