カスタム URL の SSO をセットアップする方法Issue この記事では、ユーザーが「service-now.com」とカスタム URL の両方を使用して SSO 経由でログインできるように、インスタンスを構成するために必要な手順について説明します。 カスタム URL に対してのみ SSO をセットアップする場合は、各手順の説明を確認してください。Releaseカスタム URL は、London リリース以降でのみサポートされています。 <!-- div.margin{ padding: 10px 40px 40px 30px; } table.tocTable{ border: 1px solid; border-color:#E0E0E0; background-color: rgb(245, 245, 245); padding-top: .6em; padding-bottom: .6em; padding-left: .9em; padding-right: .6em; } table.noteTable{ border:1px solid; border-color:#E0E0E0; background-color: rgb(245, 245, 245); width: 100%; border-spacing:2; } table.internaltable { white-space:nowrap; text-align:left; border-width: 1px; border-collapse: collapse; font-size:14px; width: 85%; } table.internaltable th { border-width: 1px; padding: 5px; border-style: solid; border-color: rgb(245, 245, 245); background-color: rgb(245, 245, 245); } table.internaltable td { border-width: 1px; padding: 5px; border-style: solid; border-color: #E0E0E0; color: #000000; } .title { color: #D1232B; font-weight:normal; font-size:28px; } h1{ color: #D1232B; font-weight:normal; font-size:21px; margin-bottom:-5px } h2{ color: #646464; font-weight:bold; font-size:18px; } h3{ color: #000000; font-weight:BOLD; font-size:16px; text-decoration:underline; } h4{ color: #646464; font-weight:BOLD; font-size:15px; text-decoration:; } h5{ color: #000000; font-weight:BOLD; font-size:13px; text-decoration:; } h6{ color: #000000; font-weight:BOLD; font-size:14px; text-decoration:; } ul{ list-style: disc outside none; margin-left: 0; } li { padding-left: 1em; } -->Causeインスタンスのカスタム URL を設定すると、ユーザーは SSO を使用して ServiceNow インスタンスにログインできなくなります。Resolution ([カスタム URL (Custom URL)]> [カスタム URL (Custom URLs)]) に移動し、カスタム URL レコードの [ステータス (Status)] フィールドが [アクティブ (Active)] であることを確認します。 注意 :support.acme.com は例として使用されており、実際のドメイン名として使用されていません。 ([複数プロバイダー SSO (Multi-Provider SSO)] > [ID プロバイダー (Identity Providers)]) に移動し、ID プロバイダーレコードを開きます。 注意 :SSO にカスタム URL のみを使用する場合は、すべての「service-now.com」値をカスタム URL に置き換えてください。 [メタデータを生成 (Generate Metadata)] をクリックし、これを使用して、ID プロバイダーの関連する ServiceNow インスタンス構成をインポートまたは更新します。 注意:「service-now.com」とカスタム URL の両方に AssertionConsumerService エントリがあることがわかります。 <<EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://acme.service-now.com"> <SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://acme.service-now.com/navpage.do"/> <NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat> <AssertionConsumerService isDefault="true" index="0" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://acme.service-now.com/navpage.do" /> <AssertionConsumerService isDefault="false" index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://support.acme.com/navpage.do" /> <AssertionConsumerService isDefault="false" index="2" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://acme.service-now.com/consumer.do" /> <AssertionConsumerService isDefault="false" index="3" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://support.acme.com/consumer.do" /> </SPSSODescriptor></EntityDescriptor> ID プロバイダーに応じて、以下の追加情報の関連セクションを参照してください。 ID プロバイダーを正しく設定したら、ServiceNow 内の ID プロバイダーレコードに戻り、[テスト接続 (Test Connection)] を選択してください。 注意:SSO にカスタム URL のみを使用するようにインスタンスを設定する場合は、カスタム URL を使用してインスタンスにログインする必要があります。 SSO テストが正常に完了したと仮定して、[有効化 (Activate)] を選択すると、新しいカスタム URL を使用して SSO 経由でインスタンスにログインする準備が整います。 注意:カスタム URL を設定した後、それが IDP プロバイダーで唯一のアクティブなレコードであり、元の service-now URL にアクセスしようとしている場合は、カスタム URL IDP レコードの自動リダイレクト URL フラグをオフにする必要があります。 この KB は、ブラウザを念頭に置いて準備されましたが、モバイルアプリでも機能するはずです。ただし、モバイルアプリ関連の他の構成も確認することが必要な場合があります。Related Links「service-now.com」とカスタム URL の両方を使用するアプリケーション固有の構成の例 acme.service-now.com:これは ServiceNow インスタンスの URL を参照します。support.acme.com:これはカスタム URL を参照します。<インスタンスの URL>/navpage.do:これはメインインスタンスページです (不明な場合は「navpage.do」を使用してください)。<インスタンスの URL>/consumer.do:これは ServiceNow の電子署名による承認プラグインで使用されるデフォルトのエンドポイントです。 Microsoft Active Directory フェデレーションサービス (ADFS) ServiceNow メタデータをインポートするか、関連する ServiceNow 証明書利用者信頼を手動で更新した後、エンドポイントは次のようになります。 この構成では、「service-now.com」とカスタム URL の両方を使用して SSO 経由でインスタンスにログインできます。 Okta - ServiceNow UD アプリケーション Okta の ServiceNow UD アプリケーションの制限は、複数の SAML アサーションコンシューマーエンドポイントをサポートしていないことです。複数に対応するには、次の 2 つの ServiceNow UD Okta アプリケーションを作成する必要があります。 「service-now.com」インスタンス URL 用の Okta アプリケーション 1 つカスタム URL 用の Okta アプリケーション 1 つ また、以下の点にも注意してください。 注意 1:「テスト接続」を正常に実行するには、Okta 構成内で [強制認証の無効化 (Disable Force Authentication)] がオフになっていることを確認する必要があります。 https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-ServiceNow.html#force注意 2:ID プロバイダーレコードから「テスト接続」を実行する際に、ベース URL に関連付けられた ID プロバイダーレコードをテストする場合は、ベース URL に基づいたインスタンスにログインしていることを確認してください。また、カスタム URL に関連付けられた ID プロバイダーをテストする場合は、カスタム URL (customurl.example.com など) を使用してログインしていることを確認してください。 Okta - カスタム SAML 2.0 アプリケーション統合 (詳細セットアップ) 注意 1:これは高度なセットアップであり、SAML 2.0、Okta、ServiceNow プラットフォームの知識が必要です。注意 2:独自のカスタム SAML アプリケーションを作成する場合、ユーザープロビジョニング (ServiceNow UD によって提供される) などが機能しなくなります。 Okta 内で新しい SAML 統合アプリケーションの作成を開始します。これにより、複数の SAML アサーションコンシューマーエンドポイントをサポートできるようになります。 追加の要求可能な SSO URL を作成します。 少なくとも、「navpage.do」に対して 2 つのエントリ (「service-now.com」とカスタム URL) を作成する必要があります。電子署名による承認プラグインを使用している場合は、「consumer.do」に対して追加の 2 つのエントリを作成する必要があります。 OIDC を使用した SSO Keycloak オンプレミスおよび OIDC モードでオープンソースの IdP Keycloak を使用しているお客様は、2 つの個別のカスタム URL (2 つの別々のユーザーグループごとに、異なるサービスポータルを参照する) を使用し、3 番目のユーザーグループのベース URL で OIDC ログインを使用したいと考えていました。インスタンスに 3 つの異なる OIDC ID プロバイダーの [oidc_identity_provider] レコードを設定することで、この課題に正常に対応できました (複数プロバイダー SSO > ID プロバイダー)。 OIDC ID プロバイダーレコードのうち 2 つでは、ServceNow ホームページがそれぞれのカスタム URL に設定され、3 番目のレコードがベース URL (/navpage.do を使用) に設定されていました。OIDC エンティティプロファイルは、IdP (Keycloak) 側でも個別の構成として表示されるため、それぞれ個別になります。 ベース URL OIDC ID プロバイダー [oidc_identity_provider] が「自動リダイレクト IdP」として設定されており、ユーザーは「/login_with_sso.do」を使用するお客様のネットワーク上のイントラネットポータルページのリンクをクリックして 2 つのカスタム URL に到達しました (たとえば、href= https://my.customurl.example.com/login_with_sso.do?glide_sso_id=ac2356e01bcb952022659274bc4bcb5a で「サンプルグループポータルにログイン」)。 その他の SSO アプライアンス 他の SSO アプライアンスの構成は、実際にはその機能に依存します。 SSO アプライアンスは、複数の SAML アサーションコンシューマーエンドポイントをサポートしていますか。 答えが「はい」の場合は、上記の構成をガイドラインとして使用して、インスタンス「service-now.com」とカスタム URL の両方を使用して ID プロバイダーを設定できます。 SSO アプライアンスは、ID プロバイダー構成ごとに異なる SingleSignOnService エンドポイントを提供しますか。 つまり、Okta を例にすると、各構成には独自のエンドポイントがあります。 答えが「はい」の場合は、2 つの構成 (1 つは「service-now.com」用、もう 1 つはカスタム URL 用) を構成する必要があります。その場合、ServiceNow 内で、関連する SSO アプライアンス構成ごとに 2 つの ID プロバイダーレコードが必要になります。 SSO アプライアンスが上記の機能のいずれも提供していない場合、残念ながら、SSO では「service-now.com」またはカスタム URL のいずれかしか使用できない場合があります。