Configurar um provedor OAuth OIDC na Now Platform

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • Você pode configurar um provedor OAuth OIDC para aceitar tokens de identidade gerados por um provedor OIDC de terceiros usando chamadas de API de entrada ou nossa opção de Single Sign-On (SSO de vários provedores).

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    A Now Platform é compatível com o OIDC por meio de nossa implementação de Single Sign-On (SSO) externa, além de chamadas de API de entrada. Para obter um exemplo de configuração de provedor OIDC, consulte Configuração do Azure AD. Para obter um exemplo específico de SSO de uma configuração de provedor OIDC, consulte Criar uma configuração OpenID Connect (OIDC) para Single Sign-On (SSO).

    Procedimento

    1. Navegar até Tudo > OAuth de Sistema > Registro de aplicações.
      • Clique em Novo, em Configurar um provedor OIDC para verificar os tokens de ID e preencha o formulário.
      • Selecione um modelo existente para um provedor OIDC (ADFS, Auth0, Azure AD, Google, Okta) e preencha o formulário.
        Nota:
        Os modelos de provedor OIDC estão disponíveis após o carregamento de dados de demonstração com o plug-in OAuth 2.0.
      Campo Descrição
      Nome Um nome exclusivo que identifica a entidade OAuth OIDC.
      ID de cliente O ID de cliente da aplicação registrado no servidor OAuth OIDC de terceiros. A instância usa o ID de cliente ao solicitar um token de acesso.
      Segredo do Cliente O segredo do cliente da aplicação registrado no servidor OAuth OIDC de terceiros.
      Script do API do OAuth Um script que você pode usar para personalizar solicitações e respostas para um provedor OAuth externo.
      Configuração do provedor OAuth OIDC O provedor OIDC (ADFS, Auth0, Azure AD, Google, Okta) pode ser usado para validar o token JWT. Clique no registro da configuração do provedor OIDC para validar se a Declaração do usuário e o Campo Usuário estão definidos adequadamente. Se você marcar Habilitar verificação de declaração JTI, a validação do token JWT da ServiceNow também validará o JTI enviado pelo provedor.
      Nota:
      Se a validação não for verificada, o JTI não poderá ser validado, independentemente de estar presente no token JWT.
      Distorção do relógio O número, em segundos, para a restrição ser considerada válida. O padrão é 300.
      Comentários Informações adicionais a serem associadas à aplicação.
      Aplicação O nome da aplicação que contém esta entidade.
      Acessível de Selecione uma opção para torná-la acessível de todos os escopos da aplicação ou somente deste escopo da aplicação.
      Impor restrições de token Selecione para permitir que somente tokens sejam usados com APIs definidas para permitir o perfil de autenticação. Você pode definir a concessão de acesso usando uma política de acesso à API. Para obter mais informações, consulte Criar política de acesso à REST API.

      Padrão: não selecionado.
      Ativo Marque a caixa de seleção para ativar a aplicação OAuth.
      URL de redirecionamento O URL da aplicação OAuth para receber o código de autorização.
      URL de endpoint do término da sessão O endpoint do URL que é habilitado após o término de uma sessão.
      Habilitar autenticação forçada Opção para habilitar autenticação forçada para usuários.
    2. Clique em Enviar.
      O registro é salvo na tabela Registros da aplicação [oauth_entity].
      Quando sua instância emite tokens e códigos de autorização, ela cria um registro na tabela Registros da aplicação [oauth_entity] com o tipo Provedor OIDC externo. Para obter mais informações, consulte .
    3. Opcional: Vá para a lista relacionada nos perfis de entidade OAuth do registro para validar um perfil padrão gerado pelo sistema para o novo provedor OAuth sem qualquer escopo.
      Você pode mudar ou adicionar um perfil de provedor OAuth, incluindo o nome, o tipo de concessão e o escopo do OAuth.
    4. Opcional: Vá para a lista relacionada no registro de Escopos de entidade OAuth para definir todos os escopos OAuth disponíveis para este provedor OAuth.
      Os escopos definidos podem ser selecionados ao criar ou atualizar um perfil. Cada escopo OAuth definido contém um nome e um escopo que você deve obter da especificação do provedor, como um escopo de leitura ou um escopo de gravação. Cada escopo deve ser definido separadamente.
    5. Opcional: Vá para a lista relacionada no registro de Provisionamento de usuário para habilitar o provisionamento automático de usuário.
      OpçãoDescrição
      Provisionar usuários automaticamente Opção para habilitar autenticação forçada para usuários.
      Provisionar fonte de dados A fonte de dados a ser usada para transformar um token OIDC em um usuário da ServiceNow. Use a Lista de pesquisa para selecionar o modelo de fonte de dados predefinido e abra o registro para configurar o mapeamento da tabela de transformações. Configurando o mapeamento de transformação, os campos de origem são de JWT token e os campos de destino são da tabela sys_user.
      Funções de usuário aplicadas aos usuários provisionados Lista de funções de usuário aplicadas aos usuários da ServiceNow recém-provisionados.