IdP によって開始されたログイン (Azure SSO から ServiceNow へ) が機能しない。 - Support and Troubleshooting

IdP によって開始されたログイン (Azure SSO から ServiceNow へ) が機能しない。 Issue .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #7057C7; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: block; max-width: ; width: auto; height: auto; } } SSO 統合は、ServiceNow インスタンス (サービスプロバイダー - SP) と Microsoft Azure (ID プロバイダー - IdP) の間でセットアップされます。これで、ユーザーが SP 開始ログインを実行すると、正常に機能します。つまり、ユーザーは正常に認証されます。

ただし、ユーザーが IdP によって開始されたログイン試行 (Azure ポータルへの最初のログイン) を実行し、そこから ServiceNow リンクをクリックすると、ログイン試行は失敗し、最終的にインスタンスログインページ ( https://instance.service-now.com/navpage.do ) が表示されます。

ServiceNow インスタンスでその特定の IdP (問題) に対して 自動リダイレクト を有効にすると、すべてが正常に機能し、問題は再現できなくなります。

Release .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #7057C7; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: block; max-width: ; width: auto; height: auto; } } すべてのリリースに適用

Cause .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #7057C7; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: block; max-width: ; width: auto; height: auto; } } 通常、この状況 (IdP によるログイン開始) では、IdP が SAML 応答を生成して、それを統合された ServiceNow インスタンスにプッシュすると、ServiceNow プラットフォームでその応答が検証され、ユーザーが認証を受けることができます。( この場合、SAML 要求は生成されません。SAML 応答のみが生成されます。 )

しかし、Microsoft Azureは異なる動作をし、サービスプロバイダー(Azure側で設定)のログイン/サインインURLを利用し、ユーザーをそのリンクにリダイレクトすると、 SAMLリクエスト が生成され、Azureは SAMLレスポンス で応答し、最終的にユーザーはSAML検証が成功した後に認証されます。( この場合、SAML 要求と SAML 応答の両方が生成されます )。

この場合、Azure 構成のサービスプロバイダーのサインイン URL は現在 https://instance.service-now.com/navpate.do として構成されているため、ユーザーが Azure ポータルから ServiceNow リンクをクリックしても SSO リダイレクトがトリガーされません。

注: これは ServiceNow プラットフォームの問題ではなく、Microsoft Azure ポータルの構成の問題です。

Resolution .ns-kb-css-body-editor-container { p { font-size: 12pt; font-family: Lato; color: #000000; } span { font-size: 12pt; font-family: Lato; color: #000000; } h2 { font-size: 24pt; font-family: Lato; color: black; } h3 { font-size: 18pt; font-family: Lato; color: black; } h4 { font-size: 14pt; font-family: Lato; color: black; } a { font-size: 12pt; font-family: Lato; color: #00718F; } a:hover { font-size: 12pt; color: #024F69; } a:target { font-size: 12pt; color: #032D42; } a:visited { font-size: 12pt; color: #7057C7; } ul { font-size: 12pt; font-family: Lato; } li { font-size: 12pt; font-family: Lato; } img { display: block; max-width: ; width: auto; height: auto; } } Azure 構成上のサービスプロバイダー (ServiceNow インスタンス) のサインオン URL を次の形式で変更してください:

旧: https://instance.service-now.com/navpage.do

新規: ">https://instance.service-now.com/login_with_sso.do?glide_sso_id=

注意：

ここで提供されるソリューションは、MS Azure に限定されるものではなく、IdP によって開始されたログイン試行時に SAML 応答 を生成/送信しないすべての IdP に適用されます。