ServiceNow konfigurieren

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 5 Minuten Lesedauer

    • Konfigurieren Sie ServiceNow mit Azure AD-Details, um SSO zu verwenden.

    Vorbereitungen

    Plugin: Integration – Single Sign-on für mehrere Anbieter – Installationsprogramm

    Aktivieren Sie die SSO-Eigenschaften für mehrere Anbieter:

      • Wählen Sie SSO mit mehreren Providern aktivierenaus.
      • Wählen Sie Aktivieren Sie das automatische Importieren von Benutzern von allen Identitätsanbietern in die Benutzertabelle.
      • Wählen Sie Debug-Protokollierung für SSO-Integration mit mehreren Anbietern aktivierenaus.
      • Geben Sie „email“ein, das Feld in der Benutzertabelle, das….

    Erforderliche Rolle: Administrator

    Prozedur

    1. Navigieren zu Alle > Mehrfachanbieter-SSO > Identity Provider.
    2. Wählen Sie auf der Seite „Identitätsanbieter“ Neu.
    3. Wählen Sie im Fenster „Identitätsanbieter“ SAMLaus.
    4. Beim Importieren von Identity Provider-Metadaten haben Sie folgende Möglichkeiten:
      • URL: App-Verbund-Metadaten-URL zum automatischen Ausfüllen der Details auf der Konfigurationsseite des Identitätsanbieters.
      • Import: Importieren Sie die XML-Datei, um die Details auf der Konfigurationsseite des Identitätsanbieters zu importieren.
    5. Klicken Sie mit der rechten Maustaste oben auf dem Bildschirm, klicken Sie auf sys_id kopierenund verwenden Sie diesen Wert für die Sign-on-URL im Abschnitt Grundlegende SAML-Konfiguration.
    6. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Single Sign-on-Felder für mehrere Provider
      Eigenschaft Erforderlich Beschreibung
      Name Ja Name für den IdP Dieser IdP ist die Sys-ID für die automatische Umleitung.
      Aktiv Ja „Aktiv“ muss für den IdP, der für die Authentifizierung verwendet werden soll, auf „wahr“ festgelegt werden.
      Hinweis:
      Die Option zum Festlegen dieser Eigenschaft ist nur nach einer erfolgreichen Testverbindung verfügbar.
      Standard Nein Der IdP mit automatischer Weiterleitung (früher als primärer IdP bezeichnet) leitet Benutzer automatisch zum Zugriff auf die Basisinstanz-URL um. Diese Eigenschaft legt diese IdP-Konfiguration als Standard fest.
      Automatische IdP-Weiterleitung Nein IdP-Konfiguration, die Sie als automatische IdP-Weiterleitung festlegen können.
      Hinweis:
      Wenn Sie eine neue IdP-Konfiguration für die automatische Weiterleitung aktivieren, wird das Cookie glide_sso_id mit dem neuen IdP für die automatische Weiterleitung aktualisiert. Die Systemeigenschaft glide.authenticate.sso.update.idp.cookie, die automatisch aktiviert ist, steuert diese Funktion.
      URL des Identitätsanbieters Ja URL zu Ihrem IdP. Jede IdP-URL muss eindeutig sein.
      AuthnRequest des Identitätsanbieters Ja URL zur HTTP-Redirect-Bindung, die vom SingleSignOnService-Element abgerufen wird.
      SingleLogoutRequest des Identitätsanbieters Nein URL, die vom SingleLogoutService-Element abgerufen wird.
      ServiceNow Homepage Ja URL, einschließlich Anmeldeseite, der Instanz, für die sich der IdP authentifiziert. Beispiel: https://IhreInstanz.service-now.com/navpage.do
      Entitäts-ID/Aussteller Ja Basis-URL, ohne die Anmeldeseite der Instanz, für die sich der IdP authentifiziert. Beispiel: https://IhreInstanz.service-now.com/
      Zielgruppen-URI Ja Basis-URL, ohne die Anmeldeseite der Instanz, für die sich der IdP authentifiziert. Beispiel: https://IhreInstanz.service-now.com/
      NameID-Richtlinie Ja Wert des NameIDFormat-Elements, das die Integration verwendet.
      Weiterleitung für externe Abmeldung Nein URL, an die die Integration Anwender nach der Abmeldung weiterleitet.
      Fehlerhafte Anforderungsumleitung Nein URL für die Umleitung fehlgeschlagener Authentifizierungsanforderungen. Standardmäßig ist dies der URL-Endpunkt einer im IdP konfigurierten Fehlerseite oder Abmeldeseite. Sie können diesen Wert im Feld glide.authenticate.failed_requirement_redirect ausfüllen.
    7. Wahlweise: Registerkarte „Verschlüsselung und Signierung“.
      Hinweis:
      Verwenden Sie Ihre eigenen Zertifikate für die Verschlüsselung und Signatur.

      Registerkarte „Verschlüsselung und Signierung“.
      Tabelle : 2. Verschlüsselungs- und Signaturfelder
      Eigenschaft Beschreibung
      Alias zum Signieren/für Verschlüsselungsschlüssel Alias des im SAML 2.0 SP-Schlüsselspeichergespeicherten Schlüsseleintrags.
      Signaturschlüssel-Passwort Passwort des im SAML 2.0 SP-Schlüsselspeichergespeicherten Schlüsseleintrags.
      Assertion verschlüsseln Aktivieren Sie die Checkbox, um die Assertion in der SAML-Antwort zu verschlüsseln. In den für den IdP generierten Metadaten ist das x509-Zertifikat eingebettet, das der IdP zum Verschlüsseln der Assertion in der von ihm generierten SAML-Antwort verwendet.
      Signaturalgorithmus für Signieren URL, die auf den AuthnRequest-Verbraucher des SAML 2.0-Identitätsanbieters für die eSignature-Authentifizierung verweist.
      AuthnRequest signieren Aktivieren Sie die Checkbox, damit der IdP-Single-Sign-on-Service eine signierte AuthnRequest empfängt.
      LogoutRequest signieren Aktivieren Sie die Checkbox, damit der IdP-Single-Sign-on-Service eine signierte LogoutRequest empfängt.
    8. Wahlweise: Registerkarte Anwenderbereitstellung
      Registerkarte „Anwenderbereitstellung“.
      Tabelle : 3. Felder für die Anwenderbereitstellung
      Eigenschaft Beschreibung
      Automatische Bereitstellung von Anwender Bei der automatischen Anwenderbereitstellung werden die Anwender basierend auf den vom IdP bereitgestellten Informationen erstellt, wenn der Anwender in der Instanzanwendertabelle nicht vorhanden ist.
      Anwenderdatensatz bei jeder Anmeldung aktualisiere Jedes Mal, wenn sich der Anwender mit SAML anmeldet, werden die Anwenderinformationen in der Instanzanwendertabelle mit den Informationen im IdP aktualisiert.
    9. Wahlweise: Registerkarte „Erweitert“
      Registerkarte „Erweitert“.
      Tabelle : 4. Erweiterte Felder
      Eigenschaft Beschreibung
      Anwenderfeld Feld in der Benutzertabelle, das den Wert enthält, den der IdP zum Identifizieren des Benutzers benötigt. Diese eindeutige ID ist Teil der Antwort. Zum Beispiel ein Anwendername, eine Mitarbeiter-ID usw. In der Sys-Benutzertabelle wird diese eindeutige ID mit den Benutzerdetails abgeglichen.
      Attribut NameID Feld, das Sie leer lassen, es sei denn, Sie konfigurieren eine neue NameID-Richtlinie. Wenn Sie eine neue Richtlinie konfigurieren, benötigt das System die Benutzertabelle, die es verwenden muss, um den Benutzer zu identifizieren, der sich anmeldet. Das System gleicht das NameID-Token mit dem Namen des betreffenden Benutzertabellenfelds ab.
      AuthnContextClass erstellen Aktivieren Sie die Checkbox, um eine bestimmte Kontextklasse anzugeben, wie z. B. Passwortgeschützter Transport. Wenn das Kontrollkästchen deaktiviert ist, wählt der IdP die am besten geeignete Kontextklasse aus.
      AuthnContextClassRef-Methode URN des Anmeldemechanismus, den der IdP zur Authentifizierung von Anwendern verwenden soll.
      AuthnRequest erzwingen Aktivieren Sie die Checkbox, um das Auftreten von AuthnRequests zu erzwingen.
      Ist passive AuthnRequest Checkbox, wenn AuthnRequest passiv ist.
      Single Sign-on-Skript Single Sign-on-Skript. Der Standardwert ist MultiSSOV2_SAML2_custom.
      Abmeldeantwort signieren Details zur Abmeldeantwort in diesem Feld.
      Taktversatz Anzahl der Sekunden zwischen den beiden Attributen, aus denen die SAML-Antwort-Nonce besteht. Der Standardwert ist 60. Eine gültige SAML-Antwort muss zwischen den Datums-/Zeit-Werten von „notBefore“ und „notOnOrAfter“ liegen. Eine Beispiel-SAML-Antwortnachricht finden Sie unter Beispiel-SAML-2-Antwort mit den Elementen SubjectConfirmation und SubjectConfirmationData sowie Beispiel-SAML-2-Antwort mit den Elementen AudienceRestrictions und Audience.
      Protokollbindung für „SingleLogoutReuqest“ des IdP Einer der unterstützten Werte, die im Bindungsattribut des SingleLogoutService-Elements aufgeführt sind.
      Metadaten-URL, aus der IDP-Eigenschaften importiert werden Von dieser URL werden IdP-Eigenschaften importiert. Wenn festgelegt, wird der automatische Import des SAML-Zertifikats vom IdP aktiviert, wenn das vorherige Zertifikat abgelaufen ist.
      Hinweis:
      Wenn Sie ein Upgrade von SAML2 Update 1 auf Multi-Provider-SSO durchführen oder Ihre SSO-Verbindung manuell einrichten, wird die URL für die IdP-Metadaten nicht automatisch ausgefüllt.
      Anforderung Eindeutige ID als Teil der Anforderung. Die ID kann ein Anwendername, eine Mitarbeiter-ID usw. sein.
      Hinweis:
      Sowohl die Weiterleitung als auch die Nachbindung werden für die Anforderung unterstützt. Die Option zum Festlegen dieses Felds wird nur nach einer erfolgreichen Testverbindung angezeigt. Weitere Informationen finden Sie unter IdP-Verbindungen werden getestet.
      Antwort Eindeutige ID als Teil der Antwort. Die ID kann ein Anwendername, eine Mitarbeiter-ID usw. sein.
      Hinweis:
      Sowohl die Umleitung als auch die Nachbindung werden für die Antwort unterstützt. Die Option zum Festlegen dieses Felds wird nur nach einer erfolgreichen Testverbindung angezeigt. Weitere Informationen finden Sie unter IdP-Verbindungen werden getestet.
    10. Wählen Sie Verbindung testen in der oberen rechten Ecke der Seite.
    11. Geben Sie Ihre Anmeldeinformationen ein.
      Die Ergebnisse des SSO-Logouttests werden angezeigt.
    12. Wählen Sie Aktivieren aus, um die Konfiguration zu aktivieren.