この記事では、ServiceNow と Microsoft Entra ID を統合する方法について説明します。 ServiceNow を Microsoft Entra ID を統合すると、次のことができます。
- ServiceNow にアクセスできるユーザーを Microsoft Entra ID で制御する。
- ユーザーが自分の Microsoft Entra アカウントを使用して、ServiceNow に自動的にサインインできるようにする。
- 1 つの中央サイト (Azure Portal) でアカウントを管理できます。
前提条件
この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。
- アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 アカウントをまだお持ちでない場合は、 無料でアカウントを作成できます。
- 次のいずれかのロール:
- ServiceNow でのシングル サインオン (SSO) が有効なサブスクリプション。
- ServiceNow では、Calgary、Kingston、London、Madrid、New York、Orlando、Paris、San Diego バージョン以降が ServiceNow のインスタンスまたはテナントでサポートされています。
- ServiceNow Express の場合は、Helsinki バージョン以降の ServiceNow Express のインスタンス。
- ServiceNow テナントでは、 複数プロバイダー シングル サインオン プラグイン が有効になっている必要があります。
- 自動構成のために、ServiceNow の Multi-Provider プラグインを有効にします。
- ServiceNow Agent (モバイル) アプリケーションをインストールするには、適切なストアに移動して ServiceNow Agent アプリケーションを検索します。 その後、ダウンロードします。
注
この統合は、Microsoft Entra 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあり、パブリック クラウドの場合と同じように構成できます。
シナリオの説明
この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。
ServiceNow では、 SP Initiated SSO がサポートされます。
ServiceNow では、 自動ユーザー プロビジョニングがサポートされています。
ServiceNow Agent (モバイル) アプリケーションを Microsoft Entra ID で構成して SSO を有効にできます。 Android と iOS の両方のユーザーがサポートされます。 この記事では、テスト環境で Microsoft Entra SSO を構成してテストします。
ギャラリーからの ServiceNow の追加
Microsoft Entra ID への ServiceNow の統合を構成するには、ギャラリーからマネージド SaaS アプリの一覧に ServiceNow を追加する必要があります。
- Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
- Entra ID>エンタープライズアプリ>新しいアプリケーションにアクセスします。
- [ギャラリーからの追加] セクションで、検索ボックスに「ServiceNow」と入力します。
- 結果パネルから ServiceNow を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。
または、 エンタープライズ アプリ構成ウィザードを使用することもできます。 このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細を確認します。
ServiceNow 用に Microsoft Entra SSO を構成してテストする
B.Simon というテスト ユーザーを使用して、ServiceNow に対する Microsoft Entra SSO を構成してテストします。 SSO が機能するためには、Microsoft Entra ユーザーと ServiceNow の関連ユーザーとの間にリンク関係を確立する必要があります。
ServiceNow に対して Microsoft Entra SSO を構成してテストするには、次の手順を実行します:
- ユーザーがこの機能を使用できるように Microsoft Entra SSO を構成します。
- B.Simon で Microsoft Entra のシングル サインオンをテストする Microsoft Entra テスト ユーザーを作成します。
- B.Simon が Microsoft Entra シングル サインオンを使用できるようにするには、Microsoft Entra テスト ユーザーを割り当てます。
- ServiceNow Express の Microsoft Entra SSO を構成 して、ユーザーがこの機能を使用できるようにします。
-
ServiceNow を構成 して、アプリケーション側で SSO 設定を構成します。
- ServiceNow で B.Simon に対応するテストユーザーを作成し、そのユーザーを Microsoft Entra のデータとリンクさせます。
- ServiceNow Express SSO を構成 して、アプリケーション側でシングル サインオン設定を構成します。
- SSO をテスト して、構成が機能するかどうかを確認します。
- ServiceNow Agent (Mobile) の SSO をテスト して、構成が機能するかどうかを確認します。
Microsoft Entra SSO の構成
次の手順に従って Microsoft Entra SSO を有効にします。
Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
Entra ID>Enterprise apps>ServiceNow アプリケーション統合ページに移動し、[管理] セクションを見つけます。 [シングル サインオン] を選択します。
[ シングル サインオン方法の選択 ] ページで、[SAML] を選択 します。
[ SAML でのシングル サインオンの設定 ] ページで、[ 基本的な SAML 構成 ] のペン アイコンを選択して設定を編集します。
[ 基本的な SAML 構成] セクションで、次の手順を実行します。
ある。 [ サインオン URL] に、次のいずれかの URL パターンを入力します。
サインオン URL https://<instancename>.service-now.com/navpage.do
https://<instance-name>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id of the sso configuration>
注
この記事の後半で説明する ServiceNow の構成 セクションから、sys_id値をコピーしてください。
b。 識別子 (エンティティ ID) に、次のパターンを使用する URL を入力します。
https://<instance-name>.service-now.com
c. [ 応答 URL] に、次のいずれかの URL パターンを入力します。
[応答 URL] https://<instancename>.service-now.com/navpage.do
https://<instancename>.service-now.com/consumer.do
d. [ ログアウト URL] に、次のパターンを使用する URL を入力します。
https://<instancename>.service-now.com/navpage.do
注
識別子の値に "/" が追加されている場合は、手動で削除してください。
注
これらは実際の値ではありません。 これらの値は、実際のサインオン URL、応答 URL、ログアウト URL、識別子で更新する必要があります。これについては、後で説明します。 「 基本的な SAML 構成 」セクションに示されているパターンを参照することもできます。
[ SAML でのシングル サインオンの設定 ] ページの [ SAML 署名証明書 ] セクションで、 証明書 (Base64) を見つけます。
ある。 コピー ボタンを選択して アプリのフェデレーション メタデータ URL をコピーし、メモ帳に貼り付けます。 この URL は、この記事の後半で使用します。
b。 [ ダウンロード ] を選択して 証明書 (Base64) をダウンロードし、証明書ファイルをコンピューターに保存します。
[ ServiceNow のセットアップ ] セクションで、要件に基づいて適切な URL をコピーします。
Microsoft Entra テスト ユーザーの作成と割り当て
ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。
ServiceNow Express 用に Microsoft Entra SSO を構成する
Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
Entra ID>Enterprise apps>ServiceNow アプリケーション統合ページに移動し、シングル サインオンを選択します。
[ シングル サインオン方法の選択 ] ダイアログ ボックスで、 SAML/WS-Fed モードを選択してシングル サインオンを有効にします。
[ SAML でのシングル サインオンの設定 ] ページで、ペン アイコンを選択して [ 基本的な SAML 構成] ダイアログ ボックスを開きます。
[ 基本的な SAML 構成] セクションで、次の手順を実行します。
ある。 [サインオン URL] に、次のいずれかの URL パターンを入力します。
サインオン URL https://<instance-name>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id of the sso configuration>
https://<instancename>.service-now.com/consumer.do
b。 [識別子 (エンティティ ID)] に、次のパターンを使用する URL を入力します。
https://<instance-name>.service-now.com
c. [ 応答 URL] に、次のいずれかの URL パターンを入力します。
[応答 URL] https://<instancename>.service-now.com/navpage.do
https://<instancename>.service-now.com/consumer.do
d. [ ログアウト URL] に、次のパターンを使用する URL を入力します。
https://<instancename>.service-now.com/navpage.do
注
識別子の値に "/" が追加されている場合は、手動で削除してください。
注
これらは実際の値ではありません。 これらの値は、実際のサインオン URL、応答 URL、ログアウト URL、識別子で更新する必要があります。これについては、後で説明します。 「 基本的な SAML 構成 」セクションに示されているパターンを参照することもできます。
[ SAML でのシングル サインオンの設定 ] ページの [ SAML 署名証明書 ] セクションで、[ ダウンロード ] を選択して、要件に従って、指定したオプションから 証明書 (Base64) をダウンロードします。 それを自分のコンピューターに保存します。
Microsoft Entra ID では、SAML ベースの認証に対応するように ServiceNow を自動的に構成できます。 このサービスを有効にするには、[ ServiceNow のセットアップ ] セクションに移動し、[ ステップ バイ ステップの表示 ] を選択して [サインオンの構成 ] ウィンドウを開きます。
[ サインオンの構成 ] フォームで、ServiceNow インスタンス名、管理者ユーザー名、管理者パスワードを入力します。 [ 今すぐ構成] を選択します。 これを機能させるには、指定された管理者 ユーザー 名に ServiceNow でsecurity_adminロールが割り当てられている必要があります。 それ以外の場合は、Microsoft Entra ID を SAML ID プロバイダーとして使用するように ServiceNow を手動 で構成するには、[手動でシングル サインオンを構成する] を選択します。 [クイック リファレンス] セクションから 、ログアウト URL、Microsoft Entra 識別子、およびログイン URL を コピーします。
ServiceNow の構成
ServiceNow アプリケーションに管理者としてサインオンします。
次の手順に従って、 Integration - Multiple Provider シングル サインオン インストーラー プラグインをアクティブ化します。
ある。 左側のウィンドウで、検索ボックスから [システム定義] セクションを検索し、[ プラグイン] を選択します。
が強調表示されています
b。 統合 - 複数プロバイダー シングル サインオン インストーラーを検索し、インストールしてアクティブ化します。
左側のウィンドウで、検索バーから [マルチプロバイダー SSO] セクションを検索し、[管理] で [プロパティ] を選択します。
[ 複数プロバイダー SSO のプロパティ ] ダイアログ ボックスで、次の手順を実行します。
] のスクリーンショット
[ 複数のプロバイダーの SSO を有効にする] で、[ はい] を選択します。
すべての ID プロバイダーからユーザー テーブルへのユーザーの自動インポートを有効にするには、[はい] を選択します。
[複数プロバイダー SSO 統合のデバッグ ログを有効にする] で、[はい] を選択します。
[. ..] というユーザー テーブルのフィールドに電子メールを入力 します。
[保存] を選択します。
ServiceNow の構成は、自動または手動で行うことができます。 ServiceNow を自動的に構成するには、これらの手順に従います。
ServiceNow のシングル サインオン ページに戻ります。
ServiceNow には、ワンセレクト構成サービスが用意されています。 このサービスを有効にするには、[ ServiceNow 構成] セクションに移動し、[ ServiceNow の構成 ] を選択して [サインオンの構成 ] ウィンドウを開きます。
[ サインオンの構成 ] フォームで、ServiceNow インスタンス名、管理者ユーザー名、管理者パスワードを入力します。 [ 今すぐ構成] を選択します。 指定された管理者ユーザー名を機能させるには、ServiceNow で セキュリティ管理者 ロールが割り当てられている必要があります。 それ以外の場合は、Microsoft Entra ID を SAML ID プロバイダーとして使用するように ServiceNow を手動 で構成するには、[手動でシングル サインオンを構成する] を選択します。 [クイック リファレンス] セクションから 、Sign-Out URL、SAML エンティティ ID、SAML シングル サインオン サービス URL を コピーします。
ServiceNow アプリケーションに管理者としてサインオンします。
自動構成では、必要なすべての設定が ServiceNow 側で構成されますが、 X.509 証明書 は既定では有効ではなく、 単一 Sign-On スクリプト の値を MultiSSOv2_SAML2_customとして指定します。 ServiceNow でご使用の ID プロバイダーに手動でマップする必要があります。 次の手順に従います。
左側のウィンドウで、検索ボックスから [マルチプロバイダー SSO ] セクションを検索し、[ ID プロバイダー] を選択します。
自動的に生成された ID プロバイダーを選択します。
[ ID プロバイダー ] セクションで、次の手順を実行します。
の のスクリーンショット
ある。 画面の上部にある灰色のバーを右クリックし、[sys_idコピー] を選択し、[基本的な SAML 構成] セクションの [サインオン URL] にこの値を使用します。
b。 [名前] に、構成の名前 (Microsoft Azure Federated シングル サインオンなど) を入力します。
c. ServiceNow ホームページの値をコピーし、ServiceNow の [基本的な SAML 構成] セクションの [サインオン URL] に貼り付けます。
注
ServiceNow インスタンスのホーム ページは、 ServiceNow テナント URL と /navpage.do (例:
https://fabrikam.service-now.com/navpage.do
) を連結したものです。d. エンティティ ID/発行者の値をコピーし、ServiceNow の [基本的な SAML 構成] セクションの [識別子] に貼り付けます。
え NameID ポリシーが値
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
設定されていることを確認します。f. [詳細設定] を選択し、[単一 Sign-On スクリプト] の値を MultiSSOv2_SAML2_custom として指定します。
[X.509 証明書] セクションまで下にスクロールし、[編集] を選択します。
証明書を選択し、右矢印のアイコンを選択して証明書を追加します。
[保存] を選択します。
ページの右上隅にある [ テスト接続] を選択します。
[プラグインのアクティブ化]
注
テスト接続が失敗し、この接続をアクティブ化できない場合、ServiceNow はオーバーライド スイッチを提供します。 Sys_properties.LISTを検索ナビゲーションに入力すると、システムプロパティの新しいページが開きます。 ここでは、名前が glide.authenticate.multisso.test.connection.mandatory で データ型 が True/False の新しいプロパティを作成し、 値 を False に設定する必要があります。
スクリーンショット
自分の資格情報の入力を求められたら、入力します。 次のページが表示されます。 SSO ログアウト テスト結果エラーが予想されます。 エラーを無視し、[ アクティブ化] を選択します。
のスクリーンショット
ServiceNow を手動で構成するには、次の手順に従います。
ServiceNow アプリケーションに管理者としてサインオンします。
左側のウィンドウで、[ ID プロバイダー] を選択します。
[Identity Providers が強調表示された Multi-Provider SSO のスクリーンショット]
[ ID プロバイダー ] ダイアログ ボックスで、[ 新規] を選択します。
[ ID プロバイダー ] ダイアログ ボックスで、[SAML] を選択 します。
ID プロバイダー メタデータのインポートで、次の手順を実行します。
コピーした アプリのフェデレーション メタデータ URL を 入力します。
[ インポート] を選択します。
IdP メタデータ URL が読み取られ、すべてのフィールド情報が設定されます。
ある。 画面の上部にある灰色のバーを右クリックし、[sys_idコピー] を選択し、[基本的な SAML 構成] セクションの [サインオン URL] にこの値を使用します。
b。 [名前] に、構成の名前 (Microsoft Azure Federated シングル サインオンなど) を入力します。
c. ServiceNow ホームページの値をコピーします。 ServiceNow の [基本的な SAML 構成] セクションの [サインオン URL] に貼り付けます。
注
ServiceNow インスタンスのホーム ページは、 ServiceNow テナント URL と /navpage.do (例:
https://fabrikam.service-now.com/navpage.do
) を連結したものです。d. エンティティ ID/発行者の値をコピーします。 ServiceNow の [基本的な SAML 構成] セクションの [識別子] に貼り付けます。
え NameID ポリシーが値
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
設定されていることを確認します。f. [ 詳細設定] を選択します。 [ユーザー フィールド] に電子メールを入力します。
注
SAML トークンの一意の識別子として Microsoft Entra ユーザー ID (ユーザーのプリンシパル名) かメール アドレスを出力するように Microsoft Entra ID を構成できます。 これを行うには、Azure portal の ServiceNow>Attributes>シングルサインオン セクションに移動して、目的のフィールドを nameidentifier 属性にマッピングします。 Microsoft Entra ID に格納される選択した属性 (ユーザー プリンシパル名など) の値と、ServiceNow に格納される入力したフィールド (user_name など) の値が一致している必要があります。
ジー ページの右上隅にある [テスト接続 ] を選択します。
注
テスト接続が失敗し、この接続をアクティブ化できない場合、ServiceNow はオーバーライド スイッチを提供します。 Sys_properties.LISTを検索ナビゲーションに入力すると、システムプロパティの新しいページが開きます。 ここでは、名前が glide.authenticate.multisso.test.connection.mandatory で データ型 が True/False の新しいプロパティを作成し、 値 を False に設定する必要があります。
スクリーンショット
h. 自分の資格情報の入力を求められたら、入力します。 次のページが表示されます。 SSO ログアウト テスト結果エラーが予想されます。 エラーを無視し、[ アクティブ化] を選択します。
ServiceNow テスト ユーザーの作成
このセクションの目的は、ServiceNow 内で B.Simon というユーザーを作成することです。 ServiceNow では、自動ユーザー プロビジョニングがサポートされており、既定で有効になっています。
注
ユーザーを手動で作成する必要がある場合 は、ServiceNow クライアント サポート チームにお問い合わせください。
ServiceNow Express SSO の構成
ServiceNow Express アプリケーションに管理者としてサインオンします。
左側のウィンドウで、[ シングル サインオン] を選択します。
[ シングル サインオン ] ダイアログ ボックスで、右上にある構成アイコンを選択し、次のプロパティを設定します。
ある。 [ 複数のプロバイダーの SSO を有効にする] を右に切り替えます。
b。 [Enable debug logging for the multiple provider SSO integration]\(複数プロバイダー SSO 統合のデバッグ ログを有効にする\) を右側に切り替えます。
c. ユーザーテーブルのフィールドにuser_nameと入力してください...。
[ シングル サインオン ] ダイアログ ボックスで、[ 新しい証明書の追加] を選択します。
[ X.509 証明書 ] ダイアログ ボックスで、次の手順を実行します。
] のスクリーンショット
ある。 [名前] に、構成の名前を入力します (例: TestSAML2.0)。
b。 [アクティブ] を選択します。
c. 形式で、PEM を選択します。
d. [種類] で、[信頼ストア証明書] を選択します。
え Azure portal からダウンロードした
Base64
エンコード証明書をメモ帳で開きます。 その内容をクリップボードにコピーし、[ PEM 証明書 ] テキスト ボックスに貼り付けます。f. [更新] を選択する
[ シングル サインオン ] ダイアログ ボックスで、[ 新しい IdP の追加] を選択します。
[ 新しい ID プロバイダーの追加 ] ダイアログ ボックスの [ ID プロバイダーの構成] で、次の手順を実行します。
] のスクリーンショット
ある。 [名前] に、構成の名前を入力します (例: SAML 2.0)。
b。 [ID プロバイダーの URL] に、コピーした ID プロバイダー ID の値を貼り付けます。
c. ID プロバイダーの AuthnRequest の場合は、コピーした認証要求 URL の値を貼り付けます。
d. ID プロバイダーの SingleLogoutRequest の場合は、コピーしたログアウト URL の値を貼り付けます。
え [ID プロバイダー証明書] で、前の手順で作成した証明書を選択します。
[ 詳細設定] を選択します。 [ 追加の ID プロバイダーのプロパティ] で、次の手順を実行します。
ある。 IDP の SingleLogoutRequest のプロトコル バインドの場合は、urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect を入力します。
b。 NameID Policy には、「urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified」と入力します。
c. AuthnContextClassRef メソッドの場合は、「
http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
」と入力します。d. [Create an AuthnContextClass]\(AuthnContextClass の作成\) で、オフ (非選択) に切り替えます。
[ その他のサービス プロバイダーのプロパティ] で、次の手順を実行します。
ある。 ServiceNow ホームページの場合は、ServiceNow インスタンスホームページの URL を入力します。
注
ServiceNow インスタンスホームページは、 ServiceNow テナント URL と /navpage.do (例:
https://fabrikam.service-now.com/navpage.do
) を連結したものです。b。 [エンティティ ID/ 発行者] に、ServiceNow テナントの URL を入力します。
c. [対象ユーザー URI] に、ServiceNow テナントの URL を入力します。
d. [クロック スキュー] に「60」と入力します。
え [ユーザー フィールド] に電子メールを入力します。
注
SAML トークンの一意の識別子として Microsoft Entra ユーザー ID (ユーザーのプリンシパル名) かメール アドレスを出力するように Microsoft Entra ID を構成できます。 これを行うには、Azure portal の ServiceNow>Attributes>シングルサインオン セクションに移動して、目的のフィールドを nameidentifier 属性にマッピングします。 Microsoft Entra ID に格納される選択した属性 (ユーザー プリンシパル名など) の値と、ServiceNow に格納される入力したフィールド (user_name など) の値が一致している必要があります。
f. [保存] を選択します。
SSO のテスト
アクセス パネルで [ServiceNow] タイルを選択すると、SSO を設定した ServiceNow に自動的にサインインします。 アクセス パネルの詳細については、「アクセス パネル の概要」を参照してください。
ServiceNow Agent (モバイル) の SSO をテストする
ServiceNow Agent (Mobile) アプリケーションを開き、次の手順を実行します。
b。 ServiceNow インスタンスのアドレス、ニックネームを入力し、[ 保存してログイン] を選択します。
c. [ログイン] ページ で 、次の手順を実行します。
など、B.simon@contoso.comを入力します。
[ 外部ログインを使用] を選択します。 ユーザーはサインイン用の Microsoft Entra ID ページにリダイレクトされます。
資格情報を入力します。 任意のサードパーティの認証またはその他の有効になっているセキュリティ機能がある場合、ユーザーはそれに対応する必要があります。 アプリケーションの ホーム ページ が表示されます。
関連コンテンツ
ServiceNow を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を適用する方法について説明します。