Como configurar um provedor de OAuth e OIDC para aceitar token de terceiros

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 5 min. de leitura

    • É possível configurar um provedor de OAuth e OIDC para aceitar tokens de identidade gerados por um provedor de OIDC terceirizado usando chamadas de API de entrada com a opção de Single Sign-On (SSO de vários provedores).

    Antes de Iniciar

    Função necessária: administrador

    Por Que e Quando Desempenhar Esta Tarefa

    A ServiceNow AI Platform é compatível com o OIDC por meio de nossa implementação de Single Sign-On (SSO) externa, além de chamadas de API de entrada. Para obter um exemplo de configuração de provedor OIDC, consulte Configuração do Azure AD. Para obter um exemplo específico de SSO de uma configuração de provedor OIDC, consulte Criar uma configuração OpenID Connect (OIDC) para Single Sign-On (SSO).

    Procedimento

    1. Navegar até Tudo > OAuth de Sistema > Registro de aplicações.
      • Selecione Novo, selecione Configurar um provedor de OIDC para verificar tokens de ID e preencha o formulário.
      • Selecione um modelo existente para um provedor OIDC (ADFS, Auth0, Azure AD, Google, Okta) e preencha o formulário.
        Nota:
        Os modelos de provedor OIDC estão disponíveis após o carregamento de dados de demonstração com o plug-in OAuth 2.0.
      Campo Descrição
      Nome Um nome exclusivo que identifica a entidade OAuth OIDC.
      ID de cliente O ID de cliente da aplicação registrado no servidor OAuth OIDC de terceiros. Esse valor deve ser igual ao valor da declaração aud no token JWT.
      Script do API da OAuth Um script que você pode usar para personalizar solicitações e respostas para um provedor OAuth externo.
      Configuração do provedor OAuth OIDC É possível usar os provedores de OIDC (ADFS, Auth0, Azure AD, Google, Okta) para validar o token JWT. Selecione o registro da configuração do provedor de OIDC para validar se a Declaração do usuário e o Campo de usuário estão definidos corretamente.
      Além disso, certifique-se de preencher os seguintes campos:
      • Ativar a verificação de declaração JTI: quando ativada, a validação de token JWT da ServiceNow também valida o JTI enviado pelo provedor.
      • URL de metadados OIDC: detalhes da configuração conhecida do provedor de OIDC.
      Nota:
      Se a validação não for verificada, não será possível validar o jti, independentemente de estar presente no token JWT. O nome da declaração no token deve ser jti.
      Distorção do relógio O número, em segundos, para a restrição ser considerada válida. O padrão é 300.
      Impor restrições de token Selecione para permitir somente o uso de tokens com as APIs definidas a fim de ativar o perfil de autenticação. Você pode definir a concessão de acesso usando uma política de acesso à API. Para obter mais informações, consulte Criar política de acesso à REST API.

      Padrão: não selecionado.
      Ativo Marque a caixa de seleção para ativar a aplicação OAuth.
      Tipo de Cliente Escolha o tipo de cliente com base no tipo do seu cliente. Opções:
      • Iframe integrado
      • Integração como um usuário
      • Integração como um serviço
      Para saber mais, consulte Como configurar o tipo de cliente para registros de OAuth e SSO.
    2. Selecione Enviar.
      O registro é salvo na tabela Registros da aplicação [oauth_entity].
      Quando sua instância emite tokens e códigos de autorização, ela cria um registro na tabela Registros da aplicação [oauth_entity] com o tipo Provedor OIDC externo. Para obter mais informações, consulte .
    3. Opcional: Vá para a lista relacionada nos perfis de entidade OAuth do registro para validar um perfil padrão gerado pelo sistema para o novo provedor OAuth sem qualquer escopo.
      Você pode mudar ou adicionar um perfil de provedor OAuth, incluindo o nome, o tipo de concessão e o escopo do OAuth.
    4. Opcional: Vá para a lista relacionada no registro de Escopos de entidade OAuth para definir todos os escopos OAuth disponíveis para este provedor OAuth.
      Os escopos definidos podem ser selecionados ao criar ou atualizar um perfil. Cada escopo OAuth definido contém um nome e um escopo que você deve obter da especificação do provedor, como um escopo de leitura ou um escopo de gravação. Cada escopo deve ser definido separadamente.
    5. Opcional: Vá para a lista relacionada no registro de Provisionamento de usuário para habilitar o provisionamento automático de usuário.
      OpçãoDescrição
      Provisionar usuários automaticamente Opção para habilitar autenticação forçada para usuários.
      Provisionar fonte de dados A fonte de dados a ser usada para transformar um token OIDC em um usuário da ServiceNow. Use a Lista de pesquisa para selecionar o modelo predefinido de fonte de dados e abra o registro para configurar o mapeamento da tabela de transformações. Configurando o mapeamento de transformação, os campos de origem são de JWT token e os campos de destino são da tabela sys_user.
      Funções de usuário aplicadas aos usuários provisionados Lista de funções de usuário aplicadas aos usuários da ServiceNow recém-provisionados.

    Abaixo, há um exemplo de uma solicitação cURL para acionar uma chamada de REST API

    Acione uma chamada de REST API.

    Execute as seguintes ações:

    • Registre o app no provedor de OpenID Connect.
    • Configure a entidade OIDC do OAuth.
    • Configure o provedor de OIDC:
      Tabela 1. Provedor de OIDC
      Provedor de OIDC Nome do provedor de OIDC.
      URL de Metadados OIDC Especifique a URL de metadados OIDC (URL de configuração conhecida). Essas informações são usadas para obter as chaves públicas para validar o token por meio do endpoint jwks.
      Declaração do usuário A declaração que é validada em relação à tabela do usuário.
      Campo de usuário Declaração do usuário que identifica o registro do usuário.
      Ativar a verificação de declaração JTI Quando ativada, a validação do token JWT da ServiceNow também validará o JTI enviado pelo provedor.
      Nota:
      Se a validação não for verificada, não será possível validar o jti, independentemente de estar presente no token JWT. O nome da declaração no token deve ser jti. Essas informações são usadas para impedir ataques de repetição.
    • Obtenha um token JWT.
    • Acione uma chamada de REST API.
      • O token de ID no cabeçalho de autorização para acessar a API da tabela ou os Serviços web com script.
        curl -X GET --header "Accept:application/json" https://<instance_name>.service-now.com/api/now/table/incident/897b04f2dbd4a300a135364e9d961952 -k 
--header "Authorization: Bearer eyJraWQiOiJjNTZtZTlXU0xPVnY3UFMwcTg4Qzl1b0lzNjFQYTdmUG4yZFVFOW9RNUg4IiwiYWxnIjoiUlMyNTYifQ.eyJzdWIiOiIwMHVnZDg1OD
VkczI1WXpUSjBoNyIsIm5hbWUiOiJpbXJhbiBhbGkiLCJsb2NhbGUiOiJlbi1VUyIsImVtYWlsIjoiaW1yb241NDNAZ21haWwuY29tIiwidmVyIjoxLCJpc3MiOiJodHRwczovL2Rldi05MzQ
xMjEub2t0YXByZXZpZXcuY29tIiwiYXVkIjoiMG9hZ2Q4bzk3a2lCT3dwd0IwaDciLCJpYXQiOjE1Mzc5MzMzMjYsImV4cCI6MTUzNzkzNjkyNiwianRpIjoiSUQueThVdXpWNUg2bm16SzRs
OTI1RFVrQnJoR1o1MmJzVVpGVHRVTEphQjg3ayIsImFtciI6WyJwd2QiXSwiaWRwIjoiMDBvZ2Q4NTgycEFqZDZTemcwaDciLCJub25jZSI6InNub3ciLCJwcmVmZXJyZWRfdXNlcm5hbWUiO
iJpbXJvbjU0M0BnbWFpbC5jb20iLCJnaXZlbl9uYW1lIjoiaW1yYW4iLCJmYW1pbHlfbmFtZSI6ImFsaSIsInpvbmVpbmZvIjoiQW1lcmljYS9Mb3NfQW5nZWxlcyIsInVwZGF0ZWRfYXQiOj
E1Mzc5MzAxOTcsImVtYWlsX3ZlcmlmaWVkIjp0cnVlLCJhdXRoX3RpbWUiOjE1Mzc5Mjk2NjF9.OG87SYxWFgHGlhBYby2H79diRm9rlYZTeEkIINRUatwg-p4739htB8xEY-5_t6yU_6k5w1
0pdgtt5M5QFZRPXVbQZNoGtY-Bxn0BjaimcFgoWfhY_0ldnGTkzN2RYyIHvrf9-yhxg347zvczmLrgMMa_VwG4rxrtE6rUXaIpIeIK5b-Deq8ADz8UTUTKpF_5RWk4X-oh5xK6BLniFHk4ShO
Zq2v_mjproXwKk5euJKrVrar2lQ4adZCOSTRuTf3ThMO5WDh0sel-82LngXtLzRJJ51IqxAsXns0kJHLLqLtH1hXNRKfwT1ScQoE_OfWm4t0KryI2j4wSMEanFtLXIw"
      • Se o usuário for autenticado, uma resposta de aplicação/json válida será exibida. Caso contrário, será exibida uma mensagem de erro de usuário não autenticado.
        User Not Authenticated
{"error":{"message":"User Not Authenticated","detail":"Required to provide Auth information"},"status":"failure"}