Erstellen Sie einen externen Identitätsanbieter

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Nachdem Sie die Multi-Provider-SSO-Eigenschaften konfiguriert haben, können Sie den Identitätsanbieter für SAML 2.0 oder Digest-Token aktualisieren oder neu erstellen.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Navigieren zu Alle > Mehrfachanbieter-SSO > Identity Provider.
    2. Um einen Identitätsanbieter-Datensatz zu bearbeiten, klicken Sie auf den Datensatz.
      • Aktualisieren Sie für Digest-Token-Konfigurationen die Eigenschaften manuell.
      • Aktualisieren Sie für SAML2 Update 1-Konfigurationen die Metadaten des Identitätsanbieters automatisch mit dem zugehörigen Link Metadaten des Identitätsanbieters importieren, oder aktualisieren Sie die Eigenschaften manuell.
      • Aktualisieren Sie für OpenID Connect-Konfigurationen die Eigenschaften manuell.
    3. Um einen neuen Identitätsanbieter zu erstellen, klicken Sie auf Neu.
      • Für Digest-Token-Konfigurationen: Klicken Sie auf Digest SSO, und geben Sie die Digest-Eigenschaften für Single Sign-on mit mehreren Anbietern ein.
      • Für SAML2-Konfigurationen: Klicken Sie auf MultiSSOV2_SAML2_custom, und importieren Sie die Identitätsanbieter-Metadaten von einer URL oder als XML, oder geben Sie die Identitätsanbieter-Informationen manuell ein.
        Metadaten des Identitätsanbieters werden importiert
      • Für OpenID Connect: Klicken Sie auf OpenID Connect, und geben Sie die Client-ID, den geheimen Clientschlüssel und die bekannte Konfigurations-URL ein.
    4. Um den IdP als Failover-IdP festzulegen, der verwendet wird, wenn der Standard-IdP nicht verfügbar ist, aktivieren Sie das Kontrollkästchen Standard.

      Wenn SAML 2 Update 1 aktiv ist und Sie ein Upgrade auf das Fuji-Release durchführen, wird der IdP von SAML 2 Update 1 als Standard-Failover ausgewählt. Für neue Instanzen oder wenn Sie ein Upgrade von einem Release durchführen, auf dem SAML 2 Update 1 nicht aktiv ist, wird kein standardmäßiger Failover-IdP ausgewählt.

      Hinweis:
      Der Metadatenimportprozess erstellt automatisch einen Zertifikatdatensatz für den Identitätsanbieter. Navigieren Sie zum Modul x509-Zertifikat, um das Zertifikat anzuzeigen.
      Hinweis:
      Zertifikate für Single Sign-on müssen immer im PEM-Format vorliegen, damit sie mit SAML-Zertifikaten funktionieren.
    5. Wenn E-Signatur aktiv ist, konfigurieren Sie das Identitätsanbieterformular, und fügen Sie das Feld Assertion Consumer URL for eSignature Authentication hinzu.
      In den meisten Fällen lautet diese URL: https://YOURINSTANCE.service-now.com/consumer.do. Wenn Sie jedoch eine benutzerdefinierte Methode zur Verarbeitung der SAML-Authentifizierung für E-Signatur verwenden, können Sie Ihre eigene Verbraucher-URL einrichten. Wenn Sie nur SAML 2.0 Update 1 und kein Single Sign-on für mehrere Anbieter verwenden, konfigurieren Sie die Assertion-Verbraucher-URL mit den E-Signatur-SAML-Eigenschaften.