Configurer l’authentification unique (SSO) de plusieurs fournisseurs avec Chiffrement Edge

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Configurez l’authentification unique (SSO) de plusieurs fournisseurs pour activer la connexion via l’URL du Chiffrement Edge serveur proxy ou l’URL d’instance. Si vous implémentez l’authentification unique (SSO) de plusieurs fournisseurs avec Chiffrement Edge l’option activée, certains utilisateurs devront peut-être se connecter à votre instance via le Chiffrement Edge serveur proxy, tandis que d’autres ne le feront pas.

    Avant de commencer

    • Activez le module d’extension Integration - Multiple Provider Single Sign-On Installer (com.snc.integration.sso.multi.installer).
    • Activez le module d’extension Chiffrement Edge (com.glide.edgeencryption) et assurez-vous qu’un ou plusieurs serveurs proxy sont configurés dans votre réseau.
    • Déterminez l’URL du Chiffrement Edge serveur proxy par lequel les utilisateurs se connecteront à l’aide de l’authentification unique de plusieurs fournisseurs. Pour déterminer l’URL d’un Chiffrement Edge serveur proxy, reportez-vous à la section Installation d’Edge Encryption.
    Rôle requis : admin

    Pourquoi et quand exécuter cette tâche

    L’utilisateur qui se connecte doit utiliser l’URL appropriée pour se connecter, soit en utilisant le proxy Edge, soit en n’utilisant pas le proxy Edge.

    • Si vous acheminez tous les utilisateurs via le Chiffrement Edge serveur proxy, configurez votre enregistrement de fournisseur d’identification et définissez l’URL du serveur proxy dans les champs Page d’accueil de ServiceNow, ID d’entité/Émetteur et URI d’audience .
    • Pour acheminer certains utilisateurs via le serveur proxy et d’autres utilisateurs vers l’instance, créez deux enregistrements d’identification du fournisseur. Les deux enregistrements utilisent la même valeur dans le champ URL du fournisseur d’identité . Toutefois, l’un des enregistrements passe par le serveur proxy, tandis que l’autre passe par l’instance.
      • Connexion via le nom d’instance : https://<nom d’instance>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id de l’enregistrement IdP pour le proxy non Edge
      • Connectez-vous via le proxy Edge : https://<nom d’hôte Edge> :<port>/login_with_sso.do ?glide_sso_id=<sys_id de l’enregistrement IdP du proxy Edge

    Procédure

    1. Activez la duplication des URL des fournisseurs d’identité dans les enregistrements des fournisseurs d’identité.
      Une contrainte unique empêche la duplication de l’URL du fournisseur d’identité dans deux enregistrements de fournisseur d’identité différents. Vous pouvez activer la duplication de l’URL du fournisseur d’identité dans plusieurs enregistrements IdP en définissant un champ sur faux.
      1. Accédez à la Définition du système > Dictionnaire.
      2. Ouvrez l’enregistrement de définition pour le champ IdP de dans la table Fournisseurs d’identité [saml2_update1_properties].
      3. Configurez le formulaire pour ajouter le champ Unique .
      4. Assurez-vous que la valeur du champ Unique est définie sur faux.
    2. Accédez à la Authentification unique (SSO) de plusieurs fournisseurs > Fournisseurs d'identité.
    3. Créez deux enregistrements de fournisseur d’identité pour le même fournisseur d’identité : l’un à l’aide de l’URL d’instance et l’autre à l’aide de l’URL du Chiffrement Edge serveur proxy.
      Pour créer un enregistrement de fournisseur d’identité, consultez Créer un fournisseur d’identité externe.
      1. Pour l’URL du Chiffrement Edge serveur proxy, remplissez le formulaire à l’aide de ces valeurs.
        Champ Valeur
        URL du fournisseur d’identité Importé à partir des métadonnées IdP.

        ServiceNow Page d’accueil

        		 URL de la page d’accueil de votre serveur proxy. Par exemple : https://<nom d’hôte proxy> :<port>/navpage.do
        ID d’entité/Émetteur https://<nom d’hôte proxy> :<port>
        URI de l’audience https://<nom d’hôte proxy> :<port>
      2. Cliquez sur Envoyer.
      3. Pour l’URL d’instance, remplissez le formulaire à l’aide de ces valeurs.
        Champ Valeur
        URL du fournisseur d’identité Importé à partir des métadonnées IdP.

        ServiceNow Page d’accueil

        		 https://<instance>.service-now.com/navpage.do
        ID d’entité/Émetteur https://<instance>.service-now.com/navpage.do
        URI de l’audience https://<instance>.service-now.com/navpage.do
      4. Cliquez sur Envoyer.
    4. Facultatif : Si vous utilisez plusieurs fournisseurs d’identité, modifiez la sortie d’installation MultiSSO.
      1. Accédez à la Définition du système > Sorties d'installation.
        Le système affiche la liste actuelle des sorties d’installation.
      2. Ouvrez la sortie d’installation MultiSSO .
      3. Recherchez l’instruction suivante dans le champ Script . 
        var samlResponseTxt = request.getParameter("SAMLResponse");
if (!GlideSession.get().isLoggedIn() && GlideStringUtil.notNil(samlResponseTxt)) {
    var idpRecord = this.getIdPRecord(request);
    if (idpRecord) {
        SSO_Helper.debug("IdP found based on SAML response: " + idpRecord.getUniqueValue());
        return new SSO_Helper(idpRecord.getUniqueValue(), false, null, true);
    }
}
      4. Remplacez l’instruction par le code suivant. 
        var samlResponseTxt = request.getParameter("SAMLResponse");
if (!GlideSession.get().isLoggedIn() && GlideStringUtil.notNil(samlResponseTxt)) {
   /* // You have two profiles that use the same IdP entity id it cannot use
   // the IdP issuer / entity id from the response otherwise it may result in the
   // wrong IdP profile. IdP initiated login will not work
   var idpRecord = this.getIdPRecord(request);
   if (idpRecord) {
      SSO_Helper.debug("IdP found based on SAML response: " + idpRecord.getUniqueValue());
      return new SSO_Helper(idpRecord.getUniqueValue(), false, null, true);
      }*/
   return new SSO_Helper(null, true);
   }
        Remarque :
        La connexion initiée par l’IdP ne fonctionne pas dans cette configuration.
      5. Cliquez sur Mettre à jour.
    5. Facultatif : Si vous utilisez plusieurs sociétés, configurez les utilisateurs pour l’authentification unique (SSO) de plusieurs fournisseurs et mettez à jour les sys_id de l’enregistrement du fournisseur d’identité en fonction de l’utilisateur.

      Pour plus d’informations, consultez Configurer les utilisateurs pour l’authentification unique (SSO) de plusieurs fournisseurs.

      • Pour configurer la connexion d’un utilisateur via le Chiffrement Edge serveur proxy, utilisez la sys_id de l’enregistrement du fournisseur d’identité qui utilise l’URL du Chiffrement Edge serveur proxy.
      • Pour configurer la connexion d’un utilisateur à l’instance, utilisez la sys_id de l’enregistrement du fournisseur d’identité qui utilise l’URL de l’instance.
      Tableau 1. URL de connexion
      URL Destination de connexion
      https://<nom d’hôte du proxy> :<port>/login_with_sso.do ?glide_sso_id=<sys_id de l’enregistrement IdP pour l’URL du serveur proxy> Se connecte via le serveur proxy.
      https://<nom d’instance>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id de l’enregistrement IdP pour l’URL d’instance> Se connecte via l’instance.