Generieren Sie SP-Metadaten für anwenderdefinierte SAML/SSO-URL-Installationen

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 1 Minute Lesedauer

    • Bei einer SAML- oder SSO-Installation müssen die SP-Metadaten für den IdP generiert werden, bevor die anwenderdefinierte URL-Instanz generiert wird.

    Vorbereitungen

    Erforderliche Rolle: admin
    Der IdP benötigt SP-Metadaten für die Instanz, um Anforderungen zu authentifizieren und weiterzuleiten.
    Hinweis:
    Das Hinzufügen der Assertion Consumer Service-URL (SP-Anmelde-URL) kann für jeden IdP (Azure, ADFS oder Okta) unterschiedlich sein.

    Prozedur

    1. Wählen Sie Ihr installiertes SSO-Plugin:
      OptionBezeichnung
      Mehrfachanbieter-SSO Navigieren zu Mehrfachanbieter-SSO > Identity Provider. Wählen Sie einen IdP aus, und klicken Sie auf die Schaltfläche Metadaten generieren. Die Integration generiert die SP-Metadaten der Instanz automatisch aus den Einstellungen für die Systemeigenschaft.
      SAML 2 SSO Navigieren zu SAML 2 Single Sign-on > Metadaten. Die Integration generiert die SP-Metadaten der Instanz automatisch aus den Einstellungen für die Systemeigenschaft.
    2. Kopieren Sie die SP-Metadaten in das Textfeld.

      Zum Beispiel:

      <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://yourinstance.service-now.com">
 	<SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
		<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://yourinstance.service-now.com/navpage.do" />
		<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
		<AssertionConsumerService isDefault="true" index="0" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yourinstance.service-now.com/navpage.do" />
		<AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yourinstance.service-now.com/consumer.do"/>
	</SPSSODescriptor>
</EntityDescriptor>
    3. Stellen Sie dem IdP die SP-Metadaten der Instanz bereit.
      Beispielsweise ermöglicht SSOCircle einem Benutzer, die SP-Metadaten online bereitzustellen.
    4. Wahlweise: So richten Sie anwenderdefinierte URLs in Azure ein:
      1. Wechseln Sie zu App-Registrierungen.
      2. Wählen Sie im Menü Alle Apps aus.
      3. Wählen Sie die ServiceNow-Appaus.
      4. Klicken Sie auf Einstellungen, um die URL zu konfigurieren.
    5. Wahlweise: So richten Sie anwenderdefinierte URLs in Okta ein:
      1. Erstellen Sie zwei ServiceNow UD Okta-Anwendungen.
      2. One Okta-Anwendung für die Instanz-URL „service-now.com“.
      3. One Okta-Anwendung für die anwenderdefinierte URL
        Hinweis:
        • Deaktivieren Sie „ Authentifizierung erzwingen“ in der Okta-Konfiguration, damit die Testverbindung erfolgreich ausgeführt wird.
        • Wenn Sie den Identitätsanbieter-Datensatz testen, der der Basis-URL zugeordnet ist, müssen Sie sich bei der Instanz mit der Basis-URL anmelden.
        • Wenn Sie den Identitätsanbieter testen, der der anwenderdefinierten URL zugeordnet ist, stellen Sie sicher, dass Sie sich mit der anwenderdefinierten URL bei der Instanz anmelden.
    6. Wahlweise: Um die OAuth-Authentifizierung zu verwenden, richten Sie die Umleitungs-URL als alle registrierten anwenderdefinierten URLs in der OAuth-Anwendungsendpunktkonfiguration für die externen Client-Anwendungen ein.
      Die Umleitungs-URL ist gleichbedeutend mit der Rückruf-URL, an die der Autorisierungsserver umleitet.
    7. Wahlweise: Zur Verwendung des Google reCAPTCHA-Service richten Sie ein API-Schlüsselpaar ein.