Share via

Samouczek: integracja logowania jednokrotnego firmy Microsoft z usługą ServiceNow

  • Artykuł

Z tego samouczka dowiesz się, jak zintegrować usługę ServiceNow z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu usługi ServiceNow z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do usługi ServiceNow.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do usługi ServiceNow przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji: w witrynie Azure Portal.

Wymagania wstępne

Do rozpoczęcia pracy potrzebne są następujące elementy:

  • Subskrypcja firmy Microsoft Entra. Jeśli nie masz subskrypcji, możesz uzyskać bezpłatne konto.
  • Subskrypcja aplikacji ServiceNow z obsługą logowania jednokrotnego.
  • W przypadku usługi ServiceNow wystąpienie lub dzierżawa usługi ServiceNow obsługuje wersje Calgary, Kingston, London, Madryt, Nowy Jork, Orlando, Paryż i San Diego.
  • W przypadku usługi ServiceNow Express wystąpienie usługi ServiceNow Express, Helsinki lub nowszej wersji.
  • W dzierżawie usługi ServiceNow musi być włączona wtyczka Multiple Provider Single Sign On Plugin (wtyczka logowania jednokrotnego u wielu dostawców).
  • W przypadku konfiguracji automatycznej włącz wtyczkę wielu dostawców dla usługi ServiceNow.
  • Aby zainstalować aplikację ServiceNow Agent (Mobile), przejdź do odpowiedniego magazynu i wyszukaj aplikację agenta usługi ServiceNow. Następnie pobierz go.

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Opis scenariusza

W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.

  • Usługa ServiceNow obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.

  • Usługa ServiceNow obsługuje automatyczną aprowizację użytkowników.

  • Aplikację ServiceNow Agent (Mobile) można skonfigurować przy użyciu identyfikatora Entra firmy Microsoft na potrzeby włączania logowania jednokrotnego. Obsługuje zarówno użytkowników systemów Android, jak i iOS. W tym samouczku skonfigurujesz i przetestujesz logowanie jednokrotne firmy Microsoft w środowisku testowym.

Aby skonfigurować integrację usługi ServiceNow z identyfikatorem Entra firmy Microsoft, należy dodać usługę ServiceNow z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
  2. Przejdź do sekcji Identity Applications Enterprise applications>New application (Aplikacje dla przedsiębiorstw w aplikacji> dla>przedsiębiorstw).
  3. W sekcji Dodawanie z galerii wprowadź ciąg ServiceNow w polu wyszukiwania.
  4. Wybierz pozycję ServiceNow z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund na dodanie aplikacji do dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników/grupy do aplikacji, przypisać role, a także przejść przez konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO for ServiceNow

Skonfiguruj i przetestuj logowanie jednokrotne firmy Microsoft z usługą ServiceNow przy użyciu użytkownika testowego O nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem usługi ServiceNow.

Aby skonfigurować i przetestować logowanie jednokrotne firmy Microsoft w usłudze ServiceNow, wykonaj następujące kroki:

  1. Skonfiguruj logowanie jednokrotne microsoft Entra, aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Tworzenie użytkownika testowego aplikacji Microsoft Entra w celu przetestowania logowania jednokrotnego firmy Microsoft Entra z aplikacją B.Simon.
    2. Przypisz użytkownika testowego aplikacji Microsoft Entra, aby umożliwić aplikacji B.Simon korzystanie z logowania jednokrotnego firmy Microsoft Entra.
    3. Skonfiguruj usługę Microsoft Entra SSO for ServiceNow Express , aby umożliwić użytkownikom korzystanie z tej funkcji.
  2. Skonfiguruj usługę ServiceNow , aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Utwórz użytkownika testowego usługi ServiceNow, aby mieć w usłudze ServiceNow odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
    2. Skonfiguruj logowanie jednokrotne usługi ServiceNow Express, aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
  3. Przetestuj logowanie jednokrotne , aby sprawdzić, czy konfiguracja działa.
  4. Przetestuj logowanie jednokrotne dla agenta usługi ServiceNow (mobile), aby sprawdzić, czy konfiguracja działa.

Konfigurowanie logowania jednokrotnego firmy Microsoft

Wykonaj następujące kroki, aby włączyć logowanie jednokrotne firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do strony integracji aplikacji>dla przedsiębiorstw Aplikacji dla>>przedsiębiorstw ServiceNow, znajdź sekcję Zarządzanie. Wybierz pozycję Logowanie jednokrotne.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę pióra podstawową konfigurację protokołu SAML, aby edytować ustawienia.

    Screenshot of Set up Single Sign-On with SAML page, with pen icon highlighted

  5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

    a. W polu Adres URL logowania wprowadź jeden z następujących wzorców adresów URL:

    Adres URL logowania
    https://<instancename>.service-now.com/navpage.do
    https://<instance-name>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id of the sso configuration>

    Uwaga

    Skopiuj wartość sys_id z sekcji Konfigurowanie usługi ServiceNow , co zostało wyjaśnione w dalszej części samouczka.

    b. W polu Identyfikator (identyfikator jednostki) wprowadź adres URL, który używa następującego wzorca: https://<instance-name>.service-now.com

    c. W polu Adres URL odpowiedzi wprowadź jeden z następujących wzorców adresów URL:

    Adres URL odpowiedzi
    https://<instancename>.service-now.com/navpage.do
    https://<instancename>.service-now.com/consumer.do

    d. W polu Adres URL wylogowywania wprowadź adres URL, który używa następującego wzorca: https://<instancename>.service-now.com/navpage.do

    Uwaga

    Jeśli parametr "/" zostanie dodany w wartości Identyfikator, usuń to ręcznie.

    Uwaga

    To nie są rzeczywiste wartości. Należy zaktualizować te wartości przy użyciu rzeczywistego adresu URL logowania, adresu URL odpowiedzi, adresu URL wylogowywania i identyfikatora, co zostało wyjaśnione w dalszej części tego samouczka. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML znajdź pozycję Certyfikat (Base64).

    Screenshot of the SAML Signing Certificate section, with Download highlighted

    a. Wybierz przycisk kopiowania, aby skopiować adres URL metadanych federacji aplikacji i wklej go do Notatnik. Ten adres URL będzie używany w dalszej części samouczka.

    b. Wybierz pozycję Pobierz , aby pobrać certyfikat (Base64), a następnie zapisz plik certyfikatu na komputerze.

  7. W sekcji Konfigurowanie usługi ServiceNow skopiuj odpowiednie adresy URL na podstawie wymagań.

    Screenshot of Set up ServiceNow section, with URLs highlighted

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik Administracja istrator.
  2. Przejdź do pozycji Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź wartość B.Simon.
    2. W polu Główna nazwa użytkownika wprowadź username@companydomain.extensionwartość . Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do usługi ServiceNow.

  1. Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
  2. Na liście aplikacji wybierz pozycję ServiceNow.
  3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie , a następnie wybierz pozycję Użytkownicy i grupy.
  4. Wybierz Dodaj użytkownika. W oknie dialogowym Dodawanie przypisania wybierz pozycję Użytkownicy i grupy.
  5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy użytkowników, a następnie wybierz pozycję Wybierz.
  6. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
  7. W oknie dialogowym Dodawanie przypisania wybierz pozycję Przypisz.

Konfigurowanie logowania jednokrotnego firmy Microsoft dla usługi ServiceNow Express

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.

  2. Przejdź do strony integracji aplikacji>dla przedsiębiorstw Aplikacji>dla>przedsiębiorstw ServiceNow, wybierz pozycję Logowanie jednokrotne.

    Screenshot of ServiceNow application integration page, with Single sign-on highlighted

  3. W oknie dialogowym Wybieranie metody logowania jednokrotnego wybierz pozycję TRYB SAML/WS-Fed, aby włączyć logowanie jednokrotne.

    Screenshot of Select a single sign-on method, with SAML highlighted

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę pióra, aby otworzyć okno dialogowe Podstawowa konfiguracja protokołu SAML.

    Screenshot of Set up single sign-on with SAML page, with pen icon highlighted

  5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

    a. W polu Adres URL logowania wprowadź jeden z następujących wzorców adresów URL:

    Adres URL logowania
    https://<instance-name>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id of the sso configuration>
    https://<instancename>.service-now.com/consumer.do

    b. W polu Identyfikator (identyfikator jednostki) wprowadź adres URL, który używa następującego wzorca: https://<instance-name>.service-now.com

    c. W polu Adres URL odpowiedzi wprowadź jeden z następujących wzorców adresów URL:

    Adres URL odpowiedzi
    https://<instancename>.service-now.com/navpage.do
    https://<instancename>.service-now.com/consumer.do

    d. W polu Adres URL wylogowywania wprowadź adres URL, który używa następującego wzorca: https://<instancename>.service-now.com/navpage.do

    Uwaga

    Jeśli parametr "/" zostanie dodany w wartości Identyfikator, usuń to ręcznie.

    Uwaga

    To nie są rzeczywiste wartości. Należy zaktualizować te wartości przy użyciu rzeczywistego adresu URL logowania, adresu URL odpowiedzi, adresu URL wylogowywania i identyfikatora, co zostało wyjaśnione w dalszej części tego samouczka. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML wybierz pozycję Pobierz, aby pobrać certyfikat (Base64) z określonych opcji zgodnie z wymaganiami. Zapisz go na komputerze.

    Screenshot of SAML Signing Certificate section, with Download highlighted

  7. Identyfikator entra firmy Microsoft może automatycznie skonfigurować usługę ServiceNow na potrzeby uwierzytelniania opartego na protokole SAML. Aby włączyć tę usługę, przejdź do sekcji Konfigurowanie usługi ServiceNow i wybierz pozycję Wyświetl instrukcje krok po kroku, aby otworzyć okno Konfigurowanie logowania .

    Screenshot of Set up ServiceNow section, with View step-by-step instructions highlighted

  8. W formularzu Konfigurowanie logowania wprowadź nazwę wystąpienia usługi ServiceNow, nazwę użytkownika administratora i hasło administratora. Wybierz pozycję Konfiguruj teraz. Podana nazwa użytkownika administratora musi mieć przypisaną rolę security_admin w usłudze ServiceNow, aby to działało. W przeciwnym razie, aby ręcznie skonfigurować usługę ServiceNow do używania identyfikatora Entra firmy Microsoft jako dostawcy tożsamości SAML, wybierz pozycję Ręcznie skonfiguruj logowanie jednokrotne. Skopiuj adres URL wylogowywania, identyfikator entra firmy Microsoft i adres URL logowania z sekcji Szybki przewodnik.

    Screenshot of Configure sign-on form, with Configure Now highlighted

Konfigurowanie usługi ServiceNow

  1. Zaloguj się do swojej aplikacji ServiceNow jako administrator.

  2. Aktywuj wtyczkę Integracja — instalator logowania jednokrotnego wielu dostawców, wykonując następujące kroki:

    a. W okienku po lewej stronie wyszukaj sekcję Definicja systemu w polu wyszukiwania, a następnie wybierz pozycję Wtyczki.

    Screenshot of System Definition section, with System Definition and Plugins highlighted

    b. Wyszukaj pozycję Integracja — instalator logowania jednokrotnego wielu dostawców, a następnie zainstaluj i aktywuj go.

    Screenshot of System Plugins page, with Integration - Multiple Provider Single Sign-On Installer highlighted

  3. W okienku po lewej stronie wyszukaj sekcję Logowanie jednokrotne dla wielu dostawców na pasku wyszukiwania, a następnie wybierz pozycję Właściwości w Administracja istration.

    Screenshot of Multi-Provider SSO section, with Multi-Provider SSO and Properties highlighted

  4. W oknie dialogowym Właściwości logowania jednokrotnego wielu dostawców wykonaj następujące kroki:

    Screenshot of Multiple Provider SSO Properties dialog box

    • W obszarze Włącz logowanie jednokrotne wielu dostawców wybierz pozycję Tak.

    • W obszarze Włącz automatyczne importowanie użytkowników ze wszystkich dostawców tożsamości do tabeli użytkowników wybierz pozycję Tak.

    • W obszarze Włącz rejestrowanie debugowania dla integracji logowania jednokrotnego dla wielu dostawców wybierz pozycję Tak.

    • W polu Pole w tabeli użytkownika, które..., wprowadź adres e-mail.

    • Wybierz pozycję Zapisz.

  5. Usługę ServiceNow można skonfigurować automatycznie lub ręcznie. Aby automatycznie skonfigurować usługę ServiceNow, wykonaj następujące kroki:

    1. Wróć do strony logowania jednokrotnego usługi ServiceNow .

    2. Usługa Konfigurowania jednym kliknięciem jest udostępniana dla usługi ServiceNow. Aby włączyć tę usługę, przejdź do sekcji Konfiguracja usługi ServiceNow i wybierz pozycję Konfiguruj usługę ServiceNow, aby otworzyć okno Konfigurowanie logowania.

      Screenshot of Set up ServiceNow, with View step-by-step instructions highlighted

    3. W formularzu Konfigurowanie logowania wprowadź nazwę wystąpienia usługi ServiceNow, nazwę użytkownika administratora i hasło administratora. Wybierz pozycję Konfiguruj teraz. Podana nazwa użytkownika administratora musi mieć przypisaną rolę administratora zabezpieczeń w usłudze ServiceNow, aby to działało. W przeciwnym razie, aby ręcznie skonfigurować usługę ServiceNow do używania identyfikatora Entra firmy Microsoft jako dostawcy tożsamości SAML, wybierz pozycję Ręcznie skonfiguruj logowanie jednokrotne. Skopiuj adres URL wylogowania, identyfikator jednostki SAML i adres URL usługi logowania jednokrotnego SAML z sekcji Szybki przewodnik.

      Screenshot of Configure sign-on form, with Configure Now highlighted

    4. Zaloguj się do swojej aplikacji ServiceNow jako administrator.

      • W konfiguracji automatycznej wszystkie niezbędne ustawienia są konfigurowane po stronie usługi ServiceNow , ale certyfikat X.509 nie jest domyślnie włączony i nadaje wartość skryptu logowania jednokrotnego jako MultiSSOv2_SAML2_custom. Musisz zamapować go ręcznie na dostawcę tożsamości w usłudze ServiceNow. Wykonaj te kroki:

        1. W okienku po lewej stronie wyszukaj sekcję Logowanie jednokrotne dla wielu dostawców w polu wyszukiwania i wybierz pozycję Dostawcy tożsamości.

          Screenshot of Multi-Provider SSO section, with Identity Providers highlighted

        2. Wybierz automatycznie wygenerowanego dostawcę tożsamości.

          Screenshot of identity providers, with automatically generated identity provider highlighted

        3. W sekcji Identity Provider (Dostawca tożsamości) wykonaj następujące kroki:

          Screenshot of Identity Provider section

          a. Kliknij prawym przyciskiem myszy szary pasek w górnej części ekranu, a następnie kliknij pozycję Kopiuj sys_id i użyj tej wartości do adresu URL logowania w sekcji Podstawowa konfiguracja protokołu SAML.

          b. W polu Nazwa wprowadź nazwę konfiguracji (na przykład logowanie jednokrotne usługi Microsoft Azure Federated).

          c. Skopiuj wartość ServiceNow Homepage (Strona główna usługi ServiceNow) i wklej ją w polu Adres URL logowania w sekcji ServiceNow Basic SAML Configuration (Podstawowa konfiguracja protokołu SAML usługi ServiceNow).

          Uwaga

          Strona główna wystąpienia usługi ServiceNow składa się z adresu URL Twojej dzierżawy ServiceNow i ciągu /navpage.do (na przykład:https://fabrikam.service-now.com/navpage.do).

          d. Skopiuj wartość Entity ID/Issuer (Identyfikator jednostki/wystawca) i wklej ją w polu Identyfikator w sekcji ServiceNow Basic SAML Configuration (Podstawowa konfiguracja protokołu SAML usługi ServiceNow).

          e. Upewnij się, że dla zasad NameID ustawiono urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified wartość.

          f. Kliknij pozycję Zaawansowane i nadaj wartość Skrypt logowania jednokrotnego jako MultiSSOv2_SAML2_custom.

        4. Przewiń w dół do sekcji Certyfikat X.509 i wybierz pozycję Edytuj.

          Screenshot of X.509 Certificate section, with Edit highlighted

        5. Wybierz certyfikat i wybierz ikonę strzałki w prawo, aby dodać certyfikat

          Screenshot of Collection, with certificate and right arrow icon highlighted

        6. Wybierz pozycję Zapisz.

        7. W prawym górnym rogu strony wybierz pozycję Test Połączenie ion.

          Screenshot of page, with Test Connection highlighted

          Uwaga

          Jeśli test Połączenie ion kończy się niepowodzeniem i nie możesz aktywować tego połączenia, usługa ServiceNow oferuje przełącznik zastąpienia. Musisz wprowadzić Sys_properties. LISTA w nawigacji wyszukiwania i otworzy nową stronę Właściwości systemu. W tym miejscu należy utworzyć nową właściwość o nazwie glide.authenticate.multisso.test.connection.mandatory z wartością datatype jako True/False, a następnie ustawić wartość false.

          Screenshot of Test connection page

        8. Po wyświetleniu monitu o podanie poświadczeń wprowadź je. Zostanie wyświetlona następująca strona. Oczekiwano błędu testu wylogowywanie logowania jednokrotnego. Ignoruj błąd i wybierz pozycję Aktywuj.

          Screenshot of credentials page

  6. Aby ręcznie skonfigurować usługę ServiceNow , wykonaj następujące kroki:

    1. Zaloguj się do swojej aplikacji ServiceNow jako administrator.

    2. W okienku po lewej stronie wybierz pozycję Dostawcy tożsamości.

      Screenshot of Multi-Provider SSO, with Identity Providers highlighted

    3. W oknie dialogowym Dostawcy tożsamości wybierz pozycję Nowy.

      Screenshot of Identity Providers dialog box, with New highlighted

    4. W oknie dialogowym Dostawcy tożsamości wybierz pozycję SAML.

      Screenshot of Identity Providers dialog box, with SAML highlighted

    5. W obszarze Importowanie metadanych dostawcy tożsamości wykonaj następujące kroki:

      Screenshot of Import Identity Provider Metadata, with URL and Import highlighted

      1. Wprowadź skopiowany adres URL metadanych federacji aplikacji.

      2. Wybierz Importuj.

    6. Odczytuje on adres URL metadanych dostawcy tożsamości i wypełnia wszystkie informacje o polach.

      Screenshot of Identity Provider

      a. Kliknij prawym przyciskiem myszy szary pasek w górnej części ekranu, a następnie kliknij pozycję Kopiuj sys_id i użyj tej wartości do adresu URL logowania w sekcji Podstawowa konfiguracja protokołu SAML.

      b. W polu Nazwa wprowadź nazwę konfiguracji (na przykład logowanie jednokrotne usługi Microsoft Azure Federated).

      c. Skopiuj wartość Strona główna usługi ServiceNow. Wklej go w polu Adres URL logowania w sekcji ServiceNow Basic SAML Configuration (Podstawowa konfiguracja protokołu SAML w usłudze ServiceNow).

      Uwaga

      Strona główna wystąpienia usługi ServiceNow składa się z adresu URL Twojej dzierżawy ServiceNow i ciągu /navpage.do (na przykład:https://fabrikam.service-now.com/navpage.do).

      d. Skopiuj wartość Identyfikator jednostki/Wystawca. Wklej go w sekcji ServiceNow Basic SAML Configuration (Identyfikator) w sekcji ServiceNow Basic SAML Configuration (Podstawowa konfiguracja protokołu SAML usługi ServiceNow).

      e. Upewnij się, że dla zasad NameID ustawiono urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified wartość.

      f. Wybierz opcję Zaawansowane. W polu Użytkownik wprowadź adres e-mail.

      Uwaga

      Możesz skonfigurować identyfikator entra firmy Microsoft w celu emitowania identyfikatora użytkownika Entra firmy Microsoft (głównej nazwy użytkownika) lub adresu e-mail jako unikatowego identyfikatora w tokenie SAML. W tym celu przejdź do sekcji Logowanie jednokrotne atrybutów>usługi ServiceNow>w witrynie Azure Portal i zamapuj żądane pole na atrybut nameidentifier. Wartość przechowywana dla wybranego atrybutu w identyfikatorze Entra firmy Microsoft (na przykład główna nazwa użytkownika) musi być zgodna z wartością przechowywaną w usłudze ServiceNow dla wprowadzonego pola (na przykład user_name).

      g. Wybierz pozycję Test Połączenie ion w prawym górnym rogu strony.

      Uwaga

      Jeśli test Połączenie ion kończy się niepowodzeniem i nie możesz aktywować tego połączenia, usługa ServiceNow oferuje przełącznik zastąpienia. Musisz wprowadzić Sys_properties. LISTA w nawigacji wyszukiwania i otworzy nową stronę Właściwości systemu. W tym miejscu należy utworzyć nową właściwość o nazwie glide.authenticate.multisso.test.connection.mandatory z wartością datatype jako True/False, a następnie ustawić wartość false.

      Screenshot of Test connection

      h. Po wyświetleniu monitu o podanie poświadczeń wprowadź je. Zostanie wyświetlona następująca strona. Oczekiwano błędu testu wylogowywanie logowania jednokrotnego. Ignoruj błąd i wybierz pozycję Aktywuj.

      credentials

Tworzenie użytkownika testowego usługi ServiceNow

Celem tej sekcji jest utworzenie użytkownika O nazwie B.Simon w usłudze ServiceNow. Usługa ServiceNow obsługuje automatyczną aprowizację użytkowników, która jest domyślnie włączona.

Uwaga

Jeśli musisz ręcznie utworzyć użytkownika, skontaktuj się z zespołem pomocy technicznej klienta usługi ServiceNow.

Konfigurowanie logowania jednokrotnego usługi ServiceNow Express

  1. Zaloguj się do swojej aplikacji ServiceNow Express jako administrator.

  2. W okienku po lewej stronie wybierz pozycję Logowanie jednokrotne.

    Screenshot of ServiceNow Express application, with Single Sign-On highlighted

  3. W oknie dialogowym Logowanie jednokrotne wybierz ikonę konfiguracji w prawym górnym rogu i ustaw następujące właściwości:

    Screenshot of Single Sign-On dialog box

    a. Przestaw przełącznik Enable multiple provider SSO (Włącz logowanie jednokrotne u wielu dostawców) w prawo.

    b. Przestaw przełącznik Enable debug logging for the multiple provider SSO integration (Włącz rejestrowanie debugowania dla integracji logowania jednokrotnego u wielu dostawców) w prawo.

    c. W polu w tabeli użytkownika, które..., wprowadź user_name.

  4. W oknie dialogowym Logowanie jednokrotne wybierz pozycję Dodaj nowy certyfikat.

    Screenshot of Single Sign-On dialog box, with Add New Certificate highlighted

  5. W oknie dialogowym Certyfikaty X.509 wykonaj następujące kroki:

    Screenshot of X.509 Certificates dialog box

    a. W polu Nazwa wprowadź nazwę konfiguracji (na przykład : TestSAML2.0).

    b. Wybierz pozycję Active (Aktywne).

    c. W polu Format wybierz pozycję PEM.

    d. W polu Typ wybierz pozycję Certyfikat magazynu zaufania.

    e. Base64 Otwórz zakodowany certyfikat pobrany z witryny Azure Portal w Notatnik. Skopiuj zawartość do schowka, a następnie wklej ją w polu tekstowym Certyfikat PEM.

    f. Wybierz pozycję Aktualizuj

  6. W oknie dialogowym Logowanie jednokrotne wybierz pozycję Dodaj nowego dostawcę tożsamości.

    Screenshot of Single Sign-On dialog box, with Add New IdP highlighted

  7. W oknie dialogowym Dodawanie nowego dostawcy tożsamości w obszarze Konfigurowanie dostawcy tożsamości wykonaj następujące kroki:

    Screenshot of Add New Identity Provider dialog box

    a. W polu Nazwa wprowadź nazwę konfiguracji (na przykład SAML 2.0).

    b. W polu Identity Provider URL (Adres URL dostawcy tożsamości) wklej wartość skopiowanego identyfikatora dostawcy tożsamości.

    c. W polu AuthnRequest dostawcy tożsamości wklej wartość skopiowanego adresu URL żądania uwierzytelniania.

    d. W polu SingleLogoutRequest dostawcy tożsamości wklej wartość skopiowanego adresu URL wylogowywania.

    e. W polu Identity Provider Certificate (Certyfikat dostawcy tożsamości) wybierz certyfikat utworzony w poprzednim kroku.

  8. Wybierz pozycję Ustawienia zaawansowane. W obszarze Dodatkowe właściwości dostawcy tożsamości wykonaj następujące kroki:

    Screenshot of Add New Identity Provider dialog box, with Advanced Settings highlighted

    a. W polu Powiązanie protokołu dla elementu SingleLogoutRequest dostawcy tożsamości wprowadź wartość urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect.

    b. W polu NameID Policy (Zasady nameID) wprowadź wartość urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified.

    c. W polu AuthnContextClassRef Method (Metoda AuthnContextClassRef) wprowadź wartość http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password.

    d. W obszarze Create an AuthnContextClass (Utwórz klasę AuthnContextClass) przełącz ją na wyłączone (niezaznaczone).

  9. W obszarze Additional Service Provider Properties (Dodatkowe właściwości dostawcy usług) wykonaj następujące kroki:

    Screenshot of Add New Identity Provider dialog box, with various properties highlighted

    a. W polu Strona główna usługi ServiceNow wprowadź adres URL strony głównej wystąpienia usługi ServiceNow.

    Uwaga

    Strona główna wystąpienia usługi ServiceNow składa się z adresu URL Twojej dzierżawy ServiceNow i ciągu /navpage.do (na przykład: https://fabrikam.service-now.com/navpage.do).

    b. W polu Identyfikator jednostki/Wystawca wprowadź adres URL dzierżawy usługi ServiceNow.

    c. W polu Identyfikator URI odbiorców wprowadź adres URL dzierżawy usługi ServiceNow.

    d. W polu Niesymetryczność zegara wprowadź wartość 60.

    e. W polu Pole użytkownika wprowadź adres e-mail.

    Uwaga

    Możesz skonfigurować identyfikator entra firmy Microsoft w celu emitowania identyfikatora użytkownika Entra firmy Microsoft (głównej nazwy użytkownika) lub adresu e-mail jako unikatowego identyfikatora w tokenie SAML. W tym celu przejdź do sekcji Logowanie jednokrotne atrybutów>usługi ServiceNow>w witrynie Azure Portal i zamapuj żądane pole na atrybut nameidentifier. Wartość przechowywana dla wybranego atrybutu w identyfikatorze Entra firmy Microsoft (na przykład główna nazwa użytkownika) musi być zgodna z wartością przechowywaną w usłudze ServiceNow dla wprowadzonego pola (na przykład user_name).

    f. Wybierz pozycję Zapisz.

Testowanie logowania jednokrotnego

Po wybraniu kafelka ServiceNow w Panel dostępu powinno nastąpić automatyczne zalogowanie do usługi ServiceNow, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat panelu dostępu, zobacz Introduction to the Access Panel (Wprowadzenie do panelu dostępu).

Testowanie logowania jednokrotnego dla agenta usługi ServiceNow (mobile)

  1. Otwórz aplikację ServiceNow Agent (Mobile) i wykonaj następujące kroki:

    b. Wprowadź adres wystąpienia usługi ServiceNow, pseudonim i wybierz pozycję Zapisz i zaloguj się.

    Screenshot of Add Instance page, with Continue highlighted

    c. Na stronie Logowanie wykonaj następujące kroki:

    Screenshot of Log in page, with Use external login highlighted

    • Wprowadź nazwę użytkownika, na przykład B.simon@contoso.com.

    • Wybierz pozycję Użyj logowania zewnętrznego. Nastąpi przekierowanie do strony Microsoft Entra ID na potrzeby logowania.

    • Wprowadź poświadczenia. Jeśli istnieje jakiekolwiek uwierzytelnianie innych firm lub jakakolwiek inna funkcja zabezpieczeń jest włączona, użytkownik musi odpowiednio odpowiedzieć. Zostanie wyświetlona strona główna aplikacji.

      Screenshot of the application home page

Następne kroki

Po skonfigurowaniu usługi ServiceNow możesz wymusić kontrole sesji, które chronią eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrolki sesji rozszerzają dostęp warunkowy. Dowiedz się, jak wymusić kontrolę sesji za pomocą Microsoft Defender dla Chmury Apps.