複数プロバイダーのシングルサインオン (SSO)
外部 SSO を使用すると、組織内で複数の SSO ID プロバイダー (IdP) を使用して認証を管理し、同時にローカルデータベース (基本) 認証も保持できます。
複数プロバイダーのシングルサインオン (SSO) は、ユーザーが 1 回のログインと 1 セットの認証情報で複数のアプリケーションにアクセスできるようにするための認証方法です。
SSO を使用するには、次のことを理解する必要があります。
- Service Providers: ServiceNow インスタンスにアクセスしようとするユーザーが、検証の成功後に認証情報を検証するために ID プロバイダー (IdP) にリダイレクトされると、ユーザーはインスタンスへのアクセスを許可されます。ここでは、 ServiceNow はサービスプロバイダーとして機能し、ID プロバイダー (IdP) に依存してユーザー認証を処理し、インスタンスへのアクセスを許可します。
- ID プロバイダー:IdP は、システムにアクセスするためのユーザーの ID と認証情報を検証する外部システムです。
SSO を確立するには、 ServiceNowにアクセスするために、マルチプロバイダーシングルサインオン (SSO) をアクティブ化し、 Integration - Multiple Provider Single Sign-On Installer (com.snc.integration.sso.multi.installer) プラグインをインストールする必要があります。詳細については、「Multi-Provider SSO プラグインのアクティブ化」を参照してください。
プラグインが正常にインストールされたら、プラグインに付属する SSO プロパティ、アクセステーブル、およびスクリプトをカスタマイズできます。詳細については、「複数プロバイダー SSO のプロパティ、テーブル、およびスクリプト」を参照してください。
- OpenID Connect
- SAML 2.0
- ダイジェスト認証 (トークンベースの認証)。
要件に基づいて SSO 方法を選択し、SSO を構成するための準備方法の詳細を確認してください。複数プロバイダー SSO を設定するには、プロパティの設定、ID プロバイダー (IdP) の作成、SSO を使用するユーザーの設定など、いくつかの手順を実行する必要があります。詳細については、「複数プロバイダー SSO の設定」を参照してください。
- ログインページで SAML IdP をリストする:プラットフォームとポータルの両方のログインエクスペリエンスに一覧表示されている SAML および OIDC IdP を使用してログインし、ユーザーが希望する IdP を簡単に選択できるようにします。以前は、OIDC IdP のみがリストされていました。
- 自動プロビジョニングのグループを選択:SAML と OIDC の自動プロビジョニング構成中に特定のグループを選択し、ユーザーが正しいグループに自動的に割り当てられるようにします。
- 同じ既知の URL を使用して複数の OIDC レコードを設定する:同じ既知の URL を使用して OIDC レコードを作成できるようにすることで OIDC セットアップを簡素化し、構成プロセスを簡素化します。
- 拡張 外部ログアウト完了ページ:ログイン失敗の理由をユーザーに表示する。ログアウトが成功した場合に、再度ログインして外部ログアウト完了ページで ServiceNow できるようにプロビジョニングします。
- 拡張エラーメッセージ:シングルログアウト (SLO) が失敗した場合の一般的なエラーメッセージを表示し、一貫性のある安全な通信を確保します。
- SAML 証明書と暗号化キーストアの通知の機能拡張:SAML 証明書と暗号化キーストアの更新の有効期限に関する通知をアドミニストレーターにタイムリーに受信し、SSO 構成を安全で最新の状態に保ちます。
組織にSSOが必要な理由
世界中に分散している企業では、従業員に対して 1 つの SSO プロバイダー、ベンダーに対して別のプロバイダー、アドミニストレーターに対してローカルデータベース認証が必要になる場合があります。また、同じインスタンスに SAML 2.0 とダイジェストトークン認証ソリューションを実装するような会社もあります。