この記事では、自動ユーザー プロビジョニングを構成するために ServiceNow と Microsoft Entra ID の両方で実行する手順について説明します。 Microsoft Entra ID を構成すると、Microsoft Entra プロビジョニング サービスを使って、ServiceNow に対するユーザーとグループのプロビジョニングとプロビジョニング解除が自動的に行われます。
Microsoft Entra の自動ユーザー プロビジョニング サービスについて詳しくは、Microsoft Entra ID での SaaS アプリケーションのユーザーのプロビジョニングとプロビジョニング解除の自動化に関する記事を参照してください。
サポートされている機能
- ServiceNow でユーザーを作成する。
- アクセスが不要になったユーザーを ServiceNow で削除する。
- Microsoft Entra ID と ServiceNow の間でユーザー属性の同期を維持する。
- ServiceNow でグループとグループ メンバーシップをプロビジョニングする。
- ServiceNow へのシングル サインオンを許可する (推奨)。
[前提条件]
- アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 まだアカウントがない場合は、無料でアカウントを作成することができます。
- 次のいずれかのロール: アプリケーション管理者、クラウドアプリケーション管理者、または アプリケーション所有者。
- Calgary 以降の ServiceNow インスタンス。
- Helsinki 以降の ServiceNow Express インスタンス。
- 管理者ロールを持つ ServiceNow のユーザー アカウント。
注
この統合は、Microsoft Entra 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあり、パブリック クラウドの場合と同じように構成できます。
手順 1: プロビジョニングデプロイメントを計画する
- プロビジョニング サービスのしくみを確認します。
- プロビジョニングの対象範囲にいるユーザーを決定します。
- Microsoft Entra ID と ServiceNow の間でマップするデータを決定します。
手順 2: Microsoft Entra ID を使ったプロビジョニングをサポートするように ServiceNow を構成する
ServiceNow インスタンス名を指定します。 インスタンス名は、ServiceNow にアクセスするために使用する URL で確認できます。 次の例では、インスタンス名は dev35214 です。
ServiceNow で管理者の資格情報を取得します。 ServiceNow でユーザー プロファイルに移動し、ユーザーに管理者ロールが割り当てられていることを確認します。
手順 3: Microsoft Entra アプリケーション ギャラリーから ServiceNow を追加する
Microsoft Entra アプリケーション ギャラリーから ServiceNow を追加して、ServiceNow へのプロビジョニングの管理を開始します。 シングル サインオン (SSO) のために ServiceNow を以前に設定している場合は、同じアプリケーションを使用できます。 ただし、統合をテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからアプリケーションを追加する方法の詳細をご覧ください。
手順 4: プロビジョニングのスコープに含まれるユーザーを定義する
Microsoft Entra プロビジョニング サービスを使用すると、アプリケーションへの割り当てに基づいて、またはユーザーまたはグループの属性に基づいてプロビジョニングされるユーザーをスコープできます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合は、 手順を使用してユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングする対象を決定する場合、スコープフィルターを使用できます。
小規模から始めます。 すべてのユーザーとグループにロールアウトする前に、少数のユーザーとグループでテストします。 プロビジョニングのスコープが割り当てられたユーザーとグループに設定されている場合は、1 つまたは 2 つのユーザーまたはグループをアプリに割り当てることで、これを制御できます。 スコープがすべてのユーザーとグループに設定されている場合は、 属性ベースのスコープ フィルターを指定できます。
追加のロールが必要な場合は、 アプリケーション マニフェストを更新 して新しいロールを追加できます。
手順 5:ServiceNow への自動ユーザー プロビジョニングを構成する
このセクションでは、TestApp でユーザーとグループを作成、更新、無効化するように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。 Microsoft Entra ID では、ユーザーとグループの割り当てに基づいて構成を行うことができます。
Microsoft Entra ID で ServiceNow の自動ユーザー プロビジョニングを構成するには:
クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
Entra ID>エンタープライズアプリケーションに移動します。
![[エンタープライズ アプリケーション] ウィンドウを示すスクリーンショット。](common/enterprise-applications.png)
アプリケーションの一覧で、 [ServiceNow] を選択します。
[プロビジョニング] タブを選択します。
[プロビジョニング モード] を [自動] に設定します。
[管理者資格情報] セクションで、ServiceNow 管理者の資格情報とユーザー名を入力します。 Microsoft Entra ID から ServiceNow へ接続できることを確認するために、[テスト接続] を選びます。 接続に失敗した場合は、お使いの ServiceNow アカウントに管理者アクセス許可があることを確認してから、もう一度試します。
プロビジョニングのエラー通知を受け取るユーザーまたはグループのメール アドレスを [通知用メール] フィールドに入力し、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。
保存 を選択します。
[マッピング] セクションで、[Microsoft Entra ユーザーを ServiceNow に同期する] を選びます。
[属性マッピング] セクションで、Microsoft Entra ID から ServiceNow に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で ServiceNow のユーザー アカウントとの照合に使用されます。
一致するターゲット属性を変更する場合は、ServiceNow API がその属性に基づくユーザーのフィルター処理をサポートしていることを確認する必要があります。
[保存] ボタンをクリックして変更をコミットします。
[マッピング] セクションで、[Microsoft Entra グループを ServiceNow に同期する] を選びます。
[属性マッピング] セクションで、Microsoft Entra ID から ServiceNow に同期されるグループ属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新処理で ServiceNow のグループとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。
スコープ フィルターを構成するには、スコープ フィルターに関する記事の手順 を参照してください。
ServiceNow に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態] を [オン] に変更します。
[設定] セクションの [スコープ] で目的の値を選択して、ServiceNow にプロビジョニングするユーザーとグループを定義します。
プロビジョニングの準備ができたら、 [保存] を選択します。
この操作により、[設定] セクションの [スコープ] で定義されているすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは、後続のサイクルよりも実行に時間がかかります。 Microsoft Entra プロビジョニング サービスが実行されている限り、後続のサイクルは約 40 分ごとに発生します。
手順 6: デプロイを監視する
プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。
- プロビジョニング ログを使用して、どのユーザーが正常にプロビジョニングされたか、または正常にプロビジョニングされなかったかを判断する
- 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの近さを確認します
- プロビジョニング構成が異常な状態にあると思われる場合、アプリケーションは検疫に入ります。 検疫状態についての詳細は、アプリケーションプロビジョニングの隔離状態に関する記事をご覧ください。
トラブルシューティングのヒント
ServiceNow の特定の属性 (Department や Location など) をプロビジョニングする場合は、ServiceNow の参照テーブルに値が既に存在する必要があります。 そうでない場合は、 InvalidLookupReference エラーが発生します。
たとえば、ServiceNow の特定のテーブルに 2 つの場所 (Seattle、Los Angeles) と 3 つの部門 (Sales、Finance、Marketing) があるとします。 部門が "Sales" で場所が "Seattle" であるユーザーをプロビジョニングしようとすると、そのユーザーは正常にプロビジョニングされます。 部門が "Sales" で場所が "LA" のユーザーをプロビジョニングしようとすると、そのユーザーはプロビジョニングされません。 ServiceNow の参照テーブルに場所 "LA" を追加するか、ServiceNow の形式に合わせて Microsoft Entra ID のユーザー属性を更新する必要があります。
EntryJoiningPropertyValueIsMissing エラーが発生した場合は、属性マッピングを確認して、一致する属性を特定します。 プロビジョニングしようとしているユーザーまたはグループに、この値が存在する必要があります。
要件や制限事項 (ユーザーの国番号を指定する際の形式など) については、ServiceNow SOAP API を確認してください。
プロビジョニング要求は、既定では https://{your-instance-name}.service-now.com/{table-name} に送信されます。 カスタム テナント URL が必要な場合は、URL 全体をインスタンス名として指定できます。
ServiceNowInstanceInvalid エラーは、ServiceNow インスタンスとの通信に問題があることを示しています。 このエラーのテキストを次に示します。
Details: Your ServiceNow instance name appears to be invalid. Please provide a current ServiceNow administrative user name and password along with the name of a valid ServiceNow instance.テスト接続の問題が発生している場合は、ServiceNow の次の設定で [No](いいえ) を選択してみてください。
[System Security](システム セキュリティ)>[High security settings](高セキュリティ設定)>[Require basic authentication for incoming SCHEMA requests](受信 SCHEMA 要求に対して基本認証を要求する)
[System Properties](システム プロパティ)>[Web Services](Web サービス)>[Require basic authorization for incoming SOAP requests](受信 SOAP 要求に対して基本認証を要求する)
引き続き問題が解決しない場合は、ServiceNow サポートに連絡し、トラブルシューティングに役立てるために SOAP デバッグを有効にするように依頼してください。
現在、Microsoft Entra プロビジョニング サービスは特定の IP 範囲で動作します。 必要に応じて、他の IP 範囲を制限し、これらの特定の IP 範囲をアプリケーションの許可リストに追加できます。 この手法により、Microsoft Entra プロビジョニング サービスからアプリケーションへのトラフィック フローが可能になります。
セルフホステッド ServiceNow インスタンスはサポートされていません。
ServiceNow の アクティブな 属性の更新がプロビジョニングされると、 locked_out が Azure プロビジョニング サービスにマップされていない場合でも、 locked_out 属性も適宜更新されます。