2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

[ServiceNow] SAML SSOしたとき自動でユーザーレコードの作成/更新をする (SAML User Provisioning)

Last updated at Posted at 2022-08-22

以下の記事でServiceNowにおけるSAML連携の設定方法を紹介しました。

ServiceNowとIdPのSAML連携が設定されている場合、IdPが保持しているユーザーの属性値 (SAML Assertionに含まれるAttribute) に基づいて、SSO時に自動でServiceNowにユーザーレコードを作成/更新することができるようになります。この機能は"SAML User Provisioning"と呼ばれています。

当機能によって、ServiceNowのUser Table [sys_user] に登録されていないユーザーであっても、最初からSAML SSO経由でServiceNowにログインができるようになります。また、SSO時に毎回、ServiceNow側のユーザープロファイルをIdPが保持している情報で更新することも可能になります。

この記事ではSAML User Provisioningの設定方法や挙動を紹介します。

検証環境は以下の通りです。

  • ServiceNow Version : Tokyo (PDI)
  • IdP : Auth0 (Development)

設定手順

1. SAML User Provisioningの有効化

左側のNavigation BarからMulti-Provider SSO > Administration > Propertiesのメニューを開きます。

「Enable Auto Importing of users from all identity providers into the user table」をYesにしてSaveを押下します。
Screenshot 2022-08-23 at 00-44-42 Multiple Provider SSO Properties ServiceNow.png

続いてMulti-Provider SSO > Identity Providersのメニューを開き、SAML SSOを設定しているIdPを選択します。

「User Provisioning」タブにある「Auto Provisioning User」をYesにしてUpdateを押下します。
(ユーザーレコードの更新もする場合は「Auto Provisioning User Update User Record Upon Each Login」もYesにします。)
Screenshot 2022-08-23 at 00-48-55 urn dev-lgtdrcx9.us.auth0.com Identity Provider ServiceNow.png

2. Transform Mapのカスタマイズ

SSO時にIdPから提供されるユーザーの情報は、Import Set Tableへ一度取り込まれ、Transform Mapのマッピングに従ってUser Tableの各フィールドにセットされます。

SAML User Provisioning用のImport Set TableとTransform Mapは、IdPにつきそれぞれ1つが自動で生成されます。
ただし、Transform Mapのマッピングの定義までは自動で設定されないため、以下の手順で設定をします。

  1. System Import Sets > Administration > Transform Mapsのメニューを開きます。

  2. 「u_imp_saml_user_[suffix]」という名前のTransform Mapが自動生成されているはずですので、それを開きます。([suffix]はランダムな文字列)
    Screenshot 2022-08-23 at 02-22-38 Table Transform Maps ServiceNow.png

  3. 下にスクロールすると、「Field Maps」という関連テーブルがあるので、ここにマッピングを追加していきます。
    SAML User Provisioningの場合、Field Mapsの各フィールドの意味は次の通りです。

    • Source field
      • Import Set Table側のフィールド名です。SAMLから提供されるAttribute名は、そのままフィールド名になっています。
    • Target field
      • User Table側のフィールド名です。
    • Coalesce
      • User Tableにてユーザーを一意に識別できるフィールドに対してTrueを設定します。一般的にはNameIDとして使用するフィールドをTrueとしておけば大丈夫かと思います。

IdPが異なるとSource fieldの名前も異なりますが、参考までに今回の検証環境では下図の通り定義しました。

Screenshot 2022-08-23 at 02-18-56 u_imp_saml_user_1rw1ompjjk Table Transform Map ServiceNow.png

(Tips)
左側のNavigation Barにて「u_imp_saml_user_[suffix].list」と入力してEnterを押下することで、Import Set Tableが参照できます。
このImport Tableにて、SAML AssertionのどのAttributeにどのような値が入っているか、実際のデータで確認ができます。
これを参照にしながらマッピングを定義するとやりやすいです。

Screenshot 2022-08-23 at 02-26-25 Imp Saml User 1rw1ompjjks ServiceNow.png

挙動確認

ServiceNowのUser Tableにはまだ登録されていないユーザーでSSOを試みます。

IdP側では下図のようなプロファイルで登録されているユーザーです。
Screenshot 2022-08-23 at 02-38-58 User Details.png

SSO用のログインページにて、メールアドレスを入力してSubmitを押下すると、
Screenshot 2022-08-23 at 02-37-11 Login with SSO ServiceNow.png

ServiceNowには未登録のユーザーですが、IdPのログインページへリダイレクトされました。
Screenshot 2022-08-23 at 02-43-38 Sign In with Auth0.png

IdPに登録しているメールアドレス/パスワードを入力してログインを実施すると、ServiceNowへログインできていることが確認できました。
Screenshot 2022-08-23 at 03-09-34 ServiceNow.png

User Tableを確認すると、IdP側の情報を元にプロファイルが登録されていることを確認できます。
Screenshot 2022-08-23 at 03-07-47 Fuga User ServiceNow.png

2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?