チュートリアル: Microsoft Entra シングル サインオン (SSO) と ServiceNow の統合

  • [アーティクル]

このチュートリアルでは、ServiceNow と Microsoft Entra ID を統合する方法について説明します。 ServiceNow を Microsoft Entra ID を統合すると、次のことができます。

  • ServiceNow にアクセスできるユーザーを Microsoft Entra ID で制御する。
  • ユーザーが自分の Microsoft Entra アカウントを使用して、ServiceNow に自動的にサインインできるようにする。
  • 1 つの中央サイト (Azure Portal) でアカウントを管理できます。

前提条件

開始するには、次が必要です。

  • Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
  • ServiceNow でのシングル サインオン (SSO) が有効なサブスクリプション。
  • ServiceNow では、Calgary、Kingston、London、Madrid、New York、Orlando、Paris、San Diego バージョン以降が ServiceNow のインスタンスまたはテナントでサポートされています。
  • ServiceNow Express の場合は、Helsinki バージョン以降の ServiceNow Express のインスタンス。
  • ServiceNow のテナントで Multiple Provider Single Sign On プラグインが有効になっている必要があります。
  • 自動構成のために、ServiceNow の Multi-Provider プラグインを有効にします。
  • ServiceNow Agent (モバイル) アプリケーションをインストールするには、適切なストアに移動して ServiceNow Agent アプリケーションを検索します。 その後、ダウンロードします。

Note

この統合は、Microsoft Entra 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあり、パブリック クラウドの場合と同じように構成できます。

シナリオの説明

このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。

  • ServiceNow では、SP Initiated SSO がサポートされます。

  • ServiceNow では、自動化されたユーザー プロビジョニングがサポートされます。

  • ServiceNow Agent (モバイル) アプリケーションを Microsoft Entra ID で構成して SSO を有効にできます。 Android と iOS の両方のユーザーがサポートされます。 このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。

Microsoft Entra ID への ServiceNow の統合を構成するには、ギャラリーからマネージド SaaS アプリの一覧に ServiceNow を追加する必要があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
  3. [ギャラリーから追加する] セクションで、検索ボックスに「ServiceNow」と入力します。
  4. 結果ウィンドウで [ServiceNow] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。

ServiceNow 用に Microsoft Entra SSO を構成してテストする

B.Simon というテスト ユーザーを使用して、ServiceNow に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するためには、Microsoft Entra ユーザーと ServiceNow の関連ユーザーとの間にリンク関係を確立する必要があります。

ServiceNow に対して Microsoft Entra SSO を構成してテストするには、次の手順を実行します:

  1. Microsoft Entra SSO を構成して、ユーザーがこの機能を使用できるようにします。
    1. Microsoft Entra テスト ユーザーを作成し、B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
    2. Microsoft Entra テスト ユーザーを割り当て、B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
    3. ServiceNow Express 向けに Microsoft Entra SSO を構成して、ユーザーがこの機能を使用できるようにします。
  2. ServiceNow を構成して、アプリケーション側で SSO 設定を構成します。
    1. ServiceNow テスト ユーザーを作成して、ServiceNow 内で B.Simon に対応するユーザーを作成し、Microsoft Entra の B.Simon にリンクさせます。
    2. ServiceNow Express の SSO を構成して、アプリケーション側でシングル サインオン設定を構成します。
  3. SSO をテストして、構成が機能するかどうかを確認します。
  4. ServiceNow Agent (モバイル) の SSO をテストして、構成が機能するかどうかを検証します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[ServiceNow] アプリケーション統合ページに移動し、[管理] セクションを見つけます。 [シングル サインオン] を選択します。

  3. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  4. [SAML でシングル サインオンをセットアップします] ページで、 [基本的な SAML 構成] のペン アイコンを選択して設定を編集します。

    Screenshot of Set up Single Sign-On with SAML page, with pen icon highlighted

  5. [基本的な SAML 構成] セクションで、次の手順を実行します。

    a. [サインオン URL] に、次の URL パターンのいずれかを入力します。

    サインオン URL
    https://<instancename>.service-now.com/navpage.do
    https://<instance-name>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id of the sso configuration>

    注意

    このチュートリアルの後半で説明する「ServiceNow の構成」セクションの sys_id 値をコピーしてください。

    b. [識別子 (エンティティ ID)] に、次のパターンを使用して URL を入力します。https://<instance-name>.service-now.com

    c. [応答 URL] に、次の URL パターンのいずれかを入力します。

    [応答 URL]
    https://<instancename>.service-now.com/navpage.do
    https://<instancename>.service-now.com/consumer.do

    d. [ログアウト URL] に、https://<instancename>.service-now.com/navpage.doのパターンを使用する URL を入力します。

    注意

    識別子の値に "/" が追加されている場合は、手動で削除してください。

    注意

    これらは実際の値ではありません。 これらの値を、このチュートリアルの後半で説明する実際のサインオン URL、応答 URL、ログアウト URL と識別子に更新する必要があります。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。

  6. [SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで、 [証明書 (Base64)] を見つけます。

    Screenshot of the SAML Signing Certificate section, with Download highlighted

    a. コピー ボタンを選択してアプリのフェデレーション メタデータ URL をコピーし、メモ帳に貼り付けます。 この URL は、このチュートリアルの後半で使用します。

    b. [ダウンロード] を選択して証明書 (Base64) をダウンロードして、ご利用のコンピューターに証明書ファイルを保存します。

  7. [ServiceNow のセットアップ] セクションで、実際の要件に基づいて適切な URL をコピーします。

    Screenshot of Set up ServiceNow section, with URLs highlighted

Microsoft Entra テスト ユーザーを作成する

このセクションで、B.Simon というテスト ユーザーを作成します。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
  4. [ユーザー] プロパティで、以下の手順を実行します。
    1. "表示名" フィールドに「B.Simon」と入力します。
    2. [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「 B.Simon@contoso.com 」のように入力します。
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
    4. [Review + create](レビュー + 作成) を選択します。
  5. [作成] を選択します。

Microsoft Entra テスト ユーザーを割り当てる

このセクションでは、B.Simon に ServiceNow へのアクセスを許可することで、このユーザーがシングル サインオンを使用できるようにします。

  1. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。
  2. アプリケーションの一覧で [ServiceNow] を選択します。
  3. アプリの概要ページで、 [管理] セクションを見つけて、 [ユーザーとグループ] を選択します。
  4. [ユーザーの追加] を選択します。 [割り当ての追加] ダイアログ ボックスで [ユーザーとグループ] を選択します。
  5. [ユーザーとグループ] ダイアログ ボックスで、ユーザーの一覧から [Britta Simon] を選択し、 [選択] を選択します。
  6. ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
  7. [割り当ての追加] ダイアログ ボックスで [割り当て] を選びます。

ServiceNow Express 用に Microsoft Entra SSO を構成する

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[ServiceNow] アプリケーション統合ページに移動し、[シングル サインオン] を選びます。

    Screenshot of ServiceNow application integration page, with Single sign-on highlighted

  3. [シングル サインオン方式の選択] ダイアログ ボックスで、 [SAML/WS-Fed] モードを選択して、シングル サインオンを有効にします。

    Screenshot of Select a single sign-on method, with SAML highlighted

  4. [SAML でシングル サインオンをセットアップします] ページで、ペン アイコンを選択して [基本的な SAML 構成] ダイアログ ボックスを開きます。

    Screenshot of Set up single sign-on with SAML page, with pen icon highlighted

  5. [基本的な SAML 構成] セクションで、次の手順を実行します。

    a. [サインオン URL] に、次の URL パターンのいずれかを入力します。

    サインオン URL
    https://<instance-name>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id of the sso configuration>
    https://<instancename>.service-now.com/consumer.do

    b. [識別子 (エンティティ ID)] に、次のパターンを使用して URL を入力します。https://<instance-name>.service-now.com

    c. [応答 URL] に、次の URL パターンのいずれかを入力します。

    [応答 URL]
    https://<instancename>.service-now.com/navpage.do
    https://<instancename>.service-now.com/consumer.do

    d. [ログアウト URL] に、https://<instancename>.service-now.com/navpage.doのパターンを使用する URL を入力します。

    注意

    識別子の値に "/" が追加されている場合は、手動で削除してください。

    注意

    これらは実際の値ではありません。 これらの値を、このチュートリアルの後半で説明する実際のサインオン URL、応答 URL、ログアウト URL と識別子に更新する必要があります。 [基本的な SAML 構成] セクションに示されているパターンを参照することもできます。

  6. [SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで [ダウンロード] を選択して、実際の要件に適した特定のオプションの証明書 (Base64) をダウンロードします。 それを自分のコンピューターに保存します。

    Screenshot of SAML Signing Certificate section, with Download highlighted

  7. Microsoft Entra ID では、SAML ベースの認証に対応するように ServiceNow を自動的に構成できます。 このサービスを有効にするには、 [ServiceNow のセットアップ] セクションで、 [ステップ バイ ステップの手順を表示] を選択して [サインオンの構成] ウィンドウを開きます。

    Screenshot of Set up ServiceNow section, with View step-by-step instructions highlighted

  8. [サインオンの構成] フォームに、実際の ServiceNow のインスタンス名、管理者のユーザー名、および管理者パスワードを入力します。 [今すぐ構成] を選択します。 この機能を使用するためには、指定する管理者のユーザー名に、ServiceNow で security_admin ロールが割り当てられている必要があります。 これとは別に、Microsoft Entra ID を SAML ID プロバイダーとして使用するよう ServiceNow を手動で構成するには、[シングル サインオンを手動で構成する] を選択します。 [クイック リファレンス] セクションからログアウト URL、Microsoft Entra 識別子、およびログイン URL をコピーします。

    Screenshot of Configure sign-on form, with Configure Now highlighted

ServiceNow の構成

  1. ServiceNow アプリケーションに管理者としてサインオンします。

  2. これらの手順に従って、Integration - Multiple Provider single sign-on Installer (統合 - 複数プロバイダーのシングル サインオン インストーラー) プラグインをアクティブにします。

    a. 左側のウィンドウの検索ボックスで [System Definition](システム定義) セクションを検索し、 [Plugins](プラグイン) を選択します。

    Screenshot of System Definition section, with System Definition and Plugins highlighted

    b. "Integration - Multiple Provider Single Sign-On Installer" を検索し、それをインストールしてアクティブ化します。

    Screenshot of System Plugins page, with Integration - Multiple Provider Single Sign-On Installer highlighted

  3. 左側のウィンドウの検索バーで [Multi-Provider SSO](マルチプロバイダー SSO) セクションを検索し、[Administration](管理)[Properties](プロパティ) を選択します。

    Screenshot of Multi-Provider SSO section, with Multi-Provider SSO and Properties highlighted

  4. [Multiple Provider SSO Properties](複数プロバイダー SSO のプロパティ) ダイアログ ボックスで、次の手順を実行します。

    Screenshot of Multiple Provider SSO Properties dialog box

    • [Enable multiple provider SSO](複数プロバイダー SSO を有効にする)[Yes](はい) を選択します。

    • [Enable Auto Importing of users from all identity providers into the user table](すべての ID プロバイダーからユーザー テーブルへのユーザーの自動インポートを有効にする) で、 [Yes](はい) を選択します。

    • [Enable debug logging for the multiple provider SSO integration](複数プロバイダー SSO 統合のデバッグ ログを有効にする)[Yes](はい) を選択します。

    • [The field on the user table that...](ユーザー テーブルのフィールド...) に、「email」と入力します。

    • [保存] を選択します。

  5. ServiceNow の構成は、自動または手動で行うことができます。 ServiceNow を自動的に構成するには、これらの手順に従います。

    1. ServiceNow の [シングル サインオン] ページに戻ります。

    2. ServiceNow のワンクリック構成サービスが提供されています。 このサービスを有効にするには、 [ServiceNow 構成] セクションに移動し、 [ServiceNow を構成する] を選択して [サインオンの構成] ウィンドウを開きます。

      Screenshot of Set up ServiceNow, with View step-by-step instructions highlighted

    3. [サインオンの構成] フォームに、実際の ServiceNow のインスタンス名、管理者のユーザー名、および管理者パスワードを入力します。 [今すぐ構成] を選択します。 この機能を使用するには、指定する管理者のユーザー名に、ServiceNow で security_admin ロールが割り当てられている必要があります。 これとは別に、Microsoft Entra ID を SAML ID プロバイダーとして使用するよう ServiceNow を手動で構成するには、[シングル サインオンを手動で構成する] を選択します。 [クイック リファレンス] セクションから、サインアウト URL、SAML エンティティ ID、SAML シングル サインオン サービス URL をコピーします。

      Screenshot of Configure sign-on form, with Configure Now highlighted

    4. ServiceNow アプリケーションに管理者としてサインオンします。

      • 自動構成では、必要なすべての設定は ServiceNow 側で構成されますが、X.509 証明書は既定で有効になっておらず、 [Single Sign-On Script](シングル サインオン スクリプト) 値は MultiSSOv2_SAML2_custom に指定されています。 ServiceNow でご使用の ID プロバイダーに手動でマップする必要があります。 次の手順に従います。

        1. 左側のウィンドウの検索ボックスで [Multi-Provider SSO](マルチプロバイダー SSO) セクションを検索し、 [Identity Providers](ID プロバイダー) を選択します。

          Screenshot of Multi-Provider SSO section, with Identity Providers highlighted

        2. 自動的に生成された ID プロバイダーを選択します。

          Screenshot of identity providers, with automatically generated identity provider highlighted

        3. [ID プロバイダー] セクションで、次の手順に従います。

          Screenshot of Identity Provider section

          a. 画面上部の灰色のバーを右クリックし、 [Copy sys_id](sys_id をコピー) をクリックし、この値を [基本的な SAML 構成] セクションの [サインオン URL] に使用します。

          b. [Name](名前) に、自分の構成の名前を入力します (例: Microsoft Azure フェデレーション シングル サインオン)。

          c. [ServiceNow Homepage] (ServiceNow のホーム ページ) の値をコピーして、ServiceNow の [基本的な SAML 構成] セクションにある [サインオン URL] に貼り付けます。

          Note

          ServiceNow インスタンス ホームページは、ServiceNow テナント URL/navpage.do を連結した形式です (例: https://fabrikam.service-now.com/navpage.do)。

          d. [Entity ID / Issuer] (エンティティ ID/発行者) の値をコピーして、ServiceNow の [基本的な SAML 構成] セクションにある [識別子] に貼り付けます。

          e. [NameID Policy](NameID ポリシー)urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 値に設定されていることを確認します。

          f. [Advanced](詳細) をクリックし、 [Single Sign-On Script](シングル サインオン スクリプト) 値を MultiSSOv2_SAML2_custom に指定します。

        4. [X.509 Certificate](X.509 証明書) セクションまで下へスクロールし、 [Edit](編集) を選択します。

          Screenshot of X.509 Certificate section, with Edit highlighted

        5. 証明書を選択し、右矢印のアイコンを選択して証明書を追加します。

          Screenshot of Collection, with certificate and right arrow icon highlighted

        6. [保存] を選択します。

        7. ページの右上隅にある [Test Connection](テスト接続) を選択します。

          Screenshot of page, with Test Connection highlighted

          Note

          テスト接続が失敗し、この接続をアクティブにできない場合は、ServiceNow によってオーバーライド スイッチが提供されます。 Search Navigation (検索ナビゲーション) に「Sys_properties.LIST」と入力する必要があります。そうすると、[System Properties](システム プロパティ) の新しいページが開きます。 ここでは、glide.authenticate.multisso.test.connection.mandatory という名前の新しいプロパティを作成する必要があります。これには、データ型True/False とし、False として設定します。

          Screenshot of Test connection page

        8. 自分の資格情報の入力を求められたら、入力します。 次のページが表示されます。 SSO Logout Test Results (SSO ログアウト テスト結果) エラーが予期されます。 このエラーは無視して、[Activate](アクティブ化) を選択します。

          Screenshot of credentials page

  6. ServiceNow を手動で構成するには、これらの手順に従います。

    1. ServiceNow アプリケーションに管理者としてサインオンします。

    2. 左側のウィンドウで、 [Identity Providers](ID プロバイダー) を選択します。

      Screenshot of Multi-Provider SSO, with Identity Providers highlighted

    3. [Identity Providers](ID プロバイダー) ダイアログ ボックスで、 [New](新規) を選択します。

      Screenshot of Identity Providers dialog box, with New highlighted

    4. [Identity Providers](ID プロバイダー) ダイアログ ボックスで、 [SAML] を選択します。

      Screenshot of Identity Providers dialog box, with SAML highlighted

    5. [Import Identity Provider Metadata](ID プロバイダーのメタデータのインポート) で、次の手順に従います。

      Screenshot of Import Identity Provider Metadata, with URL and Import highlighted

      1. コピーしたアプリのフェデレーション メタデータ URL を貼り付けます。

      2. インポートを選択します。

    6. IdP メタデータ URL が読み取られ、すべてのフィールド情報が設定されます。

      Screenshot of Identity Provider

      a. 画面上部の灰色のバーを右クリックし、 [Copy sys_id](sys_id をコピー) をクリックし、この値を [基本的な SAML 構成] セクションの [サインオン URL] に使用します。

      b. [Name](名前) に、自分の構成の名前を入力します (例: Microsoft Azure フェデレーション シングル サインオン)。

      c. [ServiceNow Homepage](ServiceNow のホーム ページ) の値をコピーします。 ServiceNow の [基本的な SAML 構成] セクションにある [サインオン URL] にそれを貼り付けます。

      Note

      ServiceNow インスタンス ホームページは、ServiceNow テナント URL/navpage.do を連結した形式です (例: https://fabrikam.service-now.com/navpage.do)。

      d. [Entity ID / Issuer](エンティティ ID/発行者) の値をコピーします。 ServiceNow の [基本的な SAML 構成] セクションにある [識別子] にそれを貼り付けます。

      e. [NameID Policy](NameID ポリシー)urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified 値に設定されていることを確認します。

      f. [Advanced] \(詳細設定) を選択します。 [User Field](ユーザー フィールド) に「email」と入力します。

      Note

      SAML トークンの一意の識別子として Microsoft Entra ユーザー ID (ユーザーのプリンシパル名) かメール アドレスを出力するように Microsoft Entra ID を構成できます。 そのためには、Azure portal で [ServiceNow]>[属性]>[シングル サインオン] セクションの順に移動し、目的のフィールドを nameidentifier 属性にマッピングします。 Microsoft Entra ID に格納される選択した属性 (ユーザー プリンシパル名など) の値と、ServiceNow に格納される入力したフィールド (user_name など) の値が一致している必要があります。

      g. ページの右上隅にある [Test Connection](テスト接続) を選択します。

      注意

      テスト接続が失敗し、この接続をアクティブにできない場合は、ServiceNow によってオーバーライド スイッチが提供されます。 Search Navigation (検索ナビゲーション) に「Sys_properties.LIST」と入力する必要があります。そうすると、[System Properties](システム プロパティ) の新しいページが開きます。 ここでは、glide.authenticate.multisso.test.connection.mandatory という名前の新しいプロパティを作成する必要があります。これには、データ型True/False とし、False として設定します。

      Screenshot of Test connection

      h. 自分の資格情報の入力を求められたら、入力します。 次のページが表示されます。 SSO Logout Test Results (SSO ログアウト テスト結果) エラーが予期されます。 このエラーは無視して、[Activate](アクティブ化) を選択します。

      credentials

ServiceNow テスト ユーザーの作成

このセクションの目的は、ServiceNow 内で B.Simon というユーザーを作成することです。 ServiceNow では、自動ユーザー プロビジョニングがサポートされており、既定で有効になっています。

注意

ユーザーを手動で作成する必要がある場合は、ServiceNow クライアント サポート チームに問い合わせてください。

ServiceNow Express SSO の構成

  1. ServiceNow Express アプリケーションに管理者としてサインオンします。

  2. 左側のウィンドウで、 [Single Sign-On](シングル サインオン) を選択します。

    Screenshot of ServiceNow Express application, with Single Sign-On highlighted

  3. [Single Sign-On](シングル サインオン) ダイアログ ボックスで右上の構成アイコンを選択し、次のプロパティを設定します。

    Screenshot of Single Sign-On dialog box

    a. [Enable multiple provider SSO (複数プロバイダー SSO を有効にする)] を右に切り替えます。

    b. [Enable debug logging for the multiple provider SSO integration (複数プロバイダー SSO 統合でのデバッグ ログの有効化)] を右に切り替えます。

    c. [The field on the user table that...](ユーザー テーブルのフィールド...) に、「user_name」と入力します。

  4. [Single Sign-On](シングル サインオン) ダイアログ ボックスで、 [Add New Certificate](新しい証明書の追加) を選択します。

    Screenshot of Single Sign-On dialog box, with Add New Certificate highlighted

  5. [X.509 Certificates](X.509 証明書) ダイアログ ボックスで、次の手順を実行します。

    Screenshot of X.509 Certificates dialog box

    a. [Name](名前) に、自分の構成の名前を入力します (例:TestSAML2.0)。

    b. [アクティブ] を選択します。

    c. [Format](形式)[PEM] を選択します。

    d. [Type](種類)[Trust Store Cert](信頼ストア証明書) を選択します。

    e. Azure portal からダウンロードした実際の Base64 エンコード証明書をメモ帳で開きます。 その内容をクリップボードにコピーし、 [PEM Certificate](PEM 証明書) ボックスに貼り付けます。

    f. [Update](更新) を選択します。

  6. [Single Sign-On](シングル サインオン) ダイアログ ボックスで、 [Add New IdP](新しい IdP の追加) を選択します。

    Screenshot of Single Sign-On dialog box, with Add New IdP highlighted

  7. [Add New Identity Provider](新しい ID プロバイダーの追加) ダイアログ ボックスの [Configure Identity Provider](ID プロバイダーの構成) で、次の手順を実行します。

    Screenshot of Add New Identity Provider dialog box

    a. [Name](名前) に、自分の構成の名前を入力します (例:SAML 2.0)。

    b. [Identity Provider URL] (ID プロバイダー URL) に、コピーした ID プロバイダー ID の値を貼り付けます。

    c. [Identity Provider's AuthnRequest] (ID プロバイダーの AuthnRequest) に、コピーした認証要求 URL の値を貼り付けます。

    d. [Identity Provider's SingleLogoutRequest] (ID プロバイダーの SingleLogoutRequest) に、コピーしたログアウト URL の値を貼り付けます。

    e. [Identity Provider Certificate](ID プロバイダー証明書) で、前の手順で作成した証明書を選択します。

  8. [Advanced Settings](詳細設定) を選択します。 [Additional Identity Provider Properties](追加の ID プロバイダーのプロパティ) で、次の手順を実行します。

    Screenshot of Add New Identity Provider dialog box, with Advanced Settings highlighted

    a. [Protocol Binding for the IDP's SingleLogoutRequest](IDP の SingleLogoutRequest のプロトコル バインド) に、「urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect」と入力します。

    b. [NameID Policy](NameID ポリシー) に、「urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified」と入力します。

    c. [AuthnContextClassRef Method](AuthnContextClassRef メソッド) に、「http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password」と入力します。

    d. [Create an AuthnContextClass](Authncontextclass の作成) をオフ (選択解除) に切り替えます。

  9. [Additional Service Provider Properties (追加のサービス プロバイダーのプロパティ)] で、次の手順に従います。

    Screenshot of Add New Identity Provider dialog box, with various properties highlighted

    a. [ServiceNow Homepage](ServiceNow のホーム ページ) に実際の ServiceNow インスタンス ホーム ページの URL を入力します。

    注意

    ServiceNow インスタンス ホームページは、ServiceNow テナント URL/navpage.do を連結した形式です (例: https://fabrikam.service-now.com/navpage.do)。

    b. [Entity ID / Issuer](エンティティ ID/発行者) に、実際の ServiceNow テナントの URL を入力します。

    c. [Audience URI](対象ユーザー URI) に、実際の ServiceNow テナントの URL を入力します。

    d. [Clock Skew](時刻のずれ) に「60」と入力します。

    e. [User Field](ユーザー フィールド) に「email」と入力します。

    Note

    SAML トークンの一意の識別子として Microsoft Entra ユーザー ID (ユーザーのプリンシパル名) かメール アドレスを出力するように Microsoft Entra ID を構成できます。 そのためには、Azure portal で [ServiceNow]>[属性]>[シングル サインオン] セクションの順に移動し、目的のフィールドを nameidentifier 属性にマッピングします。 Microsoft Entra ID に格納される選択した属性 (ユーザー プリンシパル名など) の値と、ServiceNow に格納される入力したフィールド (user_name など) の値が一致している必要があります。

    f. [保存] を選択します。

SSO のテスト

アクセス パネルで [ServiceNow] タイルを選択すると、SSO を設定した ServiceNow に自動的にサインインします。 アクセス パネルの詳細については、アクセス パネルの概要に関する記事を参照してください。

ServiceNow Agent (モバイル) の SSO をテストする

  1. ServiceNow Agent (モバイル) アプリケーションを開き、次の手順を実行します。

    b. ServiceNow インスタンスのアドレス、ニックネームを入力し、[Save and Login] (保存してログイン) を選択します。

    Screenshot of Add Instance page, with Continue highlighted

    c. [Log in](ログイン) ページで、次の手順を実行します。

    Screenshot of Log in page, with Use external login highlighted

    • ユーザー名 (例: B.simon@contoso.com) を入力します。

    • [Use external login] (外部ログインの使用) を選択します。 ユーザーはサインイン用の Microsoft Entra ID ページにリダイレクトされます。

    • 資格情報を入力します。 任意のサードパーティの認証またはその他の有効になっているセキュリティ機能がある場合、ユーザーはそれに対応する必要があります。 アプリケーションのホーム ページが表示されます。

      Screenshot of the application home page

次のステップ

ServiceNow を構成したら、自分の組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。