ServiceNow での SSO を使用した Azure AD のセットアップ - Support and Troubleshooting

ServiceNow での SSO を使用した Azure AD のセットアップ Summary ServiceNow を Azure Active Directory (Azure AD) と統合する方法。ServiceNow を Azure AD と統合すると、次のことができます。

Azure AD で ServiceNow にアクセスできるユーザーを制御 ユーザーが Azure AD アカウントを使用して ServiceNow に自動的にサインイン アカウントを 1 か所 (Azure portal) で管理 Release London and Above

Instructions 前提条件

開始するには、次のアイテムが必要です。

Azure AD のサブスクリプション。サブスクリプションをお持ちでない場合は、 無料アカウント を取得できます。 ServiceNow シングルサインオン (SSO) が有効なサブスクリプション。 ServiceNow の場合、ServiceNow のインスタンスまたはテナントは、New York、Orlando、Paris バージョン以降をサポートします。 ServiceNow テナントでは、 Multiple Provider Single Sign On プラグイン が有効になっている必要があります。 自動構成の場合は、ServiceNow のマルチプロバイダープラグインを有効にします。

注記

この統合は、Azure AD US Government クラウド環境から使用することもできます。このアプリケーションは、Azure AD US Government クラウド アプリケーション ギャラリーで見つけて、パブリック クラウドから行うのと同じ方法で構成できます。

シナリオの説明

このチュートリアルでは、テスト環境で Azure AD SSO を構成してテストします。

ServiceNow は SP によって開始される SSO をサポートしています。 ServiceNow は 自動ユーザープロビジョニング をサポートしています。

ギャラリーから ServiceNow を追加する

ServiceNow と Azure AD の統合を構成するには、ギャラリーからマネージド SaaS アプリの一覧に ServiceNow を追加する必要があります。

職場または学校アカウントを使用するか、個人の Microsoft アカウントを使用して、Azure portal にサインインします。 左側のウィンドウで、 Azure Active Directory サービスを選択します。 エンタープライズアプリケーション に移動し、 すべてのアプリケーション を選択します。 新しいアプリケーションを追加するには、 新しいアプリケーション を選択します。 ギャラリーから追加 セクションで、検索ボックスに「 ServiceNow 」と入力します。 結果パネルから ServiceNow を選択し、アプリを追加します。アプリがテナントに追加されるまで数秒待ちます。

Azure AD SSO for ServiceNow の構成とテスト

B.Simon というテストユーザーを使用して、ServiceNow で Azure AD SSO を構成およびテストします。SSO を機能させるには、Azure AD ユーザーと ServiceNow の関連ユーザーの間にリンク関係を確立する必要があります。

ServiceNow で Azure AD SSO を構成してテストするには、次の手順を実行します。

Azure AD SSO を構成して、ユーザーがこの機能を使用できるようにします。 Azure AD テストユーザーを作成して Example ユーザー B.Simon で Azure AD シングルサインオンをテストします。 Azure AD テスト ユーザーを割り当てて B.Simon が Azure AD シングル サインオンを使用できるようにします。 ServiceNow を構成し アプリケーション側で SSO 設定を構成します。 ServiceNow テストユーザーを作成して ServiceNow の B.Simon に対応するユーザーをユーザーの Azure AD 表現にリンクさせます。 SSO をテストして、構成が機能するかどうかを確認します。

Azure AD SSO の構成

Azure portal で Azure AD SSO を有効にするには、次の手順に従います。

Azure ポータルの ServiceNow アプリケーション統合ページで、 管理 セクションを見つけます。 シングルサインオン を選択します。 シングルサインオン方法の選択 ページで SAML を選択します。 SAML を使用したシングルサインオンのセットアップ ページで、 基本的な SAML 構成 のペンアイコンを選択して設定を編集します。

[ 基本的な SAML 構成 セクションで、次の手順を実行します。 a.[サインオン URL] に、https:// .service-now.com/navpage.do というパターンを使用する URL を入力します。

b.識別子 (エンティティ ID) に、https:// .service-now.com というパターンを使用する URL を入力します。

c.[ 応答 (Reply) URL ] に、次のいずれかの URL パターンを入力します。

テーブル 1

応答 URL

https:// .service-now.com/navpage.do https:// .service-now.com/customer.do

ログアウト URL、 https:// .service-now.com/navpage.do のパターンを使用する URL を入力します。

手記

識別子の値に「/」が追加されている場合は、手動で削除してください。

注記

これらの値は本物ではありません。これらの値は、実際のサインオン URL、応答 URL、ログアウト URL、および識別子 (チュートリアルの後半で説明) で更新する必要があります。Azure portal の 基本的な SAML 構成 セクションに示されているパターンを参照することもできます。

SAML を使用したシングルサインオンの設定 ページの SAML 署名証明書 セクションで、 証明書 (Base64) を見つけます。

a.コピー ボタンを選択して アプリ フェデレーション メタデータ URL をコピーし、メモ帳に貼り付けます。この URL は、チュートリアルの後半で使用します。

b. ダウンロード を選択して 証明書 (Base64) をダウンロードし、証明書ファイルをコンピューターに保存します。

ServiceNow の設定 セクションで、要件に基づいて適切な URL をコピーします。

Azure AD テストユーザーを作成する

このセクションでは、Azure portal で B.Simon というテスト ユーザーを作成します。

Azure portal の左側のペインで、 Azure Active Directory > [ユーザー] > [すべてのユーザー] を選択します。 画面上部の 新規ユーザー を選択します。 User プロパティで、次の手順を実行します。 [ 名前 ] に「 B.Simon と入力します。 ユーザー名 にusername@companydomain.extension を入力します。たとえば、 B.Simon@contoso.com などです。 パスワードの表示 を選択し、[ パスワード ボックスに表示されている値を書き留めます。 作成 を選択します。

Azure AD テストユーザーをアサインする

このセクションでは、ServiceNow へのアクセスを許可することで、B.Simon が Azure シングルサインオンを使用できるようにします。

Azure portal で、 エンタープライズ アプリケーション > すべてのアプリケーション を選択します。 アプリケーションリストで、[ ServiceNow ] を選択します。 アプリの概要ページで、 管理 セクションを見つけて、 ユーザーとグループ を選択します。 ユーザーを追加 を選択します。 アサインの追加 ダイアログボックスで ユーザーとグループ を選択します。 ユーザーとグループ ダイアログボックスで、ユーザーの一覧から B.Simon を選択し、 選択 を選択します。 ユーザーにロールがアサインされることが予想される場合は、[ ロールを選択 ]ドロップダウンから選択できます。このアプリにロールが設定されていない場合は、「デフォルトのアクセス」ロールが選択されていることがわかります。 アサインを追加 ダイアログボックスで アサイン を選択します。

シングルサインオン方法の選択 ダイアログボックスで、 SAML/WS-Fed モードを選択してシングルサインオンを有効にします。

SAML を使用したシングルサインオンのセットアップ ページで、ペンアイコンを選択して 基本的な SAML 構成 ダイアログボックスを開きます。

基本的な SAML 構成 セクションで、次の手順を実行します。 a.[サインオン URL に、パターン https:// .service-now.com/navpage.do を使用する URL を入力します。

b.[識別子 (エンティティ ID) に、https:// .service-now.com というパターンを使用する URL を入力します。

c.[ 応答 URL に、次のいずれかの URL を入力します。

テーブル 2

返信 URL

https:// .service-now.com/navpage.do

https:// .service-now.com/customer.do

d. ログアウト URL に、https:// .service-now.com/navpage.do というパターンを使用する URL を入力します。

注記

識別子の値に「/」が追加されている場合は、手動で削除してください。

注記

これらの値は本物ではありません。これらの値は、実際のサインオン URL、応答 URL、ログアウト URL、および識別子 (チュートリアルの後半で説明) で更新する必要があります。Azure portal の 基本的な SAML 構成 セクションに示されているパターンを参照することもできます。

SAML を使用したシングルサインオンの設定 ページの SAML 署名証明書 セクションで ダウンロード を選択し、要件に応じて、指定されたオプションから 証明書 (Base64) をダウンロードします。パソコンに保存します。

Azure AD で SAML ベースの認証用に ServiceNow を自動的に構成することができます。このサービスを有効にするには、 ServiceNow の設定 セクションに移動し、 ステップバイステップの手順を表示 を選択して サインオンの構成 ウィンドウを開きます。

サインオンの構成 フォームで、ServiceNow インスタンス名、アドミンユーザー名、およびアドミンパスワードを入力します。 今すぐ構成 を選択します。これを機能させるには、指定された admin ユーザー名に ServiceNow で security_admin ロールが割り当てられている必要があります。それ以外の場合、Azure AD を SAML ID プロバイダーとして使用するように ServiceNow を手動で構成するには、[ シングルサインオンを手動で構成 を選択します。[クイックリファレンス] セクションから ログアウト URL、Azure AD 識別子、ログイン URL をコピーします。

ServiceNow の構成

管理者として ServiceNow アプリケーションにサインオンします。 次の手順に従って、 Integration - Multiple Provider シングルサインオンインストーラー プラグインをアクティブ化します。 a.左側のペインで、検索ボックスから システム定義 セクションを検索し、 プラグイン を選択します。

b. Integration - Multiple Provider single sign-on Installer を検索します。

c.プラグインを選択します。右クリックして アクティブ化/アップグレード を選択します。

d. アクティブ化 を選択します。

左側のペインで、検索バーから 複数プロバイダー SSO セクションを検索し、 プロパティ を選択します。

複数のプロバイダー SSO のプロパティ ダイアログボックスで、次の手順を実行します。

複数プロバイダー SSO を有効にする で、 はい を選択します。 すべての ID プロバイダーからユーザーテーブルへのユーザーの自動インポートを有効にする で、 はい を選択します。 マルチプロバイダー SSO 統合のデバッグログを有効にする で、 はい を選択します。 [ The field on the user table that... ] に「 email 」と入力します。 保存 を選択します。

ServiceNow は自動または手動で構成できます。ServiceNow を自動的に設定するには、次の手順に従います。 Azure ポータルの ServiceNow シングルサインオンページに戻ります。 ワンクリック構成サービスが ServiceNow に提供されています。このサービスを有効にするには、[ ServiceNow 構成 セクションに移動し、 ServiceNow の構成 を選択して サインオンの構成 ウィンドウを開きます。

サインオンの構成 フォームで、ServiceNow インスタンス名、アドミンユーザー名、およびアドミンパスワードを入力します。 今すぐ構成 を選択します。これを機能させるには、指定された admin ユーザー名に ServiceNow で security-admin ロールが割り当てられている必要があります。それ以外の場合、Azure AD を SAML ID プロバイダーとして使用するように ServiceNow を手動で構成するには、[ シングルサインオンを手動で構成 を選択します。[クイック リファレンス] セクションから サインアウト URL、SAML エンティティ ID、SAML シングル サインオン サービス URL をコピーします。

管理者として ServiceNow アプリケーションにサインオンします。 自動構成では、必要な設定はすべて ServiceNow 側で構成されますが、 X.509 証明書 はデフォルトでは有効になっておらず、[ シングルサインオンスクリプト の値が MultiSSOv2_SAML2_custom として付与されます。ServiceNow で ID プロバイダーに手動でマッピングする必要があります。次の手順を実行します： 左側のペインで、検索ボックスから 複数プロバイダー SSO セクションを検索し、 ID プロバイダー を選択します。

自動生成された ID プロバイダーを選択します。

ID プロバイダー セクションで、次の手順を実行します。

a.[ 名前 ] に、設定の名前を入力します ( Microsoft Azure Federated single sign-on など)。

b. ServiceNow ホームページ の値をコピーし、Azure ポータルの ServiceNow 基本 SAML 構成 セクションの サインオン URL に貼り付けます。

注記

ServiceNow インスタンスのホームページは、 ServiceNow テナント URL と /navpage.do を連結したものです (例: https://fabrikam.service-now.com/navpage.do )。

c. エンティティ ID/発行者 の値をコピーし、Azure ポータルの ServiceNow Basic SAML Configuration (ServiceNow 基本的な SAML 構成 セクションの Identifier に貼り付けます。

d. NameID Policy が urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 値に設定されていることを確認します。

e. 詳細 をクリックし、[ シングルサインオンスクリプト の値を MultiSSOv2_SAML2_custom として指定します。

[ X.509 証明書 ]セクションまで下にスクロールし、[ 編集 ]を選択します。

証明書を選択し、右矢印アイコンを選択して証明書を追加します

保存 を選択します。 ページの右上隅にある テスト接続 を選択します。

注記

テスト接続が失敗し、この接続をアクティブ化できない場合は、ServiceNow が上書きスイッチを提供します。 Sys_propertiesを入力する必要があります。LIST 検索ナビゲーション をクリックすると、システムプロパティの新しいページが開きます。ここでは、名前が glide.authenticate.multisso.test.connection.mandatory で datatype が True/False の新しいプロパティを作成し、 value を False として設定する必要があります。

認証情報の入力を求められたら、入力します。次のページが表示されます。 SSO ログアウトテスト結果 エラーが予期されます。エラーを無視して アクティブ化 を選択します。

ServiceNow を手動で設定するには、次の手順に従います。 管理者として ServiceNow アプリケーションにサインオンします。 左側のペインで、 ID プロバイダー を選択します。

ID プロバイダー ダイアログボックスで 新規 を選択します。

ID プロバイダー ダイアログボックスで SAML を選択します。

[ ID プロバイダーのメタデータのインポート で、次の手順を実行します。

Azure portal からコピーした アプリ フェデレーション メタデータ URL を入力します。 インポート を選択します。 IdP メタデータ URL を読み取り、すべてのフィールド情報を入力します。

a.[ 名前 ] に、設定の名前を入力します ( Microsoft Azure Federated single sign-on など)。

b.[ ServiceNow Homepage の値をコピーします。Azure ポータルの ServiceNow 基本 SAML 構成 セクションの サインオン URL に貼り付けます。

注記

ServiceNow インスタンスのホームページは、 ServiceNow テナント URL と /navpage.do を連結したものです (例: https://fabrikam.service-now.com/navpage.do )。

c. エンティティ ID/発行者 の値をコピーします。Azure ポータルの ServiceNow Basic SAML Configuration (ServiceNow 基本 SAML 構成 セクションの Identifier に貼り付けます。

d. NameID Policy が urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 値に設定されていることを確認します。

e. 詳細 を選択します。 ユーザーフィールド に「 email 」と入力します。

注記

SAML トークンの一意の識別子として、Azure AD ユーザー ID (ユーザー プリンシパル名) またはメール アドレスのいずれかを出力するように Azure AD を構成できます。これを行うには、Azure portal の ServiceNow > Attributes > Single sign-on セクションに移動し、目的のフィールドを nameidentifier 属性にマッピングします。Azure AD で選択した属性 (ユーザープリンシパル名など) に格納されている値は、入力したフィールド (user_name など) の ServiceNow に格納されている値と一致する必要があります。

g.ページの右上隅にある テスト接続 を選択します。

注記

テスト接続が失敗し、この接続をアクティブ化できない場合は、ServiceNow が上書きスイッチを提供します。 Sys_propertiesを入力する必要があります。LIST 検索ナビゲーション をクリックすると、システムプロパティの新しいページが開きます。ここでは、名前が glide.authenticate.multisso.test.connection.mandatory で datatype が True/False の新しいプロパティを作成し、 value を False として設定する必要があります。

h.認証情報の入力を求められたら、入力します。次のページが表示されます。 SSO ログアウトテスト結果 エラーが予期されます。エラーを無視して アクティブ化 を選択します。

ServiceNow テストユーザーの作成

このセクションの目的は、ServiceNow で B.Simon というユーザーを作成することです。ServiceNow は、デフォルトで有効になっている自動ユーザープロビジョニングをサポートしています。

注記

ユーザーを手動で作成する必要がある場合は、 ServiceNow クライアントサポートチーム にお問い合わせください。

シングルサインオン ダイアログボックスで、右上の構成アイコンを選択し、次のプロパティを設定します。

a. 複数プロバイダー SSO を有効にする を右に切り替えます。

b. マルチプロバイダー SSO 統合のデバッグログを有効にする を右側に切り替えます。

c. ユーザーテーブルで... するフィールド」に「 user_name 」と入力します。

シングルサインオン ダイアログボックスで 新しい証明書の追加 を選択します。

[ X.509 証明書 ]ダイアログボックスで、次の手順を実行します。

a.[ Name ] に、設定の名前を入力します (例: TestSAML2.0 )。

b. アクティブ を選択します。

c. フォーマット で PEM を選択します。

d. タイプ ] で [ 信頼ストア証明書 を選択します。

e.Azure portal からダウンロードした Base64 でエンコードされた証明書をメモ帳で開きます。その内容をクリップボードにコピーし、[ PEM 証明書 ]テキストボックスに貼り付けます。

f.[ Update] を選択します。

シングルサインオン ダイアログボックスで 新しい IdP を追加 を選択します。

新しい ID プロバイダーの追加 ダイアログボックスの ID プロバイダーの設定 で、次の手順を実行します。

a.[ Name ] に、設定の名前を入力します (例: SAML 2.0 )。

b.[ ID プロバイダーの URL に、Azure portal からコピーした ID プロバイダー ID の値を貼り付けます。

c.[ ID プロバイダーの AuthnRequest に、Azure portal からコピーした認証要求 URL の値を貼り付けます。

d. ID プロバイダーの SingleLogoutRequest に、Azure portal からコピーしたログアウト URL の値を貼り付けます。

e.[ ID プロバイダー証明書 で、前のステップで作成した証明書を選択します。

詳細設定 を選択します。[ 追加の ID プロバイダーのプロパティ で、次の手順を実行します。

a.[ IDP の SingleLogoutRequest のプロトコルバインディング に、「 urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect 」と入力します。

b.[ NameID Policy ] に「 urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 」と入力します。

c. AuthnContextClassRef Method に「 http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password 」と入力します。

d. Create an AuthnContextClass をオフ (未選択) に切り替えます。

[ 追加のサービスプロバイダープロパティ で、次の手順を実行します。

a.[ ServiceNow Homepage ] に、ServiceNow インスタンスのホームページの URL を入力します。

注記

ServiceNow インスタンスのホームページは、 ServiceNow テナント URL と /navpage.do (例: https://empdproctor.service-now.com/navpage.do ) を連結したものです。

b.[ エンティティ ID/発行者 に、ServiceNow テナントの URL を入力します。

c.[ 対象者 URI に、ServiceNow テナントの URL を入力します。

d. Clock Skew に 60 と入力します。

e. ユーザーフィールド に「 email 」と入力します。

注記

SAML トークンの一意の識別子として、Azure AD ユーザー ID (ユーザー プリンシパル名) またはメール アドレスのいずれかを出力するように Azure AD を構成できます。これを行うには、Azure portal の ServiceNow > Attributes > Single sign-on セクションに移動し、目的のフィールドを nameidentifier 属性にマッピングします。Azure AD で選択した属性 (ユーザープリンシパル名など) に格納されている値は、入力したフィールド (user_name など) の ServiceNow に格納されている値と一致する必要があります。

f. 保存 を選択します。

SSO のテスト

アクセス パネルで [ServiceNow] タイルを選択すると、SSO を設定した ServiceNow に自動的にサインインします。

「B.simon@contoso.com」のように「 Username 」と入力します。 外部ログインを使用 を選択します。サインイン用の Azure AD ページにリダイレクトされます。 認証情報を入力してください。サードパーティ認証、またはその他のセキュリティ機能が有効になっている場合、ユーザーはそれに応じて応答する必要があります。アプリケーション ホームページ が表示されます。

後続ステップ

ServiceNow を構成すると、セッション制御を適用して、組織の機密データの流出と侵入をリアルタイムで保護できます。セッション制御は、条件付きアクセスから拡張されます。