Настройте ServiceNow | Документация Microsoft для единого входа с Microsoft Entra ID

В этой статье вы узнаете, как интегрировать ServiceNow с идентификатором Microsoft Entra. Интеграция ServiceNow с идентификатором Microsoft Entra позволяет:

• Контроль над тем, кто имеет доступ к ServiceNow через Microsoft Entra ID.
• Включите автоматический вход пользователей в ServiceNow с помощью учетных записей Microsoft Entra.
• Централизованное управление учетными записями через портал Azure.

Требования

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете бесплатно создать учетную запись.
• Одна из следующих ролей:
  • Администратор приложений
  • Администратор облачных приложений
  • Владелец приложения.

• Подписка на ServiceNow с включённой системой единого входа (SSO).
• Для ServiceNow инстанс или клиент ServiceNow поддерживает версии для Калгари, Кингстона, Лондона, Мадрида, Нью-Йорка, Орландо, Парижа и Сан-Диего или более новые версии.
• Для ServiceNow Express требуется экземпляр ServiceNow Express версии Helsinki или более поздней.
• Тенант ServiceNow должен иметь активированный модуль Multiple Provider Single Sign On Plugin.
• Чтобы применить автоматическую настройку, включите модуль нескольких поставщиков для ServiceNow.
• Для установки приложения ServiceNow Agent (Mobile) перейдите в соответствующее хранилище и выполните поиск по запросу ServiceNow Agent. Скачайте это приложение.

Примечание.

Эта интеграция также доступна для использования из облачной среды Microsoft Entra для государственных организаций США. Это приложение можно найти в коллекции облачных приложений Microsoft Entra для государственных организаций США и настроить его так же, как и в общедоступном облаке.

Описание сценария

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• ServiceNow поддерживает единый вход, инициированный поставщиком услуг.

• ServiceNow поддерживает автоматическую подготовку пользователей.

• Приложение ServiceNow Agent (Mobile) можно настроить с помощью Microsoft Entra ID для активации единого входа (Single Sign-On, SSO). Поддерживаются пользователи Android и iOS. В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

Добавьте ServiceNow из галереи.

Чтобы настроить интеграцию ServiceNow с идентификатором Microsoft Entra ID, необходимо добавить ServiceNow из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.
2. Перейдите к Entra ID>Enterprise приложения>Новое приложение.
3. В разделе "Добавление из коллекции" введите ServiceNow в поле поиска.
4. Выберите ServiceNow на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение будет добавлено в ваш тенант.

Кроме того, можно использовать мастер настройки корпоративных приложений. В этом мастере настройки вы можете добавить приложение в домен клиента, добавить пользователей и группы в приложение, назначить роли и также выполнить настройку единой аутентификации (SSO). Дополнительные сведения о мастерах Microsoft 365.

Настройка и проверка единого входа Microsoft Entra для ServiceNow

Настройте и проверьте единый вход Microsoft Entra в ServiceNow с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в ServiceNow.

Чтобы настроить и проверить единый вход Microsoft Entra в ServiceNow, выполните следующие действия:

1. Настройте единый вход Microsoft Entra , чтобы пользователи могли использовать эту функцию.
   1. Создайте тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
   2. Назначьте тестового пользователя Microsoft Entra, чтобы разрешить B.Simon использовать единый вход Microsoft Entra.
   3. Настройте единый вход Microsoft Entra для ServiceNow Express , чтобы пользователи могли использовать эту функцию.
2. Настройте ServiceNow , чтобы настроить параметры единого входа на стороне приложения.
   1. Создайте тестового пользователя ServiceNow, чтобы пользователь B.Simon в ServiceNow был связан с представлением пользователя в Microsoft Entra.
   2. Настройте SSO в ServiceNow Express для конфигурирования параметров единого входа на стороне приложения.
3. Протестируйте SSO, чтобы убедиться, что конфигурация работает.
4. Проверьте единый вход для агента ServiceNow (Mobile), чтобы проверить, работает ли конфигурация.

Настройка SSO Microsoft Entra

Выполните следующие действия, чтобы включить Microsoft Entra SSO.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите на страницу интеграции приложения Entra ID>Enterprise apps>ServiceNow, найдите раздел Управление. Выберите единый вход.

3. На странице "Выбор метода единого входа" выберите SAML.

4. На странице "Настройка единого входа" на странице SAML выберите значок пера для базовой конфигурации SAML , чтобы изменить параметры.

   

5. В разделе "Базовая конфигурация SAML" выполните следующие действия.

   a. В поле URL-адрес входа введите один из следующих шаблонов URL-адресов:

   URL для авторизации
   https://<instancename>.service-now.com/navpage.do
   https://<instance-name>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id of the sso configuration>

   Примечание.

   Скопируйте значение sys_id из раздела Configure ServiceNow , который описан далее в статье.

   б. В поле Идентификатор (идентификатор сущности) введите URL-адрес, использующий следующий шаблон: https://<instance-name>.service-now.com

   с. Для URL-адреса ответа введите один из следующих шаблонов URL-адресов:

   URL-адрес ответа
   https://<instancename>.service-now.com/navpage.do
   https://<instancename>.service-now.com/consumer.do

   д. В поле URL-адрес выхода введите URL-адрес, использующий следующий шаблон: https://<instancename>.service-now.com/navpage.do

   Примечание.

   Если в значение идентификатора добавлен символ "/", удалите его вручную.

   Примечание.

   Эти значения не являются реальными. Эти значения необходимо обновить с фактическим URL-адресом входа, URL-адресом ответа, URL-адресом выхода и идентификатором, описанным далее в статье. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML ".

6. На странице "Настройка единого входа с помощью SAML" в разделе "Сертификат подписи SAML" найдите сертификат (Base64).

   

   a. Нажмите кнопку копирования, чтобы скопировать URL-адрес метаданных федерации приложений и вставьте его в Блокнот. Этот URL-адрес используется далее в статье.

   б. Выберите "Скачать ", чтобы скачать сертификат(Base64), а затем сохраните файл сертификата на компьютере.

7. В разделе "Настройка ServiceNow " скопируйте соответствующие URL-адреса в соответствии с вашим требованием.

   

Создание и назначение тестового пользователя Microsoft Entra

Следуйте инструкциям в кратком руководстве по созданию и назначению учетной записи пользователя, чтобы создать тестовую учетную запись B.Simon.

Настройка единого входа Microsoft Entra для ServiceNow Express

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных приложений.

2. Перейдите на страницу интеграции приложения ServiceNow в разделе > - Enterprise apps, выберите >.

   

3. В диалоговом окне "Выбор метода единого входа " выберите режим SAML/WS-Fed , чтобы включить единый вход.

   

4. На странице "Настройка единого входа" на странице SAML выберите значок пера, чтобы открыть диалоговое окно "Базовая конфигурация SAML ".

   

5. В разделе "Базовая конфигурация SAML" выполните следующие действия.

   a. Для URL-адреса входа введите один из следующих шаблонов URL-адресов:

   URL для авторизации
   https://<instance-name>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id of the sso configuration>
   https://<instancename>.service-now.com/consumer.do

   б. Для идентификатора (идентификатор сущности) введите URL-адрес, использующий следующий шаблон: https://<instance-name>.service-now.com

   с. Для URL-адреса ответа введите один из следующих шаблонов URL-адресов:

   URL-адрес ответа
   https://<instancename>.service-now.com/navpage.do
   https://<instancename>.service-now.com/consumer.do

   д. В поле URL-адрес выхода введите URL-адрес, использующий следующий шаблон: https://<instancename>.service-now.com/navpage.do

   Примечание.

   Если в значение идентификатора добавлен символ "/", удалите его вручную.

   Примечание.

   Эти значения не являются реальными. Эти значения необходимо обновить с фактическим URL-адресом входа, URL-адресом ответа, URL-адресом выхода и идентификатором, описанным далее в статье. Вы также можете ссылаться на шаблоны, показанные в разделе "Базовая конфигурация SAML ".

6. На странице "Настройка единого входа" на странице SAML в разделе "Сертификат подписи SAML " выберите "Скачать ", чтобы скачать сертификат (Base64) из указанных параметров в соответствии с вашим требованием. Сохраните его на компьютере.

   

7. Вы можете настроить ServiceNow с помощью Microsoft Entra ID для аутентификации на основе SAML автоматически. Чтобы включить эту службу, перейдите в раздел "Настройка ServiceNow " и выберите "Просмотреть пошаговые инструкции ", чтобы открыть окно "Настройка входа ".

8. В форме настройки входа введите имя экземпляра ServiceNow, имя пользователя администратора и пароль администратора. Выберите "Настроить сейчас". Указанное имя администратора должно иметь роль security_admin , назначенную в ServiceNow, чтобы она работала. В противном случае, чтобы вручную настроить ServiceNow для использования идентификатора Microsoft Entra в качестве поставщика удостоверений SAML, выберите "Вручную настроить единый вход". Скопируйте URL-адрес выхода, идентификатор Microsoft Entra и URL-адрес входа из раздела "Краткий справочник".

   

Настройка ServiceNow

1. Войдите в приложение ServiceNow в качестве администратора.

2. Активируйте подключаемый модуль Integration - Installer с несколькими поставщиками и единой аутентификацией, выполнив следующие действия.

   a. В левой области найдите раздел "Определение системы " в поле поиска и выберите "Подключаемые модули".

   

   б. Выполните поиск интеграции — установщика единого входа для нескольких поставщиков, после чего установите и активируйте его.

   

3. В левой панели найдите раздел Multi-Provider SSO с помощью строки поиска, а затем выберите пункт Свойства в разделе Администрирование.

   

4. В диалоговом окне "Свойства единого входа для нескольких поставщиков" выполните следующие действия:

   

   • Для включения единого входа нескольких поставщиков нажмите кнопку "Да".

   • Для включения автоматического импорта пользователей из всех поставщиков удостоверений в таблицу пользователей нажмите кнопку "Да".

   • Чтобы включить ведение журнала отладки для интеграции единого входа нескольких поставщиков, нажмите кнопку "Да".

   • В поле в таблице пользователя, которая..., введите сообщение электронной почты.

   • Нажмите кнопку "Сохранить".

5. Вы можете настроить ServiceNow автоматически или вручную. Чтобы настроить ServiceNow автоматически, выполните следующие действия:

   1. Вернитесь на страницу единого входа ServiceNow .

   2. Для ServiceNow предоставляется служба настройки One-Select. Чтобы включить эту службу, перейдите в раздел "Конфигурация ServiceNow " и выберите "Настроить ServiceNow ", чтобы открыть окно "Настройка входа ".

      

   3. В форме настройки входа введите имя экземпляра ServiceNow, имя пользователя администратора и пароль администратора. Выберите "Настроить сейчас". Указанное имя администратора должно иметь роль администратора безопасности , назначенную в ServiceNow, чтобы она работала. В противном случае, чтобы вручную настроить ServiceNow для использования идентификатора Microsoft Entra в качестве поставщика удостоверений SAML, выберите "Вручную настроить единый вход". Скопируйте URL-адресSign-Out, идентификатор сущности SAML и URL-адрес службы единого входа SAML из раздела "Краткий справочник".

      

   4. Войдите в приложение ServiceNow в качестве администратора.

      • В автоматической конфигурации все необходимые параметры настраиваются на стороне ServiceNow, но сертификат X.509 по умолчанию не включен, и значение Single Sign-On Script установлено как MultiSSOv2_SAML2_custom. Вам необходимо вручную сопоставить это с вашим поставщиком удостоверений в ServiceNow. Выполните следующие действия:

        1. В левой области введите в поле поиска Multi-Provider SSO и выберите Поставщики удостоверений.

           

        2. Выберите автоматически созданного поставщика удостоверений.

           

        3. В разделе "Поставщик удостоверений" выполните следующие действия.

           

           a. Щелкните правой кнопкой мыши серую панель в верхней части экрана и выберите "Копировать sys_id" и используйте это значение для URL-адреса входа в разделе "Базовая конфигурация SAML ".

           б. В поле "Имя" введите имя конфигурации (например, единый вход в Microsoft Azure Federated).

           с. Скопируйте значение домашней страницы ServiceNow и вставьте его в URL-адрес входа в разделе "Базовая конфигурация SAML ServiceNow".

           Примечание.

           Домашняя страница экземпляра вашей учетной записи в ServiceNow — это сочетание URL-адреса вашей учетной записи ServiceNow и /navpage.do (например:).

           д. Скопируйте ID сущности / издателя и вставьте его в идентификаторв разделе базовой конфигурации SAML для ServiceNow.

           д) Проверьте, что для политики NameID задано значение urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified.

           ф. Выберите «Дополнительно» и задайте значение «Один Sign-On скрипт» в качестве MultiSSOv2_SAML2_custom.

        4. Прокрутите вниз до раздела сертификата X.509 и нажмите кнопку "Изменить".

           )

        5. Выберите сертификат и щелкните значок со стрелкой вправо, чтобы добавить его.

           

        6. Нажмите кнопку "Сохранить".

        7. В правом верхнем углу страницы выберите "Проверить подключение".

           

           Примечание.

           Если тестовое подключение завершается ошибкой, и вы не можете активировать это подключение, ServiceNow предлагает переопределение. Необходимо ввести Sys_properties.LIST в Панель поиска, чтобы открыть новую страницу свойств системы. Здесь необходимо создать новое свойство с именем glide.authenticate.multisso.test.connection.mandatory с типом данныхTrue/False , а затем задать значениеFalse.

           "

        8. Введите учетные данные, когда появится соответствующий запрос. Появится следующая страница. Ожидается ошибка в результатах теста выхода из системы единого входа. Пропустить ошибку и выбрать "Активировать".

           

6. Чтобы настроить ServiceNow вручную, выполните следующие действия.

   1. Войдите в приложение ServiceNow в качестве администратора.

   2. В левой области выберите "Поставщики удостоверений".

      

   3. В диалоговом окне "Поставщики удостоверений" нажмите кнопку "Создать".

      

   4. В диалоговом окне "Поставщики удостоверений" выберите SAML.

      

   5. В Импорте метаданных поставщика удостоверений выполните следующие действия.

      

      1. Введите URL-адрес метаданных федерации приложений , скопированный вами.

      2. Выберите "Импорт".

   6. Будет прочитан URL-адрес метаданных поставщика удостоверений, а также заполнены все поля сведений.

      

      a. Щелкните правой кнопкой мыши серую панель в верхней части экрана и выберите "Копировать sys_id" и используйте это значение для URL-адреса входа в разделе "Базовая конфигурация SAML ".

      б. В поле "Имя" введите имя конфигурации (например, единый вход в Microsoft Azure Federated).

      с. Скопируйте значение домашней страницы ServiceNow . Вставьте его в URL-адрес входа в разделе «Базовая конфигурация SAML для ServiceNow».

      Примечание.

      Домашняя страница экземпляра вашей учетной записи в ServiceNow — это сочетание URL-адреса вашей учетной записи ServiceNow и /navpage.do (например:).

      д. Скопируйте ID сущности / эмитента. Вставьте его в раздел "Идентификатор" в разделе "Базовая конфигурация SAML ServiceNow".

      д) Проверьте, что для политики NameID задано значение urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified.

      ф. Выберите "Дополнительно". В поле пользователя введите сообщение электронной почты.

      Примечание.

      Вы можете настроить идентификатор Microsoft Entra, чтобы вывести идентификатор пользователя Microsoft Entra (имя участника-пользователя) или адрес электронной почты в качестве уникального идентификатора в токене SAML. Для этого перейдите на портал Azure в раздел ServiceNow, >, единого входа, и сопоставьте требуемое поле с атрибутом >. Значение, хранящееся для выбранного атрибута в идентификаторе Microsoft Entra (например, имя участника-пользователя), должно совпадать со значением, хранящимся в ServiceNow для введенного поля (например, user_name).

      ж. Выберите "Проверить подключение" в правом верхнем углу страницы.

      Примечание.

      Если тестовое подключение завершается ошибкой, и вы не можете активировать это подключение, ServiceNow предлагает переопределение. Необходимо ввести Sys_properties.LIST в Панель поиска, чтобы открыть новую страницу свойств системы. Здесь необходимо создать новое свойство с именем glide.authenticate.multisso.test.connection.mandatory с типом данныхTrue/False , а затем задать значениеFalse.

      

      х. Введите учетные данные, когда появится соответствующий запрос. Появится следующая страница. Ожидается ошибка в результатах теста выхода из системы единого входа. Пропустить ошибку и выбрать "Активировать".

      

Создание тестового пользователя ServiceNow

Цель этого раздела — создать пользователя с именем B.Simon в приложении ServiceNow. ServiceNow поддерживает автоматическую подготовку пользователей, которая по умолчанию включена.

Примечание.

Если вам нужно создать пользователя вручную, обратитесь в службу поддержки клиентов ServiceNow.

Настройка единого входа в ServiceNow Express

1. Войдите в приложение ServiceNow Express в качестве администратора.

2. В левой области выберите единый вход.

   

3. В диалоговом окне единого входа выберите значок конфигурации в правом верхнем углу и задайте следующие свойства:

   

   a. Переключите переключатель "Включить единый вход нескольких поставщиков " справа.

   б. Включите ведение журнала отладки для интеграции единого входа нескольких поставщиков справа.

   с. В поле в таблице пользователя, которая..., введите user_name.

4. В диалоговом окне единого входа нажмите кнопку "Добавить новый сертификат".

   

5. В диалоговом окне "Сертификаты X.509" выполните следующие действия:

   

   a. В поле "Имя" введите имя конфигурации (например, TestSAML2.0).

   б. Выберите "Активный".

   с. Для параметра Format выберите PEM.

   д. Для типа выберите Сертификат доверенного хранилища.

   д) Base64 Откройте закодированный сертификат, скачанный с портала Azure в Блокноте. Скопируйте его содержимое в буфер обмена и вставьте его в текстовое поле сертификата PEM .

   ф. Выберите "Обновить"

6. В диалоговом окне единого входа нажмите кнопку "Добавить новый idP".

   

7. В диалоговом окне "Добавление нового поставщика удостоверений " в разделе "Настройка поставщика удостоверений" выполните следующие действия.

   

   a. В поле "Имя" введите имя конфигурации (например, SAML 2.0).

   б. Для URL-адреса поставщика удостоверений вставьте значение скопированного идентификатора поставщика удостоверений.

   с. Для запроса проверки подлинности от поставщика удостоверений вставьте скопированное вами значение URL-адреса.

   д. Для SingleLogoutRequest провайдера удостоверений вставьте значение скопированного URL-адреса для выхода.

   д) Для сертификата провайдера идентификации выберите сертификат, созданный на предыдущем шаге.

8. Выберите дополнительные параметры. В разделе "Дополнительные свойства поставщика удостоверений" выполните следующие действия.

   

   a. Для Привязки протокола для SingleLogoutRequest IDP введите urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect.

   б. Для политики NameID введите urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified.

   с. Для метода AuthnContextClassRef введите http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password.

   д. Чтобы создать AuthnContextClass, переключите его на выключение (не выбрано).

9. В разделе "Дополнительные свойства поставщика услуг" выполните следующие действия.

   

   a. В поле домашняя страница ServiceNow введите URL-адрес вашего экземпляра ServiceNow.

   Примечание.

   Домашняя страница экземпляра ServiceNow — это сочетание вашего URL-адреса клиента ServiceNow и /navpage.do (например: https://fabrikam.service-now.com/navpage.do).

   б. Для идентификатора сущности или издателя введите URL-адрес клиента ServiceNow.

   с. В поле URI аудитории введите URL-адрес клиента ServiceNow.

   д. Для параметра Clock Skew введите 60.

   д) В поле пользователя введите сообщение электронной почты.

   Примечание.

   Вы можете настроить идентификатор Microsoft Entra, чтобы вывести идентификатор пользователя Microsoft Entra (имя участника-пользователя) или адрес электронной почты в качестве уникального идентификатора в токене SAML. Для этого перейдите на портал Azure в раздел ServiceNow, >, единого входа, и сопоставьте требуемое поле с атрибутом >. Значение, хранящееся для выбранного атрибута в идентификаторе Microsoft Entra (например, имя участника-пользователя), должно совпадать со значением, хранящимся в ServiceNow для введенного поля (например, user_name).

   ф. Нажмите кнопку "Сохранить".

Проверка единой аутентификации

Выбрав плитку "ServiceNow" на Панели доступа, вы автоматически войдете в приложение ServiceNow, для которого настроили единый вход. Дополнительные сведения о панели доступа см. в разделе "Общие сведения о панели доступа".

Проверка единого входа для приложения ServiceNow Agent (Mobile)

1. Откройте приложение ServiceNow Agent (Mobile) и выполните следующие действия:

   б. Введите адрес экземпляра ServiceNow, псевдоним и нажмите кнопку "Сохранить и войти".

   

   с. На странице входа выполните следующие действия:

   

   • Введите имя пользователя, например B.simon@contoso.com.

   • Выберите "Использовать внешнее имя входа". Вы перенаправляетесь на страницу идентификатора Microsoft Entra для входа.

   • Введите свои учетные данные. Если используется сторонняя проверка подлинности или любой другой механизм безопасности, пользователю нужно будет выполнить соответствующие дополнительные действия. Откроется домашняя страница приложения.

     

Связанный контент

После настройки ServiceNow вы можете применить элементы управления сеансами, которые защищают конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Элементы управления сеансом являются расширением функции условного доступа. Узнайте, как применить управление сеансом с помощью Microsoft Defender для облачных приложений.