OAuth 2.0

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Mit OAuth 2,0 können Anwender über externe Clients auf Instanzressourcen zugreifen, indem sie ein Token abrufen, anstatt bei jeder Ressourcenanforderung Anmeldeinformationen einzugeben.

    Sie müssen über die Rolle „Security_admin“ verfügen, um die OAuth-Integration zu verwalten. Konfigurieren Sie OAuth 2,0 für die folgenden Szenarien:

    • Szenario des externen OAuth-Clients (Eingehend): Ihre Instanz stellt einen Endpunkt für Drittpartei-Clients bereit, um Daten aus der Instanz abzurufen.
    • OAuth-Anbieterszenario (Ausgehend): Ihre Instanz ruft Daten von einem Drittanbieter ab.
    Hinweis:
    Sie müssen sich zum ersten Mal vom Anwender authentifizieren, um den Token-Post abzurufen. Sie müssen sich vor Ablauf des Tokens nicht mit einem Anwenderaccount authentifizieren.

    Sowohl einfache Sicherheits- als auch Hochsicherheits-Frameworks unterstützen OAuth 2,0. Hohe Sicherheit wird empfohlen. Unter finden Sie Informationen darüber, welche Versionen mit hoher Sicherheit bereits aktiv sind und wie hohe Sicherheit aktiviert werden kann.

    Schlüsselkonzepte der OAuth 2,0-Implementierung

    Konzept Beschreibung
    Ressourcenbesitzer Eine Entität, die Zugriff auf eine geschützte Ressource gewähren kann. Ein Ressourcenbesitzer, der eine Person ist, wird als bezeichnet Endanwender . Der Ressourcenbesitzer ist immer ein Anwenderaccount.
    Client Eine Anwendung, die mit der Autorisierung des Ressourcenbesitzers Anforderungen für geschützte Ressourcen im Namen des Ressourcenbesitzers stellt.
    Ressourcenserver Der Server, der die geschützten Ressourcen hostet und Anforderungen für geschützte Ressourcen annehmen und beantworten kann.
    Autorisierungsserver Der Server, der Zugriffstoken für den Client ausgibt, nachdem der Ressourcenbesitzer erfolgreich authentifiziert und die Autorisierung erhalten wurde.
    Autorisierungsanforderung Die Berechtigung, die ein Client für den Zugriff auf eine geschützte Ressource benötigt. Die Autorisierungsanforderung ist immer eine HTTP-POST-Nachricht, die die ID des Clients enthält, der im Namen des Ressourcenbesitzers handelt, und Anmeldeinformationen, die die Anforderung autorisieren.
    Autorisierungsgewährung Eine Anmeldeinformation, die die Autorisierung des Ressourcenbesitzers für den Zugriff auf eine Ressource darstellt. Die Autorisierungsgewährung ist entweder Anmeldeinformationen für die Anwenderanmeldung oder ein Aktualisierungstoken.
    Zugriffstoken Eine sichere Zeichenfolge, die ein Client für den Zugriff auf geschützte Ressourcen verwendet. Eine Instanz stellt Zugriffstoken für Clients aus, die über eine gültige Autorisierungsgewährung verfügen. Jedes Zugriffstoken hat einen bestimmten Umfang, eine bestimmte Lebensdauer und andere Attribute.

    Standardmäßig gibt eine Instanz Zugriffstoken mit einer Lebensdauer von 30 Minuten aus, wenn die Instanz der OAuth-Anbieter ist. Für Drittpartei-Token 30 Tage.
    Token neu laden Anmeldeinformationen, die ein Client verwendet, um neue Zugriffstoken zu erhalten, ohne dass eine zusätzliche Anwenderautorisierung erforderlich ist. Eine Instanz gibt ein Aktualisierungstoken für einen Client aus, wenn er zum ersten Mal berechtigt ist, ein Zugriffstoken zu haben.

    Standardmäßig gibt eine Instanz Aktualisierungstoken mit einer Lebensdauer von 100 Tagen aus, wenn die Instanz der OAuth-Anbieter ist. Für Drittpartei-Token 365 Tage.
    Selbstsignierte Zertifikate Die ServiceNow AI Platform Unterstützt keine selbstsignierten Zertifikate. Der OAuth-Client verwendet nicht den Zertifikatvertrauensspeicher oder lässt keine Verbindung zu OAuth-Endpunkten zu, die ein selbstsigniertes Zertifikat enthalten.
    Anwenderagent Der Anwender, der Zugriffsrechte für eine Client-Anwendung delegiert, bei der es sich häufig um eine Website handelt. Die Zugriffsrechte ermöglichen es der Client-Anwendung oder -Website, auf Daten in der Instanz zuzugreifen, für die der Anwender Zugriffsrechte hat. Der Anwender-Agent wird im Szenario verwendet.

    OAuth-Gewährungstypen

    A Gewährungstyp Ist die Art und Weise, wie der Client das Zugriffstoken erhält. Die folgenden Gewährungstypen werden unterstützt:
    • Autorisierungscode : Der Verbraucher erhält zuerst einen Autorisierungscode und verwendet ihn dann, um ein Zugriffstoken zu erhalten. Sie können Geben Sie ein OAuth-Profil an Und geben Sie diesen Gewährungstyp an. Der Prozess, der den Autorisierungscode verwendet, wird auch als bezeichnet Authentifizierungscode-Flow Oder Autorisierungscode-Flow .
    • Passwortanmeldeinformationen des Ressourcenbesitzers : Der Verbraucher der Ressource verfügt bereits über die Anwenderanmeldeinformationen zum Abrufen des Zugriffstoken. Dieser Prozess wird auch als bezeichnet Passwort-Flow .
    • Client-Anmeldeinformationen : Der Verbraucher der Ressource verwendet die Client-ID und das geheime Clientgeheimnis, die bereits in der Anwendungsregistrierung konfiguriert sind.

    Speicherung der Anmeldeinformationen für die Authentifizierung

    Das geheime OAuth-Client-Geheimnis wird als gespeichert password2Typfeld, das mit KMF verschlüsselt ist. Anwenderpasswörter, die zum Überprüfen eingehender Endpunktanforderungen verwendet werden, werden als Hash-Wert in der Anwendertabelle in einem gespeichert passwordTypfeld (SHA 256). Weitere Informationen zu dieser Verschlüsselung finden Sie unter Passwort2-Verschlüsselung mit KMF