SAML 2,0-Konfiguration mit Multi-Provider-SSO

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 7 Minuten Lesedauer

    • Sie können eine SAML 2,0 SSO-Konfiguration über die SSO-Funktion für mehrere Anbieter erstellen oder aktualisieren.

    Vorbereitungen

    Erforderliche Rolle: sso_config_admin, Business_rule_admin, script_include_admin

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Neu in Jakarta Release, müssen Sie Ihre Konfiguration mithilfe der Funktion „Verbindung testen“ validieren, bevor Sie Ihre IdP-Konfiguration aktivieren können. Sie können die Funktionalität „Aktualisieren“ weiterhin verwenden, um Ihre Konfigurationsdaten zu speichern, es handelt sich jedoch nicht um eine aktive Konfiguration ohne erfolgreiche Testverbindung.

    Prozedur

    1. Navigieren zu Alle > SSO für mehrere Anbieter > Identity Provideran.
    2. Führen Sie eine der folgenden Optionen aus.
      • Klicken Sie zum Aktualisieren einer Konfiguration auf einen SSO-Konfigurationsdatensatz.
      • Klicken Sie auf, um eine neue Konfiguration zu erstellen Neu > SAMLan.
    3. Geben Sie die IDP-Informationen mit einer der folgenden Methoden ein.
      OptionBezeichnung
      Verwenden einer Metadaten-Deskriptor-URL Klicken Sie auf das Kontrollkästchen URL, und geben Sie die URL des verwendeten IDP ein.
      XML-Datei des Metadatendeskriptors wird verwendet Klicken Sie auf das Kontrollkästchen XML, und fügen Sie die XML-Daten ein, die aus dem verwendeten IDP generiert wurden.
      Metadaten werden manuell eingegeben Schließen Sie das Popup-Fenster, und geben Sie die Daten manuell in die Eigenschaftsfelder ein.
      Hinweis:
      Alle Pflichtfelder müssen im Formular „Identitätsanbieter“ ausgefüllt werden.
      Tabelle : 1. Single Sign-on-Felder für mehrere Anbieter
      Eigenschaft Erforderlich Beschreibung
      Name Ja Geben Sie den Namen für den IDP ein. Diese ID ist die SYS-ID der automatischen Umleitung
      Aktiv Ja „Aktiv“ muss auf „wahr“ festgelegt werden, damit der IDP für die Authentifizierung verwendet werden soll.
      Hinweis:
      Die Option zum Festlegen dieser Eigenschaft erfolgt erst nach einer erfolgreichen Testverbindung.
      Standard Nein Die ID der automatischen Weiterleitung, früher als primäre ID-Adresse bekannt, leitet Anwender automatisch um, um auf die Basisinstanz-URL zuzugreifen. Diese Eigenschaft legt diese IDP-Konfiguration als Standard fest.
      ID der automatischen Weiterleitung Nein Legt diese IDP-Konfiguration als IDP für die automatische Weiterleitung fest.
      Hinweis:
      Wenn Sie eine neue IDP-Konfiguration für automatische Umleitung aktivieren, wird glide_sso_id Cookie-Updates mit der neuen ID für automatische Weiterleitung. Die glide.authenticate.sso.update.idp.cookieDie automatisch aktivierte Systemeigenschaft steuert diese Funktion.
      Identitätsanbieter-URL Ja Geben Sie die URL zu Ihrem IDP ein. Jede IDP-URL muss eindeutig sein.
      Authentifizierungsanforderung des Identitätsanbieters Ja Geben Sie die URL zur HTTP-Umleitungsbindung ein, die vom SingleSignOnService-Element abgerufen wurde.
      SingleLogoutRequest des Identitätsanbieters Nein Geben Sie die URL ein, die aus dem SingleLogoutService-Element abgerufen wurde.
      ServiceNow Homepage Ja Geben Sie die URL, einschließlich Anmeldeseite, der Instanz ein, für die sich der IDP authentifiziert. Beispiel: https://yourinstance.service-now.com/navpage.do
      Entitäts-ID/Aussteller Ja Geben Sie die Basis-URL ein, ohne Anmeldeseite. Der Instanz, für die sich der IDP authentifiziert. Beispiel: https://yourinstance.service-now.com/
      Zielgruppen-URI Ja Geben Sie die Basis-URL ein, ohne Anmeldeseite. Der Instanz, für die sich der IDP authentifiziert. Beispiel: https://yourinstance.service-now.com/
      NameID-Richtlinie Ja Geben Sie den Wert des NameIDFormat-Elements ein, das die Integration verwendet.
      Externe Abmeldeumleitung Nein Geben Sie die URL ein, an die die Integration Anwender weiterleitet, nachdem sie sich abgemeldet haben.
      Fehlgeschlagene Anforderungsumleitung Nein Geben Sie die URL für die Umleitung fehlgeschlagener Authentifizierungsanforderungen ein. Standardmäßig ist dies der URL-Endpunkt einer Fehlerseite oder Abmeldeseite, die im IDP konfiguriert ist. Sie können diesen Wert im Feld glide.authenticate.failed_requirement_redirect ausfüllen.
      Client-Typ Nein Wählen Sie den Client-Typ basierend auf dem Typ Ihres Clients aus. Optionen: Iframe Eingebettet .
      Hinweis:
      Wenn das Feld „Client-Typ“ für Ihre Konfiguration erforderlich ist, können Sie das Formular bearbeiten und das Feld hinzufügen. Weitere Informationen finden Sie unter Konfigurieren Sie den Client-Typ für OAuth- und SSO-Datensätze.
    4. Wahlweise: Registerkarte „Verschlüsselung und Signatur“
      Hinweis:
      • Sie sollten Ihr eigenes selbstsigniertes oder VON DER ZERTIFIZIERUNGSSTELLE signiertes Zertifikat verwenden. Die folgenden Arten von Zertifikaten werden unterstützt:
      • Die FIPS-genehmigter Modus Erfordert andere Zertifikate für Verschlüsselung Und Signieren .
      • Verwenden Sie verschiedene Zertifikate für Verschlüsselung Und Signieren Für eine bessere Sicherheitslage.
      • Stellen Sie bei der Verwendung der Zertifikate sicher, dass Sie die folgenden Systemeigenschaften mit der sys_ID der Zertifikate (x.509-Zertifikate) aktualisieren:
        • Signieren ( glide.authenticate.sso.saml2.keystore )
        • Verschlüsselung ( glide.authenticate.sso.saml2.encryption.keystore )
      • Stellen Sie sicher, dass Sie den Schlüsselalias und das Schlüsselpasswort von aktualisieren Signieren Und Verschlüsselung Schlüsselspeicher im Identitätsanbieter-Datensatz und generieren die Metadaten (Auswählen Generieren Sie Metadaten ).
      • Laden Sie die in den generierten Metadaten (XML) vorhandenen Signier- und Verschlüsselungszertifikate zum Identitätsanbieter hoch.
      • Verwenden Sie zum Konfigurieren der Benachrichtigung über den Ablauf des Zertifikats Benachrichtigen Sie bei Ablauf Und Gruppen, die bei Ablauf benachrichtigt werden sollen , Und legen Sie den Benachrichtigungszeitpunkt mit fest Warnung in Tagen vor Ablauf Und Häufigkeit .
      Verschlüsselung Und Signatur
      Tabelle : 2. Verschlüsselungs- und Signaturfelder
      Eigenschaft Beschreibung
      Signaturschlüsselalias Geben Sie den Signaturalias des in gespeicherten Schlüsseleintrags ein SAML 2,0 SP-Schlüsselspeicher .
      Signaturschlüsselpasswort Geben Sie das Signaturpasswort des in gespeicherten Schlüsseleintrags ein SAML 2,0 SP-Schlüsselspeicher .
      Verschlüsselungsschlüsselalias Geben Sie den Verschlüsselungsalias des in gespeicherten Schlüsseleintrags ein SAML 2,0 SP-Schlüsselspeicher .
      Passwort Des Verschlüsselungsschlüssels Geben Sie das Verschlüsselungspasswort des in gespeicherten Schlüsseleintrags ein SAML 2,0 SP-Schlüsselspeicher .
      Assertion Verschlüsseln Aktivieren Sie das Kontrollkästchen, um die Assertion in der SAML-Antwort zu verschlüsseln. Die für den IdP generierten Metadaten bettet das x509-Zertifikat ein, das der IdP verwendet, um die Assertion in der von ihm generierten SAML-Antwort zu verschlüsseln.
      Signaturalgorithmus Signieren Geben Sie die URL ein, die auf den SAML 2,0-Identitätsanbieter-Authentifizierungsverbraucher für eSignature-Authentifizierung verweist.
      Authentifizierungsanforderung signieren Aktivieren Sie das Kontrollkästchen, um zu aktivieren, dass der Single Sign-on-Service von IdP eine signierte Authentifizierungsanforderung erhält.
      LogoutRequest signieren Aktivieren Sie das Kontrollkästchen, um zu aktivieren, dass der Single Sign-on-Service von IdP eine signierte LogoutRequest erhält.
      Abmeldeantwort Signieren Aktivieren Sie das Kontrollkästchen, um zu aktivieren, dass der IdP-Single-Sign-on-Service eine signierte Abmeldeantwort erhält.
    5. Wahlweise: Registerkarte „Anwenderbereitstellung“
      Tabelle : 3. Anwenderbereitstellungsfelder
      Eigenschaft Beschreibung
      Anwender Für Automatische Bereitstellung Aktivieren Sie die automatische Anwenderbereitstellung. Erstellt die Anwender, wenn der Anwender basierend auf den vom IDP bereitgestellten Informationen nicht in der Instanz-Anwendertabelle vorhanden ist.
      Aktualisieren Sie Den Anwenderdatensatz Bei Jeder Anmeldung Aktualisiert Anwenderinformationen in der Instanzanwendertabelle jedes Mal, wenn sich der Anwender mit SAML anmeldet, mit den Informationen im IdP.
    6. Wahlweise: Registerkarte „Erweitert“
      Registerkarte „Erweitert“
      Tabelle : 4. Erweiterte Felder
      Eigenschaft Beschreibung
      Anwenderfeld Geben Sie das Feld in der Anwendertabelle ein, das den Wert enthält, den das IDP zur Identifizierung des Anwenders benötigt. Dies ist eine eindeutige ID als Teil der Antwort. Beispiel: Anwendername, Mitarbeiter-ID usw. In der SYS-Anwendertabelle wird diese eindeutige ID mit den Anwenderdetails abgeglichen.
      NameID-Attribut Lassen Sie dieses Feld leer, es sei denn, Sie konfigurieren eine neue NameID-Richtlinie. Wenn Sie eine neue Richtlinie konfigurieren, erfordert das System die Anwendertabelle, die es verwenden muss, um den Anwender zu identifizieren, der sich anmeldet. Das System stimmt das NameID-Token mit dem Namen dieses Anwendertabellenfelds hier ab.
      Erstellen Sie AuthnContextClass Aktivieren Sie das Kontrollkästchen, um eine bestimmte Kontextklasse anzugeben, z. B. passwortgeschützter Transport. Wenn das Kontrollkästchen deaktiviert ist, wählt der IDP die am besten geeignete Kontextklasse aus.
      AuthnContextClassRef-Methode Geben Sie die URN des Anmeldemechanismus ein, den der IDP zur Authentifizierung von Anwendern verwenden soll.
      Authentifizierungsanforderung erzwingen Aktivieren Sie das Kontrollkästchen, um das Auftreten von Authentifizierungsanforderungen zu erzwingen.
      Ist passive Authentifizierungsanforderung Aktivieren Sie das Kontrollkästchen, wenn die AuthnRequest passiv ist.
      Single Sign-On-Skript Wählen Sie das Single Sign-on-Skript aus. Der Standardwert ist MultiSSOV2_SAML2_custom .
      Abmeldeantwort Signieren Geben Sie die Details der Abmeldeantwort in dieses Feld ein.
      Taktversatz Geben Sie die Anzahl der Sekunden zwischen den beiden Attributen ein, aus denen die SAMLResponse Nonce besteht. Der Standardwert ist 60. Eine gültige SAMLAntwort muss zwischen liegen Nicht vorher Und NotOnOrAfter Datums-/Uhrzeitwerte. Siehe Beispiel-SAML 2-Antwort mit den Elementen SubjectConfirmation und SubjectConfirmationData und Beispiel-SAML 2-Antwort mit den Elementen „AudienceRestrictions“ und „Zielgruppen“ für eine Beispiel-SAMLResponse-Nachricht.
      Protokollbindung für SingleLogoutReuqest des IdP Geben Sie einen der unterstützten Werte ein, die im Bindungsattribut aus dem Element „SingleLogoutService“ aufgeführt sind.
      Metadaten-URL, aus der IDP-Eigenschaften importiert werden Die IDP-Eigenschaften werden aus dieser URL importiert. Wenn festgelegt, wird der automatische Import von SAML-Zertifikaten aus dem IDP aktiviert, wenn das vorherige Zertifikat abgelaufen ist.
      Hinweis:
      Wenn Sie ein Upgrade von SAML2 Update 1 auf Multianbieter-SSO durchführen oder Ihre SSO-Verbindung manuell einrichten, wird die ID-Metadaten-URL nicht automatisch ausgefüllt.
      Anforderung Eine eindeutige ID als Teil der Anforderung. Die ID kann Anwendername, Mitarbeiter-ID usw. sein.
      Hinweis:
      Sowohl Umleitung als auch Post-Bindung werden für die Anforderung unterstützt. Die Option zum Festlegen dieses Felds wird erst nach einer erfolgreichen Testverbindung angezeigt. Weitere Informationen finden Sie unter Testen Sie IdP-Verbindungen.
      Antwort Eine eindeutige ID als Teil der Antwort. Die ID kann Anwendername, Mitarbeiter-ID usw. sein.
      Hinweis:
      Sowohl die Umleitung als auch die Post-Bindung werden für die Antwort unterstützt. Die Option zum Festlegen dieses Felds wird erst nach einer erfolgreichen Testverbindung angezeigt. Weitere Informationen finden Sie unter Testen Sie IdP-Verbindungen.
    7. Wahlweise: Konfigurieren Sie auf der Registerkarte kontinuierliche Authentifizierung die folgenden Felder:
      Hinweis:
      • Die Registerkarte „kontinuierliche Authentifizierung“ wird nur angezeigt, wenn Sie installieren Zero Trust: Kontinuierliche Authentifizierung ( com.snc.zero_trust_continuous_authentication ) Plugin, das eine Lizenz erfordert.
      • Wenn Sie die Richtlinie für kontinuierliche Authentifizierung verwenden, um den Zugriff auf die Tabelle oder Datenklasse zu schützen, finden Sie unter Kontinuierliche Authentifizierung (CA).
      Kontinuierliche Authentifizierung: Registerkarteninformationen
      Tabelle : 5. Kontinuierliche Authentifizierung
      Feld Beschreibung
      Kontinuierliche Authentifizierung Konfiguriert Aktivieren Sie das Kontrollkästchen, um die Konfiguration als aktiv festzulegen.
      Verbraucher-URL für kontinuierliche Authentifizierung Geben Sie die Verbraucher-URL vom Identitätsanbieter an.
      Skript Für Kontinuierliche Authentifizierung

      Wählen Sie das Suchsymbol aus, um das von der Plattform bereitgestellte Skript auszuwählen. In dieser Konfiguration für SAML: MultiSSOv2_SAML2_ContinuousAuth_custom