OpenID Connect-Konfiguration (OIDC) für Single Sign-on (SSO) erstellen

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 6 Minuten Lesedauer

    • Erstellen oder aktualisieren Sie eine OpenID Connect-Konfiguration (OIDC) mit dem Multi-Provider SSO-Plugin.

    Vorbereitungen

    Wenn Sie über eine Client-ID, einen geheimen Client und eine bekannte Konfigurations-URL des Identitätsanbieters verfügen, können Sie die OIDC-Konfiguration für SSO direkt importieren.

    Hinweis:
    • Die Melden Sie sich bei OIDC an Die Schaltfläche wird auf der Anmeldeseite für OIDC-basierte IDPs nicht angezeigt, wenn das Plugin „Domänentrennung“ installiert ist.
    • Der Administrator kann OIDC-basierte IdP verwenden, um SSO für einen Anwender eines bestimmten Unternehmens oder einer bestimmten Domäne zu aktivieren.

    Wenn Sie nicht über die erforderlichen Informationen zum Identitätsanbieter verfügen, können Sie OIDC für SSO manuell konfigurieren. Nach Abschluss der Konfiguration können sich Anwender bei anmelden ServiceNow Anwendungen, die Drittanbieter für soziale Identität wie verwenden Google Okta.

    Prozedur

    1. Navigieren zu Alle > Mehrfachanbieter-SSO > Identity Provideran.
    2. Wählen Sie eine der folgenden Optionen aus.
      • Um eine vorhandene Konfiguration zu aktualisieren, klicken Sie auf einen OIDC-Identitätsanbieter-Datensatz.
      • Klicken Sie auf, um eine neue Konfiguration zu erstellen Neu Und wählen Sie aus OpenID Connect .
    3. Geben Sie für eine neue Konfiguration die OIDC-Konfigurationsinformationen in eine der folgenden Methoden ein.
      OptionBezeichnung
      Importieren Sie die bekannte OpenID Connect-Konfiguration Wenn Sie die bekannte Konfigurations-URL zusammen mit Ihren zugehörigen Client-Anmeldeinformationen haben, können Sie direkt eine OIDC-Konfiguration importieren.
      Hinweis:
      Wenn Sie die bekannte OIDC-Konfiguration importieren, werden alle zugehörigen Felder automatisch ausgefüllt.
      Konfigurieren Sie das Formular „OIDC-Identitätsanbieter“ manuell Wenn Sie keine vorhandene OAuth-OIDC-Entität haben, schließen Sie das Popup OpenID Connect-bekannte Konfiguration importieren, und füllen Sie die Felder im Formular „OIDC-Identitätsanbieter“ manuell aus.
      Tabelle : 1. Importieren Sie bekannte OpenID Connect-Konfigurationsfelder
      Eigenschaft Beschreibung
      Name Eindeutiger Name für die Konfiguration des OIDC-Identitätsanbieters.
      Client-ID Client-ID der Anwendung, die beim externen OIDC-Identitätsanbieter registriert ist.
      Geheimer Clientschlüssel Geheimer Clientschlüssel der Anwendung, die beim externen OIDC-Identitätsanbieter registriert ist.
      Bekannte Konfigurations-URL URL, die Metadaten zum Drittpartei-OIDC-Identitätsanbieter enthält.

      Alle Pflichtfelder müssen im Formular „OIDC-Identitätsanbieter“ ausgefüllt werden.

      Bevor Sie das Formular „OIDC-Identitätsanbieter“ manuell ausfüllen, stellen Sie sicher, dass Sie bereits über ein OAuth-Entitätsprofil für den OIDC-IdP verfügen.

      Wenn Sie kein OAuth-Entitätsprofil haben, können Sie es mithilfe der standardmäßigen externen OIDC-Anbietervorlagen wie Okta, Azure und andere erstellen.

      Der Gewährungstyp des OAuth-Entitätsprofils muss einen Autorisierungscode aufweisen. Weitere Informationen finden Sie unter Konfigurieren Sie einen OAuth-OIDC-Provider auf dem ServiceNow AI Platforman.

      Hinweis:
      Sie können die Vorlagen von Drittpartei-Identitätsanbietern verwenden, Auth0, Azure AD, Google und Okta sind in den Demodaten des Plugins „Single Sign-on-Installationsprogramm für mehrere Anbieter“ verfügbar.
      Tabelle : 2. OIDC-Identitätsanbieter-Felder
      Eigenschaft Beschreibung
      Name Name des OIDC-Identitätsanbieterdatensatzes.
      Aktiv Option zum Aktivieren der OIDC-IdP-Konfiguration.
      Hinweis:
      Diese Option kann erst nach einer erfolgreichen Testverbindung auf „aktiv“ festgelegt werden.
      Standard Option zum Festlegen der OIDC-IdP-Konfiguration als Standard, wenn mehr als eine OIDC-Konfigurationen vorhanden sind.
      Automatische IdP-Weiterleitung Option zum Aktivieren der automatischen Weiterleitung der Anwender zur Anmeldeseite des Identitätsanbieters. Dieses Feld zeigt an, wenn Als IdP für automatische Umleitung festlegen Die Option wird im Abschnitt zugehörige Links festgelegt.
      Hinweis:
      Wenn Sie eine neue IdP-Konfiguration für die automatische Umleitung aktivieren, wird die aktiviert glide_sso_idCookie wird automatisch mit dem neuen IdP für automatische Weiterleitung aktualisiert. Die glide.authenticate.sso.update.idp.cookie Die Systemeigenschaft steuert diese Funktion.
      OIDC-Entitätsprofil OAuth-Entitätsprofil für die OIDC-Konfiguration.
      ServiceNow Homepage Die URL der Anmeldeseite, die für die Authentifizierung verwendet wird. Dieses Feld wird automatisch auf Ihre Instanz-URL festgelegt. Das Format der URL ist: https://yourinstance.service-now.com/navpage.do
      Weiterleitung für externe Abmeldung Die URL, an die die Integration Anwender nach der Abmeldung weiterleitet. Normalerweise das Portal, das für SSO verwendet wird. Dieses Feld wird automatisch auf festgelegt External_logout_complete.do Beispiel: https://yourinstance.service-now.com/external_logout_complete.do
      Als Anmeldeoption anzeigen Option zum Anzeigen des OIDC-IdP als Anmeldeoption auf der Anmeldeseite. Die Anmeldeoption wird als angezeigt Melden Sie sich beim Identitätsanbieter an Schaltfläche.
      SSO-Bezeichnung Bezeichnung des OIDC-IdP, der auf der Anmeldeseite angezeigt wird. Dieses Feld wird nur angezeigt, wenn Als Anmeldeoption anzeigen Ist aktiviert.
      Logo-URL Öffentlich verfügbare URL, die das Logo des OIDC-IdP-Anbieters enthält. Dieses Feld wird nur angezeigt, wenn Als Anmeldeoption anzeigen Ist aktiviert.
    4. Wahlweise: Aktivieren Sie die automatische Anwenderbereitstellung auf der Registerkarte Anwenderbereitstellung>Registerkarte Anwenderbereitstellung.

      Sie können die automatische Anwenderbereitstellung während der Anwenderanmeldung aktivieren. Wenn die automatische Anwenderbereitstellung aktiviert ist, wird automatisch ein Anwenderdatensatz in der ServiceNow-Instanz erstellt, wenn dieser Anwenderdatensatz nicht vorhanden ist.

      Tabelle : 3. Felder „Anwenderbereitstellung“
      Eigenschaft Beschreibung
      Anwender automatisch bereitstellen Option zum Aktivieren der automatischen Anwenderbereitstellung. Diese Eigenschaft erstellt einen Anwender in der Instanzanwendertabelle (sys_user), wenn der Anwender IdP beendet, aber nicht in der Anwendertabelle vorhanden ist.
      Bereitstellen mit Datenquelle, die für die Transformation verwendet werden soll ID-Token , Anwenderinformationen Endpunkt, oder Sowohl ID-Token als auch Anwenderinformationen An einen ServiceNow-Anwender. Verwenden Sie die Suchliste, um die vordefinierte Datenquellenvorlage auszuwählen, und öffnen Sie dann den Datensatz, um die Tabellenzuordnung für Transformationen zu konfigurieren.
      Datenquelle bereitstellen ID-Token-Datenquelle, die für die Anwenderbereitstellung verwendet wird.
      Datenquelle von Anwenderinformationen Die Endpunktdatenquelle für Anwenderinformationen, die für die Anwenderbereitstellung verwendet wird. Dieses Feld wird angezeigt, wenn Anwenderinformationen Oder Sowohl ID-Token als auch Anwenderinformationen Sind für ausgewählt Stellen Sie mithilfe von bereit Feld.
      Anwender bei der nächsten Anmeldung aktualisieren Option zum Aktivieren der Anwenderaktualisierung während der nächsten Anmeldung.
      Anwenderintervallzeit aktualisieren (Sekunden) Mindestzeitintervall in Sekunden zum Aktualisieren eines Anwenderdatensatzes zwischen nachfolgenden Anmeldungen. Dieses Feld wird automatisch auf 3.600 Sekunden festgelegt. Beispiel: Nachdem sich ein Anwender angemeldet hat, wird der Anwenderdatensatz nach 3.600 Sekunden bis zur nächsten Anmeldung aktualisiert. Dieses Feld ist nur verfügbar, wenn Aktualisieren Sie den Anwender bei der nächsten Anmeldung Feld ist aktiviert.
      Auf bereitgestellte Anwender angewendete Anwenderrollen Liste der Rollen, die auf die neu bereitgestellten Anwender angewendet werden.
    5. Registerkarte „OIDC-Entität“
      Sie können die OIDC-Client-Konfiguration und den OIDC-Connect-Flow mithilfe des Entitätsdatensatzes anzeigen und ändern.
    6. Registerkarte „OIDC-Provider-Konfiguration“
      Sie können die bekannte Konfigurations-URL der Validierung des OIDC-IdP- oder ID-Token-Anspruchs anzeigen und ändern.
    7. Wahlweise: Registerkarte „Erweitert“

      Skripts, die während der einmaligen Anmeldung und Abmeldung ausgeführt werden.

      Tabelle : 4. Erweiterte Felder
      Eigenschaft Beschreibung
      Single Sign-on-Skript Skript, das während der Single Sign-on ausgeführt wird. Dieses Feld wird automatisch auf festgelegt MultiSSO_OIDC_custom .
      Abmeldeskript Skript, das ausgeführt wird, nachdem sich der Anwender abgemeldet hat. Dieses Feld wird automatisch auf festgelegt MultiSSO_OIDC_logout_custom .
    8. Wahlweise: Konfigurieren Sie auf der Registerkarte kontinuierliche Authentifizierung die folgenden Felder:
      Hinweis:
      • Die Registerkarte kontinuierliche Authentifizierung wird nur angezeigt, wenn Sie installieren Zero Trust: Kontinuierliche Authentifizierung ( Com.snc.Zero_Trust_Continuous_authentication ) Plugin, das eine Lizenz erfordert.
      • Wenn Sie die Richtlinie für die kontinuierliche Authentifizierung verwenden, um den Zugriff auf die Tabelle oder Datenklasse zu schützen, finden Sie weitere Informationen unter Kontinuierliche Authentifizierung (CA).
      Kontinuierliche Authentifizierung: Registerkarteninformationen
      Tabelle : 5. Kontinuierliche Authentifizierung
      Feld Beschreibung
      Kontinuierliche Authentifizierung konfiguriert Aktivieren Sie das Kontrollkästchen, um die Konfiguration aktiv zu machen.
      Verbraucher-URL für kontinuierliche Authentifizierung Geben Sie die Verbraucher-URL vom Identitätsanbieter an.
      Skript für kontinuierliche Authentifizierung

      Wählen Sie das Suchsymbol aus, um das von der Plattform bereitgestellte Skript auszuwählen. In dieser Konfiguration für OIDC Okta: ContinuousAuth_Okta_StepUp_Script

    9. Wahlweise: Konfigurieren Sie auf der Registerkarte eSignature-Genehmigung die eSignature für den OIDC-IDP.
      Hinweis:
      Die Registerkarte eSignature-Genehmigung wird nur angezeigt, wenn Sie installieren Genehmigung mit E-Signatur Plugin (com.Glide.e_Signature_Approvals).
      Tabelle : 6. E-Signatur-Genehmigungsfelder
      Eigenschaft Beschreibung
      Assertionen-Verbraucher-URL für eSignatur-Authentifizierung Wenn Sie eine anwenderdefinierte Methode zur Verarbeitung der OIDC-Authentifizierung für eSignature verwenden, können Sie Ihre eigene Verbraucher-URL einrichten. Wenn Sie beispielsweise Multi-Provider-SSO verwenden, müssen Sie diese Eigenschaft nicht verwenden. Dieses Format der URL ist https://yourinstance.service-now.com/consumer.do
      Breite des Popup-Dialogfelds für Authentifizierung Breite des Popup-Dialogfelds für die Authentifizierung. Dieses Feld wird automatisch auf festgelegt 800 .
      Höhe des Popup-Dialogfelds für Authentifizierung Höhe des Popup-Dialogfelds für die Authentifizierung. Dieses Feld wird automatisch auf festgelegt 900 .
    10. Wahlweise: Navigieren Sie zur Anmeldeseite der Instanz, um sicherzustellen, dass IdP als Anmeldeoption angezeigt wird.
      Die URL muss das folgende Format haben: https://yourinstance/login_with_sso.do?glide_sso_id=sysId_IdP
      Hinweis:
      Wenn Sie aktiviert haben Als Anmeldeoption ausgewählt , Sie können zur Anmelde-URL der Instanz wechseln.