SAML/SSO カスタム URL インストール用の SP メタデータの生成

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:3分

    • SAML または SSO のインストールでは、カスタム URL インスタンスが生成される前に、IdP に対して生成された SP メタデータが必要です。

    始める前に

    必要なロール:admin
    IdP には、要求を認証して転送するために、インスタンスの SP メタデータが必要です。
    注:
    Assertion Consumer Service URL (SP ログイン URL) の追加は、IdP (Azure、ADFS、または Okta) ごとに異なる場合があります。

    手順

    1. インストールされている SSO プラグインを選択します。
      オプション説明
      複数プロバイダー SSO 移動先 複数プロバイダー SSO > ID プロバイダー. IdP を選択し、[メタデータを生成] ボタンをクリックします。統合により、システムプロパティ設定からインスタンスの SP メタデータが自動的に生成されます。
      SAML 2 SSO 移動先 SAML 2 シングルサインオン > メタデータ. 統合により、システムプロパティ設定からインスタンスの SP メタデータが自動的に生成されます。
    2. テキストボックスに SP メタデータをコピーします。

      例:

      <EntityDescriptor xmlns="urn:oasis:names:tc:SAML:2.0:metadata" entityID="https://yourinstance.service-now.com">
 	<SPSSODescriptor AuthnRequestsSigned="false" WantAssertionsSigned="true" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
		<SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://yourinstance.service-now.com/navpage.do" />
		<NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</NameIDFormat>
		<AssertionConsumerService isDefault="true" index="0" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yourinstance.service-now.com/navpage.do" />
		<AssertionConsumerService index="1" Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://yourinstance.service-now.com/consumer.do"/>
	</SPSSODescriptor>
</EntityDescriptor>
    3. インスタンス SP メタデータを IdP に提供します。
      たとえば、SSOCircle を使用すると、ユーザーは SP メタデータをオンラインで提供できます。
    4. オプション: Azure でカスタム URL を設定するには:
      1. [アプリの登録] に移動します。
      2. メニューから [すべてのアプリ] を選択します。
      3. [ServiceNow アプリ] を選択します。
      4. [設定] をクリックして URL を構成します。
    5. オプション: Okta でカスタム URL を設定するには:
      1. 2 つの ServiceNow UD Okta アプリケーションを作成します。
      2. 「service-now.com」インスタンス URL 用の 1 つの Okta アプリケーション。
      3. カスタム URL 用の 1 つの Okta アプリケーション。
        注:
        • テスト接続を正常に実行するには、Okta 構成内で [強制認証の無効化 (Disable Force Authentication)] を無効にします。
        • ベース URL に関連付けられた ID プロバイダーレコードをテストしている場合は、ベース URL を使用してインスタンスにログインする必要があります。
        • カスタム URL に関連付けられた ID プロバイダーをテストしている場合は、カスタム URL を使用してインスタンスにログインする必要があります。
    6. オプション: OAuth 認証を使用するには、外部クライアントアプリケーションの OAuth アプリケーションエンドポイント構成で、登録されたすべてのカスタム URL としてリダイレクト URL を設定します。
      リダイレクト URL は、認証サーバーがリダイレクトするコールバック URL と同義です。
    7. オプション: Google reCAPTCHA サービスを使用するには、API キーペアを設定します