Single Sign-on (SSO) 用の OpenID Connect (OIDC) 構成の作成

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む9読むのに数分

    • Multi-Provider SSO プラグインを使用して、OpenID Connect (OIDC) 構成を作成または更新します。

    始める前に

    Single Sign-on (SSO) 用の OpenID Connect (OIDC) 構成

    ID プロバイダーのクライアント ID、クライアントシークレット、および既知の構成 URL がある場合は、SSO の OIDC 構成を直接インポートできます。

    注:
    Domain Separation プラグインがインストールされている場合、OIDC IdP を使用したログインオプションはサポートされません。

    ID プロバイダーに関する必要な情報がない場合は、手動で SSO 用に OIDC を設定できます。構成が完了すると、ユーザーは Google Okta などのサードパーティのソーシャル ID プロバイダーを使用して ServiceNow アプリケーションにログインできます。

    手順

    1. 移動先 すべて > マルチプロバイダー SSO > ID プロバイダー.
    2. 次のいずれかのオプションを選択します。
      • 既存の構成を更新するには、OIDC ID プロバイダーレコードをクリックします。
      • 新しい構成を作成するには、[新規] をクリックし、[OpenID Connect] を選択します。
    3. 新しい構成の場合は、次のいずれかの方法で OIDC 構成情報を入力します。
      オプション説明
      OpenID Connect の既知の構成をインポート 関連するクライアント資格情報とともに既知の構成 URL がある場合は、OIDC 構成を直接インポートできます。
      注:
      OIDC の既知の構成をインポートすると、関連するすべてのフィールドが自動入力されます。
      OIDC ID プロバイダーフォームの手動構成 既存の OAuth OIDC エンティティがない場合は、[OpenID Connect の既知の構成をインポート] ポップアップを閉じて、[OIDC ID プロバイダー] フォームのフィールドに手動で入力します。
      表 : 1. [OpenID Connect の既知の構成をインポート] のフィールド
      プロパティ 説明
      名前 OIDC ID プロバイダー構成の一意の名前。
      クライアント ID サードパーティの OIDC ID プロバイダーに登録されているアプリケーションのクライアント ID。
      クライアントシークレット サードパーティの OIDC ID プロバイダーに登録されているアプリケーションのクライアントシークレット。
      既知の設定 URL サードパーティ OIDC ID プロバイダーに関するメタデータを含む URL。

      [OIDC ID プロバイダー] フォームのすべての必須フィールドに入力する必要があります。

      OIDC ID プロバイダーフォームに手動で入力する前に、OIDC IdP の OAuth エンティティプロファイルがあることを確認してください。

      OAuth エンティティプロファイルがない場合は、Okta、Azure などのデフォルトの外部 OIDC プロバイダーテンプレートを使用して作成できます。

      OAuth エンティティプロファイルの権限許可タイプには、認証コードが入っている必要があります。詳細については、「Now Platform で OAuth OIDC プロバイダーを構成する (Configure an OAuth OIDC provider on the Now Platform)」を参照してください。

      注:
      Multiple Provider Single Sign-On Installer プラグインのデモデータでは、サードパーティの ID プロバイダーである Auth0、Azure AD、Google、および Okta のテンプレートを使用できます。
      表 : 2. OIDC ID プロバイダーのフィールド
      プロパティ 説明
      名前 OIDC ID プロバイダーレコードの名前
      有効 OIDC IdP 構成をアクティブにするオプション
      注:
      このオプションは、テスト接続が成功した後にのみアクティブに設定できます。
      デフォルト OIDC 構成が複数ある場合に、OIDC IdP 構成をデフォルトとして設定するオプション
      自動リダイレクト IdP ID プロバイダーのログインページへユーザーを自動リダイレクトできるようにするオプション。このフィールドは、[自動リダイレクト IdP として設定] オプションが [関連リンク] セクションで設定されている場合に表示されます。
      注:
      新しい自動リダイレクト IdP 構成をアクティブにすると、glide_sso_id cookie が新しい自動リダイレクト IdP で自動的に更新されます。glide.authenticate.sso.update.idp.cookie システムプロパティは、この機能を制御します。
      OIDC エンティティプロファイル OIDC 構成の OAuth エンティティプロファイル。
      ServiceNow のホームページ 認証に使用されるログイン ページの URL。このフィールドは、自動的にインスタンス URL に設定されます。URL の形式は https://yourinstance.service-now.com/navpage.do です。
      外部のログアウトのリダイレクト ログアウト後に統合によりリダイレクトされる URL。通常は、SSO に使用されるポータルです。このフィールドは自動的に external_logout_complete.do に設定されます (例:https://yourinstance.service-now.com/external_logout_complete.do)。
      ログインオプションとして表示 OIDC IdP をログインページのログインオプションとして表示するオプション。ログインオプションは 、[ID プロバイダーでログイン (login with Identity provider)] ボタンとして表示されます。
      SSO ラベル ログインページに表示される OIDC IdP のラベル。このフィールドは、[ログインオプションとして表示] が有効になっている場合にのみ表示されます。
      ロゴ URL OIDC IdP プロバイダーのロゴを含む公開 URL。このフィールドは、[ログインオプションとして表示] が有効になっている場合にのみ表示されます。
    4. オプション: [ユーザープロビジョニング] タブ > [ユーザープロビジョニング] タブで自動ユーザープロビジョニングを有効にします。

      ユーザーのログイン時に自動ユーザープロビジョニングを有効にするよう選択できます。自動ユーザープロビジョニングが有効になっている場合、ユーザーレコードが存在しなければ ServiceNow インスタンスに自動的に作成されます。

      表 : 3. [ユーザープロビジョニング] のフィールド
      プロパティ 説明
      ユーザーを自動プロビジョニング 自動ユーザープロビジョニングを有効にするオプション。このプロパティにより、ユーザーが IdP に存在するがユーザーテーブルに存在しない場合に、インスタンスユーザー (sys_user) テーブルにユーザーが作成されます。
      プロビジョニングに使用 ID トークンユーザー情報エンドポイント、または ID トークンとユーザー情報の両方を ServiceNow ユーザーに変換するために使用するデータソース。ルックアップリストを使用して、事前定義されたデータソーステンプレートを選択し、レコードを開いて変換テーブルのマッピングを構成します。
      データソースをプロビジョニング ユーザーのプロビジョニングに使用される ID トークンデータソース。
      ユーザー情報データソース ユーザープロビジョニングに使用されるユーザー情報エンドポイントデータソース。このフィールドは、[プロビジョニングに使用] フィールドで [ユーザー情報] または [ID トークンとユーザー情報の両方 (Both ID Token and User Info)] が選択されている場合に表示されます。
      次回のログイン時にユーザーを更新 次回のログイン時にユーザーを更新できるようにするオプション。
      ユーザー更新の時間間隔 (秒) 後続のログインの間にユーザーレコードを更新するための最小時間間隔 (秒)。このフィールドは自動的に 3,600 秒に設定されます。たとえば、ユーザーがログインした後、次のログインまで 3,600 秒後にユーザーレコードが更新されます。このフィールドは、 [次回のログイン時にユーザーを更新] フィールドが有効になっている場合にのみ使用できます。
      プロビジョニングされたユーザーに適用されるユーザーロール 新しくプロビジョニングされたユーザーに適用されるロールのリスト。
    5. [OIDC エンティティ] タブ
      エンティティレコードを使用して、OIDC クライアント構成と OIDC 接続フローを表示および変更できます。
    6. [OIDC プロバイダー構成] タブ
      OIDC IdP または ID トークン要求検証の既知の構成 URL を表示および変更できます。
    7. オプション: [詳細] タブ

      Single Sign-on およびログアウト時に実行されるスクリプト

      表 : 4. [詳細] フィールド
      プロパティ 説明
      Single Sign-on スクリプト Single Sign-on 中に実行されるスクリプト。このフィールドは自動的に MultiSSO_OIDC_custom に設定されます。
      ログアウトスクリプト ユーザーがログアウトした後に実行されるスクリプト。このフィールドは自動的に MultiSSO_OIDC_logout_custom に設定されます。
    8. オプション: [電子署名の承認 (eSignature Approval)] タブで、OIDC IDp の電子署名を構成します。
      注:
      [電子署名の承認 (eSignature Approval)] タブは、 Approval with e-Signature プラグイン (com.glide.e_signature_approvals) をインストールした場合にのみ表示されます。
      表 : 5. [電子署名の承認 (eSignature Approval)] フィールド
      プロパティ 説明
      eSignature 認証用の Assertion Consumer URL eSignature の OIDC 認証を処理する方法をカスタマイズして使用する場合は、独自のコンシューマー URL を設定できます。たとえば、マルチプロバイダー SSO を使用している場合は、このプロパティを使用する必要はありません。URL の形式は https://yourinstance.service-now.com/consumer.do です。
      認証ポップアップダイアログの幅 認証ポップアップダイアログの幅。このフィールドは自動的に 800 に設定されます。
      認証ポップアップダイアログの高さ 認証ポップアップダイアログの高さ。このフィールドは自動的に 900 に設定されます。
    9. オプション: インスタンスのログインページに移動して、IdP がログインオプションとして表示されていることを確認します。
      URL は、次の形式にする必要があります。https://yourinstance/login_with_sso.do?glide_sso_id=sysId_IdP
      注:
      [ログインオプションとして選択 (Selected as login Option)] を有効にしている場合は、インスタンスのログイン URL に移動できます。
      ログインページにある複数の OIDC ID プロバイダー。