Criação de uma configuração OpenID Connect (OIDC) para Single Sign-On (SSO)

Segurança da Plataforma Yokohama

Release

yokohama

ft:locale

pt-BR

ft:publication_title

Segurança da Plataforma Yokohama

ft:clusterId

psec

bundleId

psec

workflow

Platform

Criação de uma configuração OpenID Connect (OIDC) para Single Sign-On (SSO)

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

7 min. de leitura

Crie ou atualize uma configuração de OpenID Connect (OIDC) usando o plug-in Multi-Provider SSO.

Antes de Iniciar

Registre uma aplicação OIDC com seu provedor de identidade (IdP) e anote a ID de cliente, o segredo do cliente e o URL de configuração amplamente conhecido.
Ativar plug-in Multi-Provider SSO
Configure as propriedades de SSO de vários provedores
Ative a aprovação com o plug-in Approval with E-Signature para habilitar a assinatura eletrônica para o IdP OIDC.
Função necessária: administrador

Se você tiver a ID de cliente, o segredo do cliente e o URL de configuração amplamente conhecido do provedor de identidade, poderá importar diretamente a configuração da OIDC para o SSO.

Nota:

A opção de login com IdP OIDC não será compatível se o plug-in Domain Separation estiver instalado.

Se as informações necessárias sobre o provedor de identidade não estiverem disponíveis, será possível configurar manualmente a OIDC para SSO. Depois de concluir a configuração, os usuários podem fazer login nas aplicações do ServiceNow usando provedores de identidade social de terceiros, como Google Okta.

Procedimento

Navegar até Tudo > SSO Multiprovedor > Provedores de Identidade.
Escolha uma das opções a seguir.
- Para atualizar uma configuração existente, clique em um registro de provedor de identidade OIDC.
- Para criar uma nova configuração, clique em Novo e selecione OpenID Connect.

Para uma nova configuração, insira as informações de configuração da OIDC usando um dos seguintes métodos:

Opção	Descrição
Importar configuração conhecida da OpenID Connect	Se você tiver o URL de configuração amplamente conhecido com suas credenciais de cliente associadas, poderá importar uma configuração diretamente da OIDC. Nota: Se você importar a configuração conhecida da OIDC, todos os campos relacionados serão preenchidos automaticamente.
Configurar o formulário do provedor de identidade de OIDC manualmente	Se você não tiver uma entidade OAuth OIDC existente, feche o pop-up Importar configuração conhecida da OpenID Connect e preencha os campos no formulário do provedor de identidade OIDC manualmente.

Tabela 1. Importação de campos de configuração conhecida da OpenID Connect
Propriedade	Descrição
Nome	Nome exclusivo para a configuração do provedor de identidade OIDC.
ID de cliente	ID de cliente da aplicação registrada no provedor de identidade OIDC de terceiros.
Segredo do cliente	Segredo do cliente da aplicação registrado no provedor de identidade OIDC de terceiros.
URL de configuração amplamente conhecido	URL que contém metadados sobre o provedor de identidade OIDC de terceiros.

Todos os campos obrigatórios devem ser preenchidos no formulário do provedor de identidade OIDC.

Antes de preencher manualmente o formulário do provedor de identidade OIDC, verifique se você já possui um perfil de entidade OAuth para o IdP OIDC.

Se não tiver um perfil de entidade OAuth, você poderá criá-lo usando os modelos-padrão de provedor OIDC externo, como Okta, Azure e outros.

O tipo de concessão do perfil de entidade OAuth deve conter um código de autorização. Para obter mais informações, consulte Configurar um provedor OAuth OIDC na Now Platform.

Nota:

É possível usar os modelos de provedores de identidade de terceiros, Auth0, Azure AD, Google e Okta que estão disponíveis nos dados de demonstração do plug-in Multiple Provider Single Sign-On Installer.

Tabela 2. Campos de Provedor de identidade OIDC
Propriedade	Descrição
Nome	Nome do registro do provedor de identidade OIDC.
Ativo	Opção para ativar a configuração do IdP OIDC. Nota: Esta opção pode ser definida como ativa somente após um teste de conexão bem-sucedido.
Padrão	Opção para definir a configuração IdP OIDC como padrão quando mais de uma configuração OIDC estiver disponível.
Redirecionar IdP automaticamente	Opção para habilitar o redirecionamento automático dos usuários para a página de login do provedor de identidade. Este campo mostra quando a opção Definir como IdP de redirecionamento automático está definida na seção Links relacionados. Nota: Se uma nova configuração Redirecionar IdP automaticamente for ativada, o cookie glide_sso_idserá atualizado automaticamente com o novo IdP de redirecionamento automático. A propriedade do sistema glide.authenticate.sso.update.idp.cookie controla este recurso.
Perfil de entidade de OIDC	Perfil de entidade OAuth para a configuração de OIDC.
ServiceNow Página inicial	O URL da página de login usada para autenticação. Este campo é definido automaticamente como o URL da sua instância. O formato da URL é `https://yourinstance.service-now.com/navpage.do`
Redirecionamento de logout externo	O URL para onde a integração redireciona os usuários após o logout. Normalmente, o portal que é usado para SSO. Este campo é definido automaticamente como `external_logout_complete.do` Por exemplo, `https://yourinstance.service-now.com/external_logout_complete.do`
Mostrar como opção de login	Opção para exibir o IdP OIDC como uma opção de login na página de login. A opção de login aparece como o botão login com o Provedor de identidade.
Rótulo de SSO	Rótulo do IdP OIDC exibido na página de login. Este campo é exibido somente quando Mostrar como opção de login está habilitada.
URL do logotipo	URL publicamente disponível que contém o logotipo do provedor IdP OIDC. Este campo é exibido somente quando Mostrar como opção de login está habilitada.

Opcional: Habilite o provisionamento automático de usuário na guia Provisionamento de usuário>guia Provisionamento de usuário.

Você pode optar por habilitar o provisionamento automático de usuários durante o login do usuário. Quando o provisionamento automático de usuário está habilitado, um registro de usuário é criado automaticamente na instância da ServiceNow se ainda não existir.

Tabela 3. Campos de Provisionamento de usuário
Propriedade	Descrição
Provisionar usuários automaticamente	Opção para habilitar o provisionamento automático de usuários. Esta propriedade cria um usuário na tabela Usuário (sys_user) da instância quando o usuário faz a saída do IdP, mas não existe na tabela Usuário.
Provisionar usando	Fonte de dados a ser usada para transformar um `token de ID`, um endpoint de `informações do usuário` ou um `token de ID e informações de usuário` em um usuário ServiceNow. Use a lista de pesquisa para selecionar o modelo de fonte de dados predefinido e abra o registro para configurar o mapeamento da tabela de transformações.
Provisionar fonte de dados	Fonte de dados do token de ID usada para provisionamento de usuário.
Fonte de dados de informações do usuário	A fonte de dados do endpoint de informações do usuário usada para provisionamento de usuários. Este campo é exibido quando `Informações do usuário` ou `Token de ID e informações do usuário` são selecionados para o campo Provisionar usando.
Atualizar usuário no próximo login	Opção para habilitar a atualização do usuário durante o próximo login.
Atualizar tempo de intervalo do usuário (segundos)	Intervalo de tempo mínimo em segundos para atualizar o registro de usuário entre os logins subsequentes. Este campo é definido automaticamente para 3.600 segundos. Por exemplo, depois que um usuário faz login, o registro do usuário será atualizado após 3.600 segundos até o próximo login. Este campo está disponível somente quando o campo Atualizar usuário no próximo login está habilitado.
Funções de usuário aplicadas aos usuários provisionados	Lista de funções aplicadas aos usuários recém-provisionados.

Guia Entidade OIDC
É possível exibir e modificar a configuração do cliente OIDC e o fluxo de conexão da OIDC usando o registro da entidade.
Guia Configuração de provedor OIDC
Você pode exibir e modificar o URL de configuração amplamente conhecido do IdP OIDC ou da validação da declaração do token de ID.

Opcional: Guia Avançado

Scripts que são executados durante o Single Sign-on e o logout.

Tabela 4. Campos de Avançado
Propriedade	Descrição
Script de Single Sign-on	Script que é executado durante o Single Sign-On. Esse campo é definido automaticamente como `MultiSSO_OIDC_custom`.
Script de logout	Script que é executado depois que o usuário faz logout. Esse campo é definido automaticamente como `MultiSSO_OIDC_logout_custom`.

Opcional: Na guia Autenticação contínua, configure os seguintes campos:

Nota:

A guia Autenticação contínua aparece somente quando você instala o plug-in Zero Trust - Current Authentication (com.snc.zero_trust_contintuous_authentication) que requer licença.
Se você estiver usando a política de autenticação contínua para proteger o acesso à tabela ou classe de dados, consulte Autenticação contínua.

Autenticação contínua - informações da guia

Tabela 5. Autenticação contínua
Campo	Descrição
Autenticação contínua configurada	Marque a caixa de seleção para definir a configuração como ativa.
URL do consumidor de autenticação contínua	Forneça a URL do consumidor do provedor de identidade.
Script de autenticação contínua	Selecione o ícone de pesquisa para escolher o script fornecido pela plataforma. Nesta configuração, para OIDC Okta: ContínuoAuth_Okta_StepUp_Script

Opcional: Na guia Aprovação de assinatura eletrônica, configure a assinatura eletrônica para o Idp OIDC.

Nota:

A guia Aprovação de assinatura eletrônica é exibida somente quando o plug-in Approval with e-Signature (com.glide.e_signature_approvals) está instalado.

Tabela 6. Campos de aprovação de assinatura eletrônica
Propriedade	Descrição
URL de estipulação do cliente, para autenticação da assinatura eletrônica	Se empregar um método personalizado para lidar com a autenticação OIDC para assinatura eletrônica, você poderá configurar seu próprio URL de consumidor. Por exemplo, se estiver usando o SSO de vários provedores, você não precisará usar esta propriedade. Este formato da URL é `https://yourinstance.service-now.com/consumer.do`
Largura da caixa de diálogo de autenticação	Largura da caixa de diálogo de autenticação. Esse campo é definido automaticamente para `800`.
Altura da caixa de diálogo de autenticação	Altura da caixa de diálogo de autenticação. Esse campo é definido automaticamente para `900`.

Opcional: Navegue até a página de login da instância para verificar se o IdP aparece como uma opção de login.
O URL deve estar no seguinte formato: https://yourinstance/login_with_sso.do?glide_sso_id=sysId_IdP
Nota:
Se a opção Selecionado como opção de login estiver habilitada, você poderá acessar o URL de login da instância.