Generieren von SP-Metadaten für benutzerdefinierte SAML/SSO-URL-Installationen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Für eine SAML- oder SSO-Installation müssen die SP-Metadaten für den IdP generiert werden, bevor die benutzerdefinierte URL-Instanz generiert wird.

    Vorbereitungen

    Erforderliche Rolle: admin
    Der IdP benötigt SP-Metadaten für die Instanz, um Anforderungen zu authentifizieren und weiterzuleiten.
    Hinweis:
    Das Hinzufügen der Assertion Consumer Service-URL (SP-Anmelde-URL) kann für jeden IdP (Azure, ADFS oder Okta) unterschiedlich sein.

    Prozedur

    1. Wählen Sie Ihr installiertes SSO-Plugin aus:
      OptionBezeichnung
      Mehrfachanbieter-SSO Navigieren zu Mehrfachanbieter-SSO > Identity Provider. Wählen Sie einen IdP aus, und klicken Sie auf die Schaltfläche Metadaten generieren. Die Integration generiert automatisch die SP-Metadaten der Instanz aus den Systemeigenschafteneinstellungen.
      SAML 2-SSO Navigieren zu SAML 2 Single Sign-on > Metadaten. Die Integration generiert automatisch die SP-Metadaten der Instanz aus den Systemeigenschafteneinstellungen.
    2. Kopieren Sie die SP-Metadaten in das Textfeld.

      Beispiel:

      <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://yourinstance.service-now.com">
 	<SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
		<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://yourinstance.service-now.com/navpage.do" />
		<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
		<AssertionConsumerService isDefault="true" index="0" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yourinstance.service-now.com/navpage.do" />
		<AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yourinstance.service-now.com/consumer.do"/>
	</SPSSODescriptor>
</EntityDescriptor>
    3. Stellen Sie die SP-Metadaten der Instanz für den IdP bereit.
      Zum Beispiel ermöglicht SSOCircle einem Benutzer, die SP-Metadaten online bereitzustellen.
    4. Wahlweise: So richten Sie benutzerdefinierte URLs in Azure ein:
      1. Wechseln Sie zu App-Registrierungen.
      2. Wählen Sie im Menü Alle Apps aus.
      3. Wählen Sie die ServiceNow-App aus.
      4. Klicken Sie auf Einstellungen, um die URL zu konfigurieren.
    5. Wahlweise: So richten Sie benutzerdefinierte URLs in Okta ein:
      1. Erstellen Sie zwei ServiceNow UD Okta-Anwendungen.
      2. Eine Okta-Anwendung für die Instanz-URL „service-now.com“.
      3. Eine Okta-Anwendung für die benutzerdefinierte URL.
        Hinweis:
        • Deaktivieren Sie die Option Authentifizierung erzwingen in der Okta-Konfiguration, damit die Testverbindung erfolgreich ausgeführt wird.
        • Wenn Sie den Identitätsanbieter-Datensatz testen, der der Basis-URL zugeordnet ist, stellen Sie sicher, dass Sie sich bei der Instanz mit der Basis-URL anmelden müssen.
        • Wenn Sie den Identitätsanbieter testen, der der benutzerdefinierten URL zugeordnet ist, stellen Sie sicher, dass Sie sich mit der benutzerdefinierten URL bei der Instanz angemeldet haben.
    6. Wahlweise: Um die OAuth-Authentifizierung zu verwenden, richten Sie die Umleitungs-URL als alle registrierten benutzerdefinierten URLs in der OAuth-Anwendungsendpunktkonfiguration für die externen Clientanwendungen ein.
      Die Umleitungs-URL ist gleichbedeutend mit der Rückruf-URL, an die der Autorisierungsserver umleitet.
    7. Wahlweise: Um den Google reCAPTCHA-Service zu verwenden, richten Sie ein API-Schlüsselpaar ein.