Configurer un fournisseur OIDC OAuth sur le Now Platform

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Vous pouvez configurer un fournisseur OIDC OAuth pour accepter les jetons d’identité générés par un fournisseur OIDC tiers à l’aide d’appels d’API entrants ou de notre option Single Sign-On (authentification unique de plusieurs fournisseurs).

    Avant de commencer

    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    Le prend Now Platform en charge OIDC via notre implémentation externe Single Sign-On (SSO) en plus des appels d’API entrants. Pour obtenir un exemple de configuration de fournisseur OIDC, consultez Configurer Azure AD. Pour obtenir un exemple spécifique à SSO de configuration de fournisseur OIDC, consultez Créer une configuration OpenID Connect (OIDC) pour Single Sign-On (SSO).

    Procédure

    1. Accédez à la Tous > OAuth système > Registre d'application.
      • Cliquez sur Nouveau, sur Configurer un fournisseur OIDC pour vérifier les jetons d’ID, puis renseignez le formulaire.
      • Sélectionnez un modèle existant pour un fournisseur OIDC (ADFS, Auth0, Azure AD, Google, Okta), puis renseignez le formulaire.
        Remarque :
        les modèles de fournisseur OIDC sont disponibles après le chargement des données de démonstration avec le module d'extension OAuth 2.0.
      Champ Description
      Nom Nom unique qui identifie l’entité OIDC OAuth.
      ID client ID client de l’application enregistrée sur le serveur OAuth OIDC tiers. L’instance utilise l’ID client lors de la demande d’un jeton d’accès.
      Secret client Le secret client de l’application enregistrée sur le serveur OAuth OIDC tiers.
      Script de l'API OAuth Script que vous pouvez utiliser pour personnaliser les demandes et les réponses à un fournisseur OAuth externe.
      Configuration du fournisseur OIDC OAuth Le fournisseur OIDC (ADFS, Auth0, Azure AD, Google, Okta) peut être utilisé pour valider le jeton JWT. Cliquez sur l’enregistrement de la configuration de votre fournisseur OIDC pour valider que la réclamation de l’utilisateur et le champ d’utilisateur sont correctement définis. Si vous cochez la case Activer la vérification de la réclamation JTI, la validation du ServiceNow jeton JWT valide également la JTI envoyée par le fournisseur.
      Remarque :
      Si la validation n’est pas vérifiée, le JTI ne peut pas être validé, qu’il soit présent ou non dans le jeton JWT.
      Décalage d'horloge Nombre en secondes pour que la contrainte soit considérée comme valide. La valeur par défaut est 300.
      Commentaires Informations supplémentaires à associer à l’application.
      Application Nom de l’application contenant cette entité.
      Accessible depuis Sélectionnez une option pour la rendre accessible à partir de tous les périmètres de l’application, ou à partir de ce périmètre de l’application uniquement.
      Appliquer les restrictions de jeton Sélectionnez cette option pour autoriser uniquement l’utilisation des jetons avec des API définies pour autoriser le profil d’authentification. Vous pouvez définir l’octroi d’accès à l’aide d’une politique d’accès API. Pour plus d’informations, consultez Créer une politique d’accès REST API.

      Par défaut : non sélectionné.
      Actif Cochez la case pour activer l’application OAuth.
      URL de redirection URL de l’application OAuth pour la réception du code d’autorisation.
      Terminer la session de l'URL du point de terminaison Le point de terminaison de l’URL qui s’active après la fin d’une session.
      Activer l’authentification forcée Option permettant d’activer l’authentification forcée pour les utilisateurs.
    2. Cliquez sur Envoyer.
      L’enregistrement est enregistré dans la table Registres d’application [oauth_entity].
      Lorsque votre instance émet des jetons et des codes d’autorisation, elle crée un enregistrement dans la table Registres d’application [oauth_entity] avec le type Fournisseur OIDC externe. Consultez pour plus d'informations.
    3. Facultatif : Accédez à la liste connexe sur l’enregistrement Profils des entités OAuth pour valider un profil par défaut généré par le système pour le nouveau fournisseur OAuth sans périmètre.
      Vous pouvez modifier ou ajouter un profil de fournisseur OAuth incluant le nom, le type d’accord et le champ d’application OAuth.
    4. Facultatif : Accédez à la liste connexe sur l’enregistrement Périmètres des entités OAuth pour définir tous les périmètres OAuth disponibles pour ce fournisseur OAuth.
      Les champs d’application définis peuvent être sélectionnés lorsque vous créez ou mettez à jour un profil. Chaque champ d’application OAuth défini contient un nom et un champ d’application que vous devez obtenir à partir de la spécification du fournisseur, par exemple un champ d’application de lecture ou d’écriture. Chaque périmètre doit être défini séparément.
    5. Facultatif : Accédez à la liste connexe sur l’enregistrement Attribution d’utilisateurs pour activer l’attribution automatique d’utilisateurs.
      OptionDescription
      Attribuer automatiquement les utilisateurs Option permettant d’activer l’authentification forcée pour les utilisateurs.
      Mettre en service la source de données La source de données à utiliser pour transformer un jeton OIDC en ServiceNow utilisateur. Utilisez la liste de recherche pour sélectionner le modèle de source de données prédéfini, puis ouvrez l’enregistrement pour configurer le mappage de la table de transformations. Lors de la configuration du mappage de transformation, les champs sources proviennent de , JWT tokenles champs cibles proviennent de la sys_user table.
      Rôles d'utilisateur appliqués aux utilisateurs attribués Les rôles d’utilisateur appliqués aux utilisateurs nouvellement mis ServiceNow en service.