Configurer une attribution de porteur de jeton Web JSON OAuth
La configuration d’une attribution titulaire de jeton Web JSON OAuth (JWT) sécurise l’authentification basée sur un jeton sans interaction de l’utilisateur. Il renforce la sécurité avec des JWT signés et réduit les frais généraux d’authentification en éliminant les tentatives de connexion répétées.
Avant de commencer
Rôle requis : oauth_admin, mi_admin, admin
Les algorithmes pris en charge pour JSON Web Token (JWT) : RS256, RS384, RS512, ES256, ES384, ES512.
Procédure
- Accédez à la Console des identités des machines > > Intégrations entrantes > > Nouvelle intégration > Attribution du porteur JWT.
-
Mettez à jour les champs de texte du formulaire Détails avec les informations appropriées.
Tableau 1. Formulaire Détails Champ Description Nom Nom unique qui identifie l’application pour laquelle vous avez besoin d’un accès à OAuth JWT. ID client ID unique de l’application généré automatiquement. Le système utilise la valeur de ce champ pour récupérer la clé publique ou partagée et valider le JWT. La valeur de ce champ doit correspondre à la valeur des réclamations de l’émetteur et de l’audience dans le JWT. Secret client Chaîne secrète partagée que l’instance et l’application cliente ou le site Web utilisent pour autoriser les communications entre eux. Laissez ce champ vide pour que l’instance génère automatiquement un secret client. Pour afficher les secrets client existants, sélectionnez l’icône de verrouillage. Champ d'utilisateur Champ de la table Utilisateur (sys_user) que le système utilise pour faire correspondre la valeur de la réclamation en question dans le JWT. Exemple :
Si vous ajoutez un jeton dont la valeur de revendication d’objet est user.name@example.com, vous devez définir le champ Utilisateur sur E-mail. Ce champ indique au système de rechercher la valeur user.name@example.com dans le champ d’e-mail et d’utiliser l’enregistrement utilisateur correspondant dans la demande entrante.Activer la vérification JTI Sélectionnez cette option pour exiger un nouveau jeton à chaque échange de jeton. Par défaut : sélectionné.
URL du JWKS URL de l’ensemble de clés Web JSON. Il s’agit d’une collection de clés publiques au format JSON. Les fournisseurs d’identité publient un JWKS sur une URL connue afin que les applications et services clients puissent récupérer les clés et valider les signatures des jetons Web JSON (JWT). Réclamation JTI Identificateur unique pour chaque jeton. ServiceNow utilise cette réclamation pour détecter et empêcher la relecture d’un jeton en vérifiant qu’un jeton n’est pas réutilisé. Commentaires Ajoutez des commentaires pertinents. Carte de vérificateur JWT Spécifiez le fournisseur d’identité, la méthode de vérification (telle qu’une URL ou un certificat JWKS) et le mappage des réclamations JWT aux champs d’utilisateur ServiceNow. Cliquez sur l’icône Plus pour ajouter ou modifier les cartes. Fournissez les détails suivants dans la page de la carte de vérificateur JWT :- Nom : nom unique de la configuration de la carte de vérificateur JWT.
- Application : application dans laquelle la carte de vérificateur est utilisée.
- Enfant (ID de clé) : l’identificateur de la clé utilisée pour valider la signature JWT.
- Certificat système : enregistrement de certificat ServiceNow utilisé pour la vérification de jeton
- Clé partagée : clé symétrique utilisée pour valider les jetons.
Actifs Cochez cette case pour activer l’application OAuth. -
Mettez à jour les champs de texte du formulaire Options avancées (facultatif) avec les informations appropriées.
Tableau 2. Formulaire d’options avancées (facultatif) Champ Description Appliquer la restriction de jeton Sélectionnez cette option pour activer uniquement l’utilisation des jetons avec les API définies pour activer le profil d’authentification. Vous pouvez définir l’octroi de l’accès à l’aide d’une stratégie d’accès API. Par défaut : non sélectionné.
Durée de vie du cache JWKS Durée (en minutes) pendant laquelle ServiceNow met en cache le jeu de clés Web JSON (JWKS) à partir du fournisseur d’identité. Durée de vie du jeton d’accès Durée (en secondes) pendant laquelle le jeton d’accès reste valide avant son expiration. Décalage d'horloge De petites différences dans les horloges système des serveurs ou des appareils impliqués dans la génération et la validation d’un jeton peuvent entraîner des problèmes lors de la validation de réclamations urgentes. Ajustez l’heure ci-dessus. Valeur par défaut : 0 seconde. -
Mettez à jour les champs de texte du formulaire (facultatif) du périmètre d’authentification avec les informations appropriées.
Remarque :Lorsque vous sélectionnez un périmètre d’authentification, toutes les API associées sont automatiquement renseignées dans la zone de texte Limiter l’autorisation .
Tableau 3. Formulaire du périmètre d’authentification Champ Description Périmètre d'authentification Niveau d’accès d’une application. Le périmètre d’authentification limite les actions qu’un jeton d’accès peut effectuer sur les API ou les données. Autorisation de limite Noms des API pour lesquelles vous souhaitez restreindre l’autorisation. - Sélectionnez Ajouter une autre ligne pour ajouter des champs d’application d’authentification.
-
Sélectionnez Créer un nouveau périmètre d’authentification pour ajouter un nouveau périmètre d’authentification.
Entrez le nom du périmètre d’authentification dans la zone de texte du champ Périmètre pour sélectionner le périmètre d’authentification nouvellement créé. Vous pouvez ajouter et modifier manuellement les API qui doivent être associées au nouveau périmètre d’authentification.Remarque :L’ajout ou la modification d’API à partir du menu Champ d’application d’authentification affecte toutes les entités OAuth associées au même périmètre d’autorisation.
-
Sélectionnez Enregistrer.
Une nouvelle attribution de porteur de jeton Web JSON OAuth est créée.
- Accéder à Tous > Intégrations entrantes > Registres d'application pour afficher la subvention de porteur JWT nouvellement créée.