Configurer l’authentification unique (SSO) de plusieurs fournisseurs avec Chiffrement Edge

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Configurez la SSO de plusieurs fournisseurs pour permettre la connexion via l’URL du serveur proxy ou l’URL Chiffrement Edge de l’instance. Si vous implémentez l’authentification unique (SSO) de plusieurs fournisseurs avec Chiffrement Edge l’authentification unique activée, certains utilisateurs devront peut-être se connecter à votre instance via le Chiffrement Edge serveur proxy, tandis que d’autres non.

    Avant de commencer

    • Activez le module d’extension Intégration - Programme d’installation de l’authentification unique de plusieurs fournisseurs (com.snc.integration.sso.multi.installer).
    • Activez le module d’extension Chiffrement Edge (com.glide.edgeencryption) et assurez-vous qu’un ou plusieurs serveurs proxy sont configurés sur votre réseau.
    • Déterminez l’URL du Chiffrement Edge serveur proxy auquel les utilisateurs se connecteront à l’aide de l’authentification unique (SSO) de plusieurs fournisseurs. Pour déterminer l’URL d’un Chiffrement Edge serveur proxy, reportez-vous à la section Installation de Chiffrement Edge.
    Rôle requis : administrateur

    Pourquoi et quand exécuter cette tâche

    L’utilisateur qui se connecte doit utiliser l’URL appropriée pour se connecter, soit en utilisant le proxy Edge, soit en utilisant non le proxy Edge.

    • Si vous acheminez tous les utilisateurs via le Chiffrement Edge serveur proxy, configurez votre enregistrement d’identification de fournisseur et définissez l’URL du serveur proxy dans les champs Page d’accueil de ServiceNow, ID d’entité/Émetteur et URI d’audience .
    • Pour acheminer certains utilisateurs via le serveur proxy et d’autres utilisateurs vers l’instance, créez deux enregistrements d’identification du fournisseur. Les deux enregistrements utilisent la même valeur dans le champ URL du fournisseur d’identité . Toutefois, l’un des enregistrements passe par le serveur proxy, tandis que l’autre est acheminé vers l’instance.
      • Connexion via le nom de l’instance : https://<nom d’instance>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id de l’enregistrement IdP pour le proxy non Edge
      • Se connecter via le proxy Edge : https://<nom d’hôte Edge> :<port>/login_with_sso.do ?glide_sso_id=<sys_id de l’enregistrement IdP pour le proxy Edge

    Procédure

    1. Activer la duplication des URL des fournisseurs d’identité dans les enregistrements des fournisseurs d’identité.
      Une contrainte unique empêche la duplication de l’URL du fournisseur d’identité dans deux enregistrements de fournisseur d’identité différents. Vous pouvez activer la duplication de l’URL du fournisseur d’identité dans plusieurs enregistrements IdP en définissant un champ sur faux.
      1. Accédez à la Définition du système > Dictionnaire.
      2. Ouvrez l’enregistrement de définition pour le champ IdP de dans la table Fournisseurs d’identité [saml2_update1_properties].
      3. Configurez le formulaire pour ajouter le champ Unique .
      4. Assurez-vous que la valeur du champ Unique est définie sur faux.
    2. Accédez à la Authentification unique (SSO) de plusieurs fournisseurs > Fournisseurs d'identité.
    3. Créez deux enregistrements de fournisseur d’identité pour le même fournisseur d’identité : l’un à l’aide de l’URL d’instance et l’autre à l’aide de l’URL du Chiffrement Edge serveur proxy.
      Pour créer un enregistrement de fournisseur d’identité, consultez Créer un fournisseur d’identité externe.
      1. Pour l’URL du Chiffrement Edge serveur proxy, remplissez le formulaire à l’aide de ces valeurs.
        Champ Valeur
        URL du fournisseur d’identité Importé à partir des métadonnées IdP.

        ServiceNow Page d’accueil

        		 URL de la page d’accueil de votre serveur proxy. Par exemple : https://<nom d’hôte proxy> :<port>/navpage.do
        ID d’entité/Émetteur https://<nom d’hôte proxy> :<port>
        URI de l’audience https://<nom d’hôte proxy> :<port>
      2. Cliquez sur Envoyer.
      3. Pour l’URL d’instance, remplissez le formulaire à l’aide de ces valeurs.
        Champ Valeur
        URL du fournisseur d’identité Importé à partir des métadonnées IdP.

        ServiceNow Page d’accueil

        		 https://<instance>.service-now.com/navpage.do
        ID d’entité/Émetteur https://<instance>.service-now.com/navpage.do
        URI de l’audience https://<instance>.service-now.com/navpage.do
      4. Cliquez sur Envoyer.
    4. Facultatif : Si vous utilisez plusieurs fournisseurs d’identité, modifiez la sortie d’installation de l’authentification unique (SSO) à fournisseurs multiples.
      1. Accédez à la Définition du système > Sorties d'installation.
        Le système affiche la liste actuelle des sorties d’installation.
      2. Ouvrez la sortie d’installation de l’authentification unique (SSO) à fournisseurs multiples .
      3. Recherchez l’instruction suivante dans le champ Script . 
        var samlResponseTxt = request.getParameter("SAMLResponse");
if (!GlideSession.get().isLoggedIn() && GlideStringUtil.notNil(samlResponseTxt)) {
    var idpRecord = this.getIdPRecord(request);
    if (idpRecord) {
        SSO_Helper.debug("IdP found based on SAML response: " + idpRecord.getUniqueValue());
        return new SSO_Helper(idpRecord.getUniqueValue(), false, null, true);
    }
}
      4. Remplacez l’instruction par le code suivant. 
        var samlResponseTxt = request.getParameter("SAMLResponse");
if (!GlideSession.get().isLoggedIn() && GlideStringUtil.notNil(samlResponseTxt)) {
   /* // You have two profiles that use the same IdP entity id it cannot use
   // the IdP issuer / entity id from the response otherwise it may result in the
   // wrong IdP profile. IdP initiated login will not work
   var idpRecord = this.getIdPRecord(request);
   if (idpRecord) {
      SSO_Helper.debug("IdP found based on SAML response: " + idpRecord.getUniqueValue());
      return new SSO_Helper(idpRecord.getUniqueValue(), false, null, true);
      }*/
   return new SSO_Helper(null, true);
   }
        Remarque :
        La connexion initiée par l’IdP ne fonctionne pas dans cette configuration.
      5. Cliquez sur Mettre à jour.
    5. Facultatif : Si vous utilisez plusieurs sociétés, configurez les utilisateurs pour la SSO de plusieurs fournisseurs et mettez à jour les sys_id de l’enregistrement du fournisseur d’identité en fonction de l’utilisateur.

      Pour plus d’informations, consultez Configurer les utilisateurs pour l’authentification unique (SSO) de plusieurs fournisseurs.

      • Pour configurer un utilisateur pour qu’il se connecte via le Chiffrement Edge serveur proxy, utilisez la sys_id de l’enregistrement du fournisseur d’identité qui utilise l’URL du Chiffrement Edge serveur proxy.
      • Pour configurer la connexion d’un utilisateur à l’instance, utilisez la sys_id de l’enregistrement du fournisseur d’identité qui utilise l’URL de l’instance.
      Tableau 1. URL de connexion
      URL Destination de connexion
      https://<nom d’hôte proxy> :<port>/login_with_sso.do ?glide_sso_id=<sys_id de l’enregistrement IdP pour l’URL du serveur proxy> Se connecte via le serveur proxy.
      https://<nom d’instance>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id de l’enregistrement IdP pour l’URL d’instance> Se connecte via l’instance.