Now Platform での OAuth OIDC プロバイダーの設定

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む4読むのに数分

    • OAuth OIDC プロバイダーで、受信 API 呼び出しまたは Single Sign-on オプション (複数プロバイダー SSO) を使用して、サードパーティの OIDC プロバイダーによって生成された ID トークンを受け入れるように設定できます。

    始める前に

    必要なロール:admin

    このタスクについて

    Now Platform は、受信 API 呼び出しに加えて、外部 Single Sign-on (SSO) 実装を通じて OIDC をサポートします。OIDC プロバイダー構成の例については、「Azure AD の設定」を参照してください。OIDC プロバイダー構成の SSO 固有の例については、「「Create an OpenID Connect (OIDC) configuration for Single Sign-On (SSO) (Single Sign-on (SSO) 用の OpenID Connect (OIDC) 構成の作成)」を参照してください。

    手順

    1. 移動先 すべて > システム OAuth > アプリケーションレジストリー.
      • [新規] をクリックして [ID トークンを検証するために OIDC プロバイダを構成] を選択して、フォームに入力します。
      • 既存のテンプレートを OIDC プロバイダー (ADFS、Auth0、Azure AD、Google、Okta) に選択して、フォームに入力します。
        注:
        OIDC プロバイダテンプレートは、デモデータを OAuth 2.0 プラグインを使用してロードした後に利用できます。
      フィールド 説明
      名前 OAuth OIDC エンティティを識別する一意の名前。
      クライアント ID サードパーティの OAuth OIDC サーバーに登録されているアプリケーションのクライアント ID。インスタンスは、アクセストークンを要求するときにクライアント ID を使用します。
      クライアントシークレット サードパーティの OAuth OIDC サーバーに登録されているアプリケーションのクライアントシークレット
      OAuth API スクリプト 外部 OAuth プロバイダーへの要求および応答のカスタマイズに使用されるスクリプト
      OAuth OIDC プロバイダ設定 OIDC プロバイダー (ADFS、Auth0、Azure AD、Google、Okta) を使用して、JWT トークンを検証できます。OIDC プロバイダー構成のレコードをクリックして、[ユーザー要求][ユーザーフィールド] が適切に設定されていることを検証します。[JTI 要求検証を有効化] をオンにすると、ServiceNow JWT トークン検証では、プロバイダーによって送信された JTI も検証されます。
      注:
      検証がチェックされない場合、JWT トークンに存在するかどうかにかかわらず、JTI を検証できません。
      クロックスキュー 制約が有効と見なされる秒数。デフォルトは 300 です。
      コメント アプリケーションに関連付ける追加情報。
      アプリケーション このエンティティを含むアプリケーションの名前
      アクセス可能 すべてのアプリケーションスコープから、またはこのアプリケーションスコープからのみアクセスできるようにするオプションを選択します。
      トークン制限の適用 認証プロファイルを許可するように設定された API でのみトークンの使用を許可する場合に選択します。API アクセスポリシーを使用してアクセス許可を設定できます。詳細については、「REST API アクセスポリシーの作成」を参照してください。

      デフォルト:未選択。
      アクティブ チェックボックスをオンにすると、OAuth アプリケーションがアクティブになります。
      リダイレクト URL 認証コードを受信するための OAuth アプリケーションの URL
      セッション終了のエンドポイント URL セッションの終了後に有効になる URL エンドポイント
      強制認証の有効化 ユーザーの強制認証を有効にするオプション。
    2. [送信] をクリックします。
      レコードは、アプリケーションレジストリー [oauth_entity] テーブルに保存されます。
      インスタンスがトークンと認証コードを発行すると、アプリケーションレジストリ [oauth_entity] テーブルに、外部 OIDC プロバイダータイプのレコードが作成されます。詳細については、を参照してください。
    3. オプション: レコードの OAuth エンティティプロファイルの関連リストに移動し、スコープのない新規 OAuth プロバイダーのシステム生成デフォルトプロファイルを検証します。
      名前、権限許可タイプ、OAuth スコープなどの OAuth プロバイダープロファイルを変更または追加できます。
    4. オプション: レコードの OAuth エンティティスコープの関連リストに移動し、この OAuth プロバイダーで利用可能なすべての OAuth スコープを定義します。
      定義されたスコープは、プロファイルを作成または更新するときに選択できます。定義された各 OAuth スコープには、読み取りスコープや書き込みスコープなど、プロバイダーの仕様からの取得が必要な名前とスコープが含まれています。各スコープは個別に定義する必要があります。
    5. オプション: ユーザープロビジョニングレコードの関連リストに移動して、自動ユーザープロビジョニングを有効にします。
      オプション説明
      ユーザーを自動プロビジョニング ユーザーの強制認証を有効にするオプション。
      データソースをプロビジョニング OIDC トークンを ServiceNow ユーザーに変換するために使用するデータソース。ルックアップリストを使用して、事前定義されたデータソーステンプレートを選択し、レコードを開いて変換テーブルのマッピングを構成します。変換マッピングを構成する際に、ソースフィールドは JWT tokenから取得され、ターゲットフィールドは sys_user テーブルから取得されます。
      プロビジョニングされたユーザーに適用されるユーザーロール 新しくプロビジョニングされた ServiceNow ユーザーに適用されるユーザーロール。