Udostępnij za pośrednictwem

Integracja logowania jednokrotnego (SSO) Microsoft Entra z usługą ServiceNow

  • Artykuł

W tym artykule dowiesz się, jak zintegrować usługę ServiceNow z identyfikatorem Entra firmy Microsoft. Po zintegrowaniu usługi ServiceNow z identyfikatorem Entra firmy Microsoft można wykonywać następujące czynności:

  • Kontroluj w usłudze Microsoft Entra ID, kto ma dostęp do usługi ServiceNow.
  • Zezwalaj swoim użytkownikom na automatyczne logowanie do usługi ServiceNow przy użyciu kont Microsoft Entra.
  • Zarządzaj kontami w jednej centralnej lokalizacji: w witrynie Azure Portal.

Wymagania wstępne

W scenariuszu opisanym w tym artykule przyjęto założenie, że masz już następujące wymagania wstępne:

  • Subskrypcja aplikacji ServiceNow z obsługą logowania jednokrotnego.
  • W przypadku usługi ServiceNow instancja lub dzierżawa obsługuje wersje Calgary, Kingston, Londyn, Madryt, Nowy Jork, Orlando, Paryż i San Diego lub nowsze.
  • W przypadku usługi ServiceNow Express wystąpienie usługi ServiceNow Express, Helsinki lub nowszej wersji.
  • W instancji ServiceNow musi być włączona wtyczka Multiple Provider Single Sign On Plugin (wtyczka logowania jednokrotnego u wielu dostawców).
  • W przypadku konfiguracji automatycznej włącz wtyczkę wielu dostawców dla usługi ServiceNow.
  • Aby zainstalować aplikację ServiceNow Agent (Mobile), przejdź do odpowiedniego sklepu i wyszukaj aplikację ServiceNow Agent. Następnie pobierz go.

Uwaga

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Opis scenariusza

W tym artykule skonfigurujesz i przetestujesz SSO Microsoft Entra w środowisku testowym.

  • Usługa ServiceNow obsługuje logowanie jednokrotne inicjowane przez dostawcę usług.

  • Usługa ServiceNow obsługuje automatyczną aprowizację użytkowników.

  • Można skonfigurować aplikację ServiceNow Agent (Mobile) z użyciem Microsoft Entra ID, aby umożliwić logowanie jednokrotne. Obsługuje zarówno użytkowników systemów Android, jak i iOS. W tym artykule skonfigurujesz i przetestujesz SSO Microsoft Entra w środowisku testowym.

Aby skonfigurować integrację usługi ServiceNow z identyfikatorem Entra firmy Microsoft, należy dodać usługę ServiceNow z galerii do swojej listy zarządzanych aplikacji SaaS.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.
  2. Przejdź do Identity>Applications>Aplikacje przedsiębiorstwa>Nowa aplikacja.
  3. W sekcji Dodawanie z galerii wprowadź ciąg ServiceNow w polu wyszukiwania.
  4. Wybierz pozycję ServiceNow z panelu wyników, a następnie dodaj aplikację. Zaczekaj kilka sekund, aż aplikacja zostanie dodana do twojej dzierżawy.

Alternatywnie można również użyć Kreatora konfiguracji aplikacji dla przedsiębiorstw. W tym kreatorze możesz dodać aplikację do dzierżawy, dodać użytkowników lub grupy do aplikacji, przypisać role, jak również przeprowadzić konfigurację logowania jednokrotnego. Dowiedz się więcej o kreatorach platformy Microsoft 365.

Konfigurowanie i testowanie aplikacji Microsoft Entra SSO for ServiceNow

Skonfiguruj i przetestuj logowanie jednokrotne Microsoft Entra z ServiceNow, używając użytkownika testowego o nazwie B.Simon. Aby logowanie jednokrotne działało, należy ustanowić relację połączenia między użytkownikiem firmy Microsoft Entra i powiązanym użytkownikiem usługi ServiceNow.

Aby skonfigurować i przetestować Microsoft Entra logowanie jednokrotne (SSO) z ServiceNow, wykonaj następujące kroki:

  1. Skonfiguruj Microsoft Entra SSO, aby umożliwić użytkownikom korzystanie z tej funkcji.
    1. Utwórz testowego użytkownika Microsoft Entra, aby przetestować logowanie jednokrotne Microsoft Entra z użytkownikiem B.Simon.
    2. Przypisz użytkownika testowego Microsoft Entra, aby umożliwić B.Simon korzystanie z logowania jednokrotnego Microsoft Entra.
    3. Skonfiguruj usługę Microsoft Entra SSO for ServiceNow Express , aby umożliwić użytkownikom korzystanie z tej funkcji.
  2. Skonfiguruj usługę ServiceNow , aby skonfigurować ustawienia logowania jednokrotnego po stronie aplikacji.
    1. Utwórz użytkownika testowego usługi ServiceNow, aby mieć w usłudze ServiceNow odpowiednik użytkownika B.Simon połączony z reprezentacją użytkownika w usłudze Microsoft Entra.
    2. Skonfiguruj SSO w ServiceNow Express, aby ustawić logowanie jednokrotnego po stronie aplikacji.
  3. Przetestuj logowanie jednokrotne , aby sprawdzić, czy konfiguracja działa.
  4. Przetestuj logowanie jednokrotne dla agenta usługi ServiceNow (mobile), aby sprawdzić, czy konfiguracja działa.

Konfiguracja usługi Microsoft Entra SSO

Wykonaj następujące kroki, aby włączyć Microsoft Entra SSO.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do strony integracji aplikacji Identity>Applications>Enterprise Applications>ServiceNow, znajdź sekcję Zarządzanie. Wybierz pozycję Logowanie jednokrotne.

  3. Na stronie Wybieranie metody logowania jednokrotnego wybierz pozycję SAML.

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę pióra dla Podstawowej konfiguracji SAML, aby edytować ustawienia.

    Zrzut ekranu przedstawiający stronę Konfigurowania logowania jednokrotnego z wykorzystaniem SAML, z wyróżnioną ikoną pióra

  5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

    a. W polu Adres URL logowania wprowadź jeden z następujących wzorców adresów URL:

    Adres URL logowania
    https://<instancename>.service-now.com/navpage.do
    https://<instance-name>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id of the sso configuration>

    Uwaga

    Skopiuj wartość sys_id z sekcji konfigurowanie usługi ServiceNow, co zostało wyjaśnione w dalszej części artykułu.

    b. W polu Identyfikator (identyfikator jednostki) wprowadź adres URL, który używa następującego wzorca: https://<instance-name>.service-now.com

    c. W polu Adres URL odpowiedzi wprowadź jeden z następujących wzorców adresów URL:

    Adres URL odpowiedzi
    https://<instancename>.service-now.com/navpage.do
    https://<instancename>.service-now.com/consumer.do

    d. W polu Adres URL wylogowywania wprowadź adres URL, który używa następującego wzorca: https://<instancename>.service-now.com/navpage.do

    Uwaga

    Jeśli znak "/" zostanie dodany do wartości Identyfikatora, proszę go usunąć ręcznie.

    Uwaga

    To nie są rzeczywiste wartości. Należy zaktualizować te wartości przy użyciu rzeczywistego adresu URL logowania, adresu URL odpowiedzi, adresu URL wylogowywania i identyfikatora, co zostało wyjaśnione w dalszej części artykułu. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML, w sekcji Certyfikat podpisywania SAML, znajdź Certyfikat (Base64).

    Zrzut ekranu przedstawiający sekcję Certyfikat podpisywania SAML z podświetlonym przyciskiem Pobierz

    a. Wybierz przycisk kopiowania, aby skopiować adres URL metadanych federacji aplikacji i wklej go do Notatnika. Ten adres URL będzie używany w dalszej części artykułu.

    b. Wybierz pozycję Pobierz , aby pobrać certyfikat (Base64), a następnie zapisz plik certyfikatu na komputerze.

  7. W sekcji Konfigurowanie usługi ServiceNow skopiuj odpowiednie adresy URL na podstawie wymagań.

    Zrzut ekranu przedstawiający sekcję Konfigurowanie usługi ServiceNow z wyróżnionymi adresami URL

Tworzenie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji utworzysz użytkownika testowego o nazwie B.Simon.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator użytkowników.
  2. Przejdź do Tożsamość>Użytkownicy>Wszyscy użytkownicy.
  3. Wybierz pozycję Nowy użytkownik Utwórz nowego użytkownika> w górnej części ekranu.
  4. We właściwościach użytkownika wykonaj następujące kroki:
    1. W polu Nazwa wyświetlana wprowadź B.Simon.
    2. W polu Nazwa główna użytkownika wprowadź wartość username@companydomain.extension. Na przykład B.Simon@contoso.com.
    3. Zaznacz pole wyboru Pokaż hasło i zanotuj wartość wyświetlaną w polu Hasło.
    4. Wybierz pozycję Przejrzyj i utwórz.
  5. Wybierz pozycję Utwórz.

Przypisywanie użytkownika testowego aplikacji Microsoft Entra

W tej sekcji włączysz użytkownikowi B.Simon możliwość korzystania z logowania jednokrotnego, udzielając dostępu do usługi ServiceNow.

  1. Przejdź do Identity>Aplikacje>Aplikacje dla przedsiębiorstw.
  2. Na liście aplikacji wybierz pozycję ServiceNow.
  3. Na stronie przeglądu aplikacji znajdź sekcję Zarządzanie , a następnie wybierz pozycję Użytkownicy i grupy.
  4. Wybierz Dodaj użytkownika. W oknie dialogowym Dodawanie przypisania wybierz pozycję Użytkownicy i grupy.
  5. W oknie dialogowym Użytkownicy i grupy wybierz pozycję B.Simon z listy użytkowników, a następnie wybierz pozycję Wybierz.
  6. Jeśli oczekujesz, że rola zostanie przypisana do użytkowników, możesz wybrać ją z listy rozwijanej Wybierz rolę . Jeśli dla tej aplikacji nie skonfigurowano żadnej roli, zostanie wybrana rola "Dostęp domyślny".
  7. W oknie dialogowym Dodawanie przypisania wybierz pozycję Przypisz.

Konfiguracja usługi Microsoft Entra SSO dla ServiceNow Express

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator aplikacji w chmurze.

  2. Przejdź do Tożsamość>Aplikacje>Aplikacje przedsiębiorstwa>strony integracji aplikacji ServiceNow, wybierz logowanie jednokrotne.

    Zrzut ekranu przedstawiający stronę integracji aplikacji ServiceNow z wyróżnioną pozycją Logowanie jednokrotne

  3. W oknie dialogowym Wybierz metodę logowania jednokrotnego wybierz SAML/WS-Fed, aby włączyć logowanie jednokrotne.

    Zrzut ekranu z wyborem metody logowania jednokrotnego, z wyróżnioną metodą SAML

  4. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML wybierz ikonę pióra, aby otworzyć okno dialogowe Podstawowa konfiguracja protokołu SAML.

    Zrzut ekranu przedstawiający konfigurowanie logowania jednokrotnego ze stroną SAML z wyróżnioną ikoną pióra

  5. W sekcji Podstawowa konfiguracja protokołu SAML wykonaj następujące kroki:

    a. W polu Adres URL logowania wprowadź jeden z następujących wzorców adresów URL:

    Adres URL logowania
    https://<instance-name>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id of the sso configuration>
    https://<instancename>.service-now.com/consumer.do

    b. W polu Identyfikator (identyfikator jednostki) wprowadź adres URL, który używa następującego wzorca: https://<instance-name>.service-now.com

    c. W polu Adres URL odpowiedzi wprowadź jeden z następujących wzorców adresów URL:

    Adres URL odpowiedzi
    https://<instancename>.service-now.com/navpage.do
    https://<instancename>.service-now.com/consumer.do

    d. W polu Adres URL wylogowywania wprowadź adres URL, który używa następującego wzorca: https://<instancename>.service-now.com/navpage.do

    Uwaga

    Jeśli w wartości identyfikatora zostanie dodany znak "/", usuń go ręcznie.

    Uwaga

    To nie są rzeczywiste wartości. Należy zaktualizować te wartości przy użyciu rzeczywistego adresu URL logowania, adresu URL odpowiedzi, adresu URL wylogowywania i identyfikatora, co zostało wyjaśnione w dalszej części artykułu. Możesz również odwołać się do wzorców przedstawionych w sekcji Podstawowa konfiguracja protokołu SAML.

  6. Na stronie Konfigurowanie logowania jednokrotnego przy użyciu protokołu SAML w sekcji Certyfikat podpisywania SAML wybierz pozycję Pobierz, aby pobrać certyfikat (Base64) z określonych opcji zgodnie z wymaganiami. Zapisz go na komputerze.

    Zrzut ekranu sekcji Certyfikat podpisywania SAML z wyróżnioną opcją Pobierz

  7. Możesz skonfigurować ServiceNow do uwierzytelniania opartego na protokole SAML automatycznie za pomocą Microsoft Entra ID. Aby włączyć tę usługę, przejdź do sekcji Konfigurowanie usługi ServiceNow i wybierz pozycję Wyświetl instrukcje krok po kroku, aby otworzyć okno Konfigurowanie logowania .

  8. W formularzu Konfiguracja logowania, wprowadź nazwę wystąpienia usługi ServiceNow, nazwę użytkownika administratora oraz hasło administratora. Wybierz pozycję Konfiguruj teraz. Podana nazwa użytkownika administratora musi mieć przypisaną rolę security_admin w usłudze ServiceNow, aby to działało. W przeciwnym razie, aby ręcznie skonfigurować usługę ServiceNow do używania identyfikatora Entra firmy Microsoft jako dostawcy tożsamości SAML, wybierz pozycję Ręcznie skonfiguruj logowanie jednokrotne. Skopiuj adres URL wylogowywania, Identyfikator Microsoft Entra i adres URL logowania z sekcji Szybkie odniesienie.

    Zrzut ekranu przedstawiający formularz Konfigurowanie logowania z wyróżnioną pozycją Konfiguruj teraz

Konfigurowanie usługi ServiceNow

  1. Zaloguj się do swojej aplikacji ServiceNow jako administrator.

  2. Aktywuj wtyczkę Integracja — instalator logowania jednokrotnego wielu dostawców, wykonując następujące kroki:

    a. W okienku po lewej stronie wyszukaj sekcję Definicja systemu w polu wyszukiwania, a następnie wybierz pozycję Wtyczki.

    Zrzut ekranu przedstawiający sekcję Definicja systemu z wyróżnioną definicją systemu i wtyczkami

    b. Wyszukaj Integracja - Instalator logowania jednokrotnego wielu dostawców, a następnie zainstaluj i aktywuj go.

    Zrzut ekranu przedstawiający stronę Wtyczki systemowe z wyróżnioną pozycją Integracja — instalator logowania jednokrotnego wielu dostawców

  3. W okienku po lewej stronie wyszukaj sekcję Logowanie jednokrotne dla wielu dostawców na pasku wyszukiwania, a następnie wybierz pozycję Właściwości w obszarze Administracja.

    Zrzut ekranu sekcji Logowanie jednokrotne dla wielu dostawców, z wyróżnionym Logowaniem jednokrotnym i Właściwościami

  4. W oknie dialogowym Właściwości logowania jednokrotnego (SSO) wielu dostawców wykonaj następujące kroki:

    Zrzut ekranu przedstawiający okno dialogowe Właściwości jednokrotnego logowania dla wielu dostawców

    • Dla Włącz logowanie jednokrotne dla wielu dostawców, wybierz Tak.

    • W obszarze Włącz automatyczne importowanie użytkowników ze wszystkich dostawców tożsamości do tabeli użytkowników wybierz pozycję Tak.

    • Aby włączyć rejestrowanie debugowania dla integracji logowania jednokrotnego wielu dostawców, wybierz Tak.

    • W polu Pole w tabeli użytkownika, które..., wprowadź adres e-mail.

    • Wybierz pozycję Zapisz.

  5. Usługę ServiceNow można skonfigurować automatycznie lub ręcznie. Aby automatycznie skonfigurować usługę ServiceNow, wykonaj następujące kroki:

    1. Wróć do strony logowania jednokrotnego usługi ServiceNow .

    2. Usługa Konfigurowania jednym kliknięciem jest udostępniana dla usługi ServiceNow. Aby włączyć tę usługę, przejdź do sekcji Konfiguracja usługi ServiceNow i wybierz pozycję Konfiguruj usługę ServiceNow, aby otworzyć okno Konfigurowanie logowania.

      Zrzut ekranu przedstawiający konfigurowanie usługi ServiceNow z wyróżnionymi instrukcjami krok po kroku

    3. W formularzu Konfigurowanie logowania wpisz nazwę instancji ServiceNow, nazwę administratora i jego hasło. Wybierz pozycję Konfiguruj teraz. Podana nazwa użytkownika administratora musi mieć przypisaną rolę administratora zabezpieczeń w usłudze ServiceNow, aby to działało. W przeciwnym razie, aby ręcznie skonfigurować usługę ServiceNow do używania identyfikatora Entra firmy Microsoft jako dostawcy tożsamości SAML, wybierz pozycję Ręcznie skonfiguruj logowanie jednokrotne. Skopiuj adres URL wylogowania, identyfikator jednostki SAML i adres URL usługi logowania jednokrotnego SAML z sekcji Szybki przewodnik.

      Zrzut ekranu przedstawiający formularz Konfigurowanie logowania z wyróżnioną pozycją Konfiguruj teraz

    4. Zaloguj się do swojej aplikacji ServiceNow jako administrator.

      • W konfiguracji automatycznej wszystkie niezbędne ustawienia są konfigurowane po stronie usługi ServiceNow , ale certyfikat X.509 nie jest domyślnie włączony i nadaje wartość skryptu logowania jednokrotnego jako MultiSSOv2_SAML2_custom. Musisz ręcznie przypisać go do dostawcy tożsamości w usłudze ServiceNow. Wykonaj te kroki:

        1. W lewym panelu wyszukaj sekcję Logowanie jednokrotne dla wielu dostawców z sekcji wyszukiwania, a następnie wybierz Dostawcy tożsamości.

          Zrzut ekranu sekcji SSO dla wielu dostawców z wyróżnionymi Dostawcami tożsamości

        2. Wybierz automatycznie wygenerowanego dostawcę tożsamości.

          Zrzut ekranu przedstawiający dostawców tożsamości, z automatycznie wygenerowanym dostawcą tożsamości

        3. W sekcji Identity Provider (Dostawca tożsamości) wykonaj następujące kroki:

          Zrzut ekranu przedstawiający sekcję Dostawca tożsamości

          a. Kliknij prawym przyciskiem myszy szary pasek w górnej części ekranu, a następnie kliknij pozycję Kopiuj sys_id i użyj tej wartości do adresu URL logowania w sekcji Podstawowa konfiguracja protokołu SAML.

          b. W polu Nazwa wprowadź nazwę konfiguracji (na przykład logowanie jednokrotne usługi Microsoft Azure Federated).

          c. Skopiuj wartość ServiceNow Homepage (Strona główna usługi ServiceNow) i wklej ją w polu Adres URL logowania w sekcji ServiceNow Basic SAML Configuration (Podstawowa konfiguracja protokołu SAML usługi ServiceNow).

          Uwaga

          Strona główna wystąpienia usługi ServiceNow stanowi połączenie adresu URL dzierżawy ServiceNow i ciągu /navpage.do (na przykład: https://fabrikam.service-now.com/navpage.do).

          d. Skopiuj wartość Entity ID / Issuer i wklej ją w Identifier w sekcji ServiceNow Basic SAML Configuration (Podstawowa konfiguracja protokołu SAML usługi ServiceNow).

          e. Upewnij się, że zasada NameID jest ustawiona na urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified wartość.

          f. Kliknij Zaawansowane i nadaj wartość dla Skryptu logowania jednokrotnego jako MultiSSOv2_SAML2_custom.

        4. Przewiń w dół do sekcji Certyfikat X.509 i wybierz pozycję Edytuj.

          Zrzut ekranu przedstawiający sekcję Certyfikat X.509 z wyróżnioną pozycją Edytowanie

        5. Wybierz certyfikat i wybierz ikonę strzałki w prawo, aby dodać certyfikat

          Zrzut ekranu kolekcji z wyróżnioną ikoną certyfikatu i strzałką w prawo

        6. Wybierz pozycję Zapisz.

        7. W prawym górnym rogu strony wybierz pozycję Testuj połączenie.

          Zrzut ekranu przedstawiający stronę z wyróżnioną pozycją Testuj połączenie

          Uwaga

          Jeśli połączenie testowe kończy się niepowodzeniem i nie możesz aktywować tego połączenia, usługa ServiceNow oferuje przełącznik zastąpienia. Musisz wprowadzić Sys_properties.LIST w Nawigacja wyszukiwania, a to otworzy nową stronę Właściwości systemu. W tym miejscu należy utworzyć nową właściwość o nazwie glide.authenticate.multisso.test.connection.mandatory z typem danych jako True/False, a następnie ustawić wartość jako False.

          Zrzut ekranu przedstawiający stronę Testuj połączenie

        8. Gdy zostaniesz poproszony o podanie poświadczeń, wprowadź je. Zostanie wyświetlona następująca strona. Oczekiwano błędu wyników testu wylogowania SSO. Ignoruj błąd i wybierz pozycję Aktywuj.

          Zrzut ekranu przedstawiający stronę poświadczeń

  6. Aby ręcznie skonfigurować usługę ServiceNow , wykonaj następujące kroki:

    1. Zaloguj się do swojej aplikacji ServiceNow jako administrator.

    2. W okienku po lewej stronie wybierz pozycję Dostawcy tożsamości.

      Zrzut ekranu przedstawiający SSO dla wielu dostawców, z wyróżnionymi Dostawcami tożsamości

    3. W oknie dialogowym Dostawcy tożsamości, wybierz pozycję Nowy.

      Zrzut ekranu przedstawiający okno dialogowe Dostawcy tożsamości z wyróżnioną pozycją Nowy

    4. W oknie dialogowym Dostawcy tożsamości wybierz pozycję SAML.

      Zrzut ekranu przedstawiający okno dialogowe Dostawcy tożsamości z podświetleniem SAML

    5. W Importowanie metadanych dostawcy tożsamości wykonaj następujące kroki:

      Zrzut ekranu przedstawiający importowanie metadanych dostawcy tożsamości z wyróżnionym adresem URL i importem

      1. Wprowadź skopiowany adres URL metadanych federacji aplikacji.

      2. Wybierz Importuj.

    6. Odczytuje adres URL metadanych IdP i wypełnia wszystkie pola informacjami.

      Zrzut ekranu przedstawiający dostawcę tożsamości

      a. Kliknij prawym przyciskiem myszy szary pasek w górnej części ekranu, a następnie kliknij pozycję Kopiuj sys_id i użyj tej wartości do adresu URL logowania w sekcji Podstawowa konfiguracja protokołu SAML.

      b. W polu Nazwa wprowadź nazwę konfiguracji (na przykład logowanie jednokrotne usługi Microsoft Azure Federated).

      c. Skopiuj wartość Strona główna ServiceNow. Wklej go w polu Adres URL logowania w sekcji Podstawowa konfiguracja protokołu SAML w usłudze ServiceNow.

      Uwaga

      Strona główna wystąpienia usługi ServiceNow składa się z adresu URL Twojej dzierżawy ServiceNow i ciągu /navpage.do (na przykład:https://fabrikam.service-now.com/navpage.do).

      d. Skopiuj wartość Identyfikatora jednostki/Wystawcy. Wklej to w Identyfikator w sekcji Podstawowa konfiguracja SAML dla ServiceNow.

      e. Upewnij się, że NameID Policy jest ustawione na wartość urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified.

      f. Wybierz opcję Zaawansowane. W polu Użytkownik wprowadź adres e-mail.

      Uwaga

      Możesz skonfigurować identyfikator entra firmy Microsoft w celu emitowania identyfikatora użytkownika Entra firmy Microsoft (głównej nazwy użytkownika) lub adresu e-mail jako unikatowego identyfikatora w tokenie SAML. W tym celu przejdź do sekcji Atrybutylogowania jednokrotnego w portalu Azure i zamapuj żądane pole na atrybut nameidentifier. Wartość przechowywana dla wybranego atrybutu w identyfikatorze Entra firmy Microsoft (na przykład główna nazwa użytkownika) musi być zgodna z wartością przechowywaną w usłudze ServiceNow dla wprowadzonego pola (na przykład user_name).

      g. Wybierz pozycję Testuj połączenie w prawym górnym rogu strony.

      Uwaga

      Jeśli połączenie testowe kończy się niepowodzeniem i nie możesz aktywować tego połączenia, usługa ServiceNow oferuje przełącznik zastąpienia. Musisz wprowadzić Sys_properties.LIST w Nawigacji Wyszukiwania, a to otworzy nową stronę Właściwości systemu. W tym miejscu należy utworzyć nową właściwość o nazwie glide.authenticate.multisso.test.connection.mandatory z typem danych jako True/False, a następnie ustawić wartość jako False.

      Zrzut ekranu przedstawiający testowanie połączenia

      h. Po prośbie o podanie poświadczeń wprowadź je. Zostanie wyświetlona następująca strona. Oczekiwano błędu testu wylogowania SSO. Ignoruj błąd i wybierz pozycję Aktywuj.

      poświadczenia

Tworzenie użytkownika testowego usługi ServiceNow

Celem tej sekcji jest utworzenie użytkownika O nazwie B.Simon w usłudze ServiceNow. Usługa ServiceNow obsługuje automatyczną aprowizację użytkowników, która jest domyślnie włączona.

Uwaga

Jeśli musisz ręcznie utworzyć użytkownika, skontaktuj się z zespołem pomocy technicznej klienta usługi ServiceNow.

Konfigurowanie logowania jednokrotnego usługi ServiceNow Express

  1. Zaloguj się do swojej aplikacji ServiceNow Express jako administrator.

  2. W okienku po lewej stronie wybierz pozycję Logowanie jednokrotne.

    Zrzut ekranu aplikacji ServiceNow Express z wyróżnioną pozycją Logowanie jednokrotne

  3. W oknie dialogowym Logowanie jednokrotne wybierz ikonę konfiguracji w prawym górnym rogu i ustaw następujące właściwości:

    Zrzut ekranu przedstawiający okno dialogowe logowanie jednokrotne

    a. Przestaw przełącznik Enable multiple provider SSO (Włącz logowanie jednokrotne u wielu dostawców) w prawo.

    b. Przestaw przełącznik Włącz rejestrowanie debugowania dla integracji jednokrotnego logowania z wieloma dostawcami w prawo.

    c. W polu w tabeli użytkownika... wprowadź user_name.

  4. W oknie dialogowym Logowanie jednokrotne wybierz pozycję Dodaj nowy certyfikat.

    Zrzut ekranu przedstawiający okno dialogowe Logowanie jednokrotne z wyróżnioną pozycją Dodaj nowy certyfikat

  5. W oknie dialogowym X.509 Certyfikaty wykonaj następujące kroki:

    Zrzut ekranu przedstawiający okno dialogowe Certyfikaty X.509

    a. W polu Nazwa wprowadź nazwę konfiguracji (na przykład : TestSAML2.0).

    b. Wybierz pozycję Active (Aktywne).

    c. W polu Format wybierz pozycję PEM.

    d. W polu Typ wybierz pozycję Certyfikat Magazynu Zaufania.

    e. Base64 Otwórz zakodowany certyfikat pobrany z witryny Azure Portal w Notatniku. Skopiuj jej zawartość do schowka, a następnie wklej ją w polu tekstowym 'Certyfikat PEM'.

    f. Wybierz pozycję Aktualizuj

  6. W oknie dialogowym Logowanie jednokrotne wybierz pozycję Dodaj nowy IdP.

    Zrzut ekranu okna dialogowego Single Sign-On z wyróżnioną opcją Dodaj nowy IdP

  7. W oknie dialogowym Dodaj nowego dostawcę tożsamości w obszarze Konfiguruj dostawcę tożsamości wykonaj następujące kroki:

    Zrzut ekranu przedstawiający okno dialogowe Dodawanie nowego dostawcy tożsamości

    a. W polu Nazwa wprowadź nazwę konfiguracji (na przykład SAML 2.0).

    b. W polu Identity Provider URL wklej wartość skopiowanego identyfikatora dostawcy tożsamości.

    c. W polu AuthnRequest dostawcy tożsamości wklej wartość skopiowanego adresu URL żądania uwierzytelniania.

    d. W polu SingleLogoutRequest dostawcy tożsamości wklej wartość adresu URL wylogowania, który skopiowałeś.

    e. W polu Identity Provider Certificate (Certyfikat dostawcy tożsamości) wybierz certyfikat utworzony w poprzednim kroku.

  8. Wybierz pozycję Ustawienia zaawansowane. W obszarze Dodatkowe właściwości dostawcy tożsamości wykonaj następujące kroki:

    Zrzut ekranu przedstawiający okno dialogowe Dodawanie nowego dostawcy tożsamości, z wyróżnionymi ustawieniami zaawansowanymi

    a. W polu Powiązanie protokołu dla SingleLogoutRequest IDP wprowadź urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect.

    b. W polu NameID Policy wprowadź urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified.

    c. W polu AuthnContextClassRef Method wprowadź http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password.

    d. W obszarze Create an AuthnContextClass (Utwórz klasę AuthnContextClass) przełącz ją na wyłączone (niezaznaczone).

  9. W obszarze Additional Service Provider Properties (Dodatkowe właściwości dostawcy usług) wykonaj następujące kroki:

    Zrzut ekranu przedstawiający okno dialogowe Dodaj nowego dostawcę tożsamości z wyróżnionymi różnymi właściwościami

    a. W polu Strona główna usługi ServiceNow wprowadź adres URL strony głównej wystąpienia usługi ServiceNow.

    Uwaga

    Strona główna instancji usługi ServiceNow jest złożona z adresu URL Twojej dzierżawy ServiceNow i ciągu /navpage.do (na przykład: https://fabrikam.service-now.com/navpage.do).

    b. W polu Identyfikator jednostki/Wystawca wprowadź adres URL dzierżawcy usługi ServiceNow.

    c. W polu URI odbiorców wprowadź adres URL swojej instancji ServiceNow.

    d. W polu Niesymetryczność zegara wprowadź wartość 60.

    e. W polu Pole użytkownika wprowadź adres e-mail.

    Uwaga

    Możesz skonfigurować identyfikator entra firmy Microsoft w celu emitowania identyfikatora użytkownika Entra firmy Microsoft (głównej nazwy użytkownika) lub adresu e-mail jako unikatowego identyfikatora w tokenie SAML. Aby to zrobić, przejdź do sekcji ServiceNow>Atrybuty>Logowanie jednokrotne w portalu Azure i zamapuj żądane pole na atrybut nameidentifier. Wartość przechowywana dla wybranego atrybutu w identyfikatorze Entra firmy Microsoft (na przykład główna nazwa użytkownika) musi być zgodna z wartością przechowywaną w usłudze ServiceNow dla wprowadzonego pola (na przykład user_name).

    f. Wybierz pozycję Zapisz.

Testowanie logowania jednokrotnego

Po wybraniu kafelka ServiceNow w Panelu dostępu powinieneś zostać automatycznie zalogowany do tej usługi, dla której skonfigurowano logowanie jednokrotne. Aby uzyskać więcej informacji na temat panelu dostępu, zobacz Introduction to the Access Panel (Wprowadzenie do panelu dostępu).

Testowanie jednokrotnego logowania dla aplikacji mobilnej ServiceNow Agent

  1. Otwórz aplikację ServiceNow Agent (Mobile) i wykonaj następujące kroki:

    b. Wprowadź adres instancji ServiceNow, pseudonim, a następnie wybierz Zapisz i zaloguj się.

    Zrzut ekranu strony Dodawanie wystąpienia z zaznaczonym przyciskiem Kontynuuj

    c. Na stronie Logowanie wykonaj następujące kroki:

    Zrzut ekranu przedstawiający stronę Logowanie z wyróżnioną pozycją Użyj logowania zewnętrznego

    • Wprowadź nazwę użytkownika, na przykład B.simon@contoso.com.

    • Wybierz pozycję Użyj logowania zewnętrznego. Nastąpi przekierowanie do strony Microsoft Entra ID na potrzeby logowania.

    • Wprowadź swoje dane logowania. Jeśli istnieje jakiekolwiek uwierzytelnianie innych firm lub jakakolwiek inna funkcja zabezpieczeń jest włączona, użytkownik musi odpowiednio odpowiedzieć. Zostanie wyświetlona strona główna aplikacji.

      Zrzut ekranu przedstawiający stronę główną aplikacji

Powiązana zawartość

Po skonfigurowaniu usługi ServiceNow możesz wymusić kontrole sesji, które chronią eksfiltrację i infiltrację poufnych danych organizacji w czasie rzeczywistym. Kontrole sesji rozszerzają zakres dostępu warunkowego. Dowiedz się, jak egzekwować kontrolę sesji za pomocą Microsoft Defender for Cloud Apps.