いきなり上級編に行くようですが・・・
こちらのチュートリアルをやってみる中で、調べた内容のメモです。
すんなり行くところは割愛します。
AADのエンタープライズ アプリケーションとして、ServiceNowを追加する。
AADにユーザを追加する。
ここまではOKです。
次に、ServiceNowエンタープライズ アプリケーションの設定として、シングルサインオンの構成をします。
チュートリアルの、「基本的な SAML 構成」のところですが、サインオンURLを入力する、となっています。
日本語表示だと崩れているので、英語表示にすると、こういうURLを入力する、と書かれています。
https://<instance-name>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id of the sso configuration>
instance-nameの方は自分が使っているServiceNowのURLを見れば分かりますが、sys_idは、後ろに出てくる「ServiceNow の構成」セクションのstep 5.d.iiiを見てくれ、とのことなので、先に、ServiceNow側で、「Integration - Multiple Provider Single Sign-On Installer」プラグインの有効化と、その設定として、「Multiple Provider SSO」を有効化しないといけません。
プラグイン有効化は、10分くらいかかったと思いますが、無事完了しました。
そしてプロパティ画面を開くわけですが、その画面は、このように表示されました。有効化のチェックボックスが押せません。
先に「SSO Account Recovery (ACR) 」を有効にしないといけないそうです。
で、そちらのページに行きます。
このまま保存してみるとこんな感じ。
素直にStep2に行ってみます。
TOTPアプリが必要なのか・・・Microsoft Authenticatorは仕事で使っていて、何か影響すると嫌なので、新たにGoogleのを入れてみます。
保存したらエラーメッセージは表示されますが、有効にはなったようで、改めて、「Multiple Provider SSO Properties」画面に行くと、今度はチェックボックスが有効になっていますので、チェックして保存。
正常に更新されました、と出ますが、更新されていません。
4つのエラーは、画面の4つの項目に対応しているので、このページの設定は許可されていない、ということのようです。お試しインスタンスでは使えない??皆さんできているようなので、そういうことでもなさそう。
そして、仮にこれ(「ServiceNow の構成」セクションのstep4)がうまく行ったとして、目的であるstep5では、まずAzure側で自動構成をしようとします。
しかし、自動構成をするには、「基本的な SAML 構成」をしておかないといけないのです。
・・・むぅ
ここで、こちらのお助けを借りる
https://.service-now.com/navpage.do
を指定しておけば良いのか。
これを入れておくと、自動構成もできる。その結果、ServiceNow側でもID プロバイダーが自動で作成されており、そのsys_idもコピーできる。
そこで改めて、Azure側の「基本的な SAML 構成」で、
https://<instance-name>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id of the sso configuration>
を登録し直す。
チュートリアルの、「ServiceNow の構成」セクションのstep 5.d.iiiは、aとcで同じ欄に別の内容を入力させようとしているし、ちょっといまいち(英語表示でも確認してみましたが、そんな気がします)。
シングル サインオン スクリプトは最初から「MultiSSOv2_SAML2_custom」になっていたし、証明書も登録されていたので、いざテスト接続。
Azureのログイン画面が表示されたので、B.Simon@・・・.onmicrosoft.comでログインしようとすると、パスワード変更を求められたので、変更。しかし、いつもの、ServiceNowのログイン画面に飛んでしまったので、うまくいってないですね。
結局上記の四つのエラーのせいでしょう。
そもそも、glide.authenticateというプロパティが作成されていない気がしてきました。
すみません、2日間問題解消しないので一旦終了・・・
(2022.2.11追記)
エラーになる原因が分かりました!
右上の歯車から開く設定画面で、アプリケーションの指定があります。
これが、ChangeManagement・・・になっていたのですが、これをGlobalに変更することにより設定が保存されました。
では、改めて、テスト接続。
Identity Providers から、Microsoft Azure Federated Single Sign-on for ・・・ を指定。
右上の、テスト接続。
Azureのログイン画面で、B.Simon@・・・.onmicrosoft.comでログインすると、ServiceNowにもログインできました!
System Administrator でログインされたのは良いのかな??