Octroi de porteur de jeton Web JSON

  • Rversion finale: Australia
  • Mis à jour 16 juin 2026
  • 1 minute de lecture

    • La configuration d’une attribution titulaire de jeton Web JSON OAuth (JWT) sécurise l’authentification basée sur un jeton sans interaction de l’utilisateur. Utilisez ce flux lorsqu’une application cliente a besoin d’un accès sécurisé et non assisté à des ServiceNow ressources, soit en tant qu’elle-même, soit pour le compte d’un utilisateur.

    L’application cliente génère un JWT signé qui inclut les revendications liées à l’identité, telles que l’utilisateur ou le système qu’elle représente. Il l’envoie à l’instance ServiceNow pour demander un jeton d’accès.
    Idéal pour :
    Applications clientes qui ont besoin d’un accès sécurisé aux ressources ServiceNow, soit pour le compte d’un utilisateur, soit en leur nom propre, sans nécessiter d’interaction de la part de l’utilisateur ni stocker un secret partagé.
    Fonctionnement :
    L’application cliente crée un JWT (JSON Web Token) signé qui inclut les revendications liées à l’identité, telles que l’utilisateur ou le système qu’il représente, et le présente à l’instance ServiceNow pour demander un jeton d’accès.

    JWT Structure

    Le JWT doit être signé à l’aide de la clé privée du client. Il doit inclure les allégations standard suivantes :

    • iss – Émetteur (ID client)
    • sub – Sujet (identité de l’utilisateur ou du système)
    • aud – Audience (point de terminaison de jeton ServiceNow)
    • exp – Délai d’expiration
    • iat – Émis à
    Remarque :
    ServiceNow utilise la clé publique (chargée dans le profil OAuth JWT) pour valider la signature et mappe la sous-revendication à un enregistrement utilisateur.