自動ユーザー プロビジョニングのために ServiceNow を構成する

  • [アーティクル]

この記事では、自動ユーザー プロビジョニングを構成するために、ServiceNow と Microsoft Entra ID の両方で実行する手順について説明します。 Microsoft Entra ID を構成すると、Microsoft Entra プロビジョニング サービスを使って、ServiceNow に対するユーザーとグループのプロビジョニングとプロビジョニング解除が自動的に行われます。

Microsoft Entra の自動ユーザー プロビジョニング サービスについて詳しくは、Microsoft Entra ID での SaaS アプリケーションのユーザーのプロビジョニングとプロビジョニング解除の自動化に関する記事を参照してください。

サポートされる機能

  • ServiceNow でユーザーを作成する。
  • アクセスが不要になったユーザーを ServiceNow で削除する。
  • Microsoft Entra ID と ServiceNow の間でユーザー属性の同期を維持する。
  • ServiceNow でグループとグループ メンバーシップをプロビジョニングする。
  • ServiceNow へのシングル サインオンを許可する (推奨)。

前提条件

Note

この統合は、Microsoft Entra 米国政府クラウド環境から利用することもできます。 このアプリケーションは、Microsoft Entra 米国政府クラウドのアプリケーション ギャラリーにあり、パブリック クラウドの場合と同じように構成できます。

手順 1:プロビジョニングのデプロイを計画する

手順 2: Microsoft Entra ID を使ったプロビジョニングをサポートするように ServiceNow を構成する

  1. ServiceNow インスタンス名を指定します。 インスタンス名は、ServiceNow にアクセスするために使用する URL で確認できます。 次の例では、インスタンス名は dev35214 です。

    ServiceNow インスタンスを示すスクリーンショット。

  2. ServiceNow で管理者の資格情報を取得します。 ServiceNow でユーザー プロファイルに移動し、ユーザーに管理者ロールが割り当てられていることを確認します。

    ServiceNow 管理者ロールを示すスクリーンショット。

Microsoft Entra アプリケーション ギャラリーから ServiceNow を追加して、ServiceNow へのプロビジョニングの管理を開始します。 シングル サインオン (SSO) のために ServiceNow を以前に設定している場合は、同じアプリケーションを使用できます。 ただし、統合をテストするときは、別のアプリを作成することをお勧めします。 ギャラリーからアプリケーションを追加する方法の詳細をご覧ください

手順 4:プロビジョニングの対象となるユーザーを定義する

Microsoft Entra プロビジョニング サービスを使うと、アプリケーションへの割り当てや、ユーザーまたはグループの属性に基づいてプロビジョニングされるユーザーのスコープを設定できます。 割り当てに基づいてアプリにプロビジョニングされるユーザーのスコープを設定する場合は、こちらの手順を使用してユーザーとグループをアプリケーションに割り当てることができます。 ユーザーまたはグループの属性のみに基づいてプロビジョニングされるユーザーのスコープを設定する場合は、スコープ フィルターを使用できます。

次の点に注意してください。

  • ServiceNow にユーザーとグループを割り当てるときは、既定のアクセス以外のロールを選択する必要があります。 既定のアクセス ロールを持つユーザーは、プロビジョニングから除外され、プロビジョニング ログで実質的に資格がないとマークされます。 アプリケーションで使用できる唯一のロールが既定のアクセス ロールである場合は、アプリケーション マニフェストを更新してロールを追加することができます。

  • 追加のロールが必要な場合は、アプリケーション マニフェストを更新して新しいロールを追加できます。

手順 5:ServiceNow への自動ユーザー プロビジョニングを構成する

このセクションでは、TestApp でユーザーとグループを作成、更新、無効化するように Microsoft Entra プロビジョニング サービスを構成する手順について説明します。 Microsoft Entra ID では、ユーザーとグループの割り当てに基づいて構成を行うことができます。

Microsoft Entra ID で ServiceNow の自動ユーザー プロビジョニングを構成するには:

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション] の順に移動します。

    [エンタープライズ アプリケーション] ペインのスクリーンショット。

  3. アプリケーションの一覧で、 [ServiceNow] を選択します。

  4. [プロビジョニング] タブを選択します。

  5. [プロビジョニング モード][自動] に設定します。

  6. [管理者資格情報] セクションで、ServiceNow 管理者の資格情報とユーザー名を入力します。 Microsoft Entra ID から ServiceNow へ接続できることを確認するために、[テスト接続] を選びます。 接続に失敗した場合は、お使いの ServiceNow アカウントに管理者アクセス許可があることを確認してから、もう一度試します。

  7. プロビジョニングのエラー通知を受け取るユーザーまたはグループのメール アドレスを [通知用メール] フィールドに入力し、 [エラーが発生したときにメール通知を送信します] チェック ボックスをオンにします。

  8. [保存] を選択します。

  9. [マッピング] セクションで、[Microsoft Entra ユーザーを ServiceNow に同期する] を選びます。

  10. [属性マッピング] セクションで、Microsoft Entra ID から ServiceNow に同期されるユーザー属性を確認します。 [照合] プロパティとして選択されている属性は、更新処理で ServiceNow のユーザー アカウントとの照合に使用されます。

    一致する対象の属性を変更する場合は、その属性に基づいたユーザーのフィルター処理が ServiceNow API でサポートされていることを確認する必要があります。

    [保存] ボタンをクリックして変更をコミットします。

  11. [マッピング] セクションで、[Microsoft Entra グループを ServiceNow に同期する] を選びます。

  12. [属性マッピング] セクションで、Microsoft Entra ID から ServiceNow に同期されるグループ属性を確認します。 [Matching](照合) プロパティとして選択されている属性は、更新処理で ServiceNow のグループとの照合に使用されます。 [保存] ボタンをクリックして変更をコミットします。

  13. スコープ フィルターを構成するには、スコープ フィルターのチュートリアルの手順を参照してください。

  14. ServiceNow に対して Microsoft Entra プロビジョニング サービスを有効にするには、[設定] セクションで [プロビジョニングの状態][オン] に変更します。

  15. [設定] セクションの [スコープ] で目的の値を選択して、ServiceNow にプロビジョニングするユーザーとグループを定義します。

    プロビジョニングのスコープの選択肢を示すスクリーンショット。

  16. プロビジョニングの準備ができたら、 [保存] を選択します。

この操作により、 [設定] セクションの [スコープ] で定義したすべてのユーザーとグループの初期同期サイクルが開始されます。 初期サイクルは、後続のサイクルよりも実行に時間がかかります。 Microsoft Entra プロビジョニング サービスが実行されている限り、後続のサイクルは約 40 分ごとに発生します。

手順 6:デプロイを監視する

プロビジョニングを構成したら、次のリソースを使用してデプロイを監視します。

  • プロビジョニング ログを使用して、正常にプロビジョニングされたユーザーと失敗したユーザーを特定します。
  • 進行状況バーを確認して、プロビジョニング サイクルの状態と完了までの時間を確認します。
  • プロビジョニング構成が異常な状態になったと考えられる場合、アプリケーションは検疫されます。 検疫状態の詳細をご覧ください

トラブルシューティングのヒント

  • ServiceNow の特定の属性 (DepartmentLocation など) をプロビジョニングする場合は、ServiceNow の参照テーブルに値が既に存在する必要があります。 存在しない場合、InvalidLookupReference エラーが発生します。

    たとえば、ServiceNow の特定のテーブルに 2 つの場所 (Seattle、Los Angeles) と 3 つの部門 (Sales、Finance、Marketing) があるとします。 部門が "Sales" で場所が "Seattle" のユーザーをプロビジョニングすると、そのユーザーは正常にプロビジョニングされます。 部門が "Sales" で場所が "LA" のユーザーをプロビジョニングしようとすると、そのユーザーはプロビジョニングされません。 ServiceNow の参照テーブルに場所 "LA" を追加するか、ServiceNow の形式に合わせて Microsoft Entra ID のユーザー属性を更新する必要があります。

  • EntryJoiningPropertyValueIsMissing エラーが発生した場合は、属性マッピングを確認して、一致する属性を特定します。 プロビジョニングしようとしているユーザーまたはグループに、この値が存在する必要があります。

  • 要件や制限事項 (ユーザーの国番号を指定する際の形式など) については、ServiceNow SOAP API を確認してください。

  • プロビジョニング要求は、既定では https://{your-instance-name}.service-now.com/{table-name} に送信されます。 カスタム テナント URL が必要な場合は、URL 全体をインスタンス名として指定できます。

  • ServiceNowInstanceInvalid エラーは、ServiceNow インスタンスとの通信に問題があることを示しています。 このエラーのテキストを次に示します。

    Details: Your ServiceNow instance name appears to be invalid. Please provide a current ServiceNow administrative user name and password along with the name of a valid ServiceNow instance.

    テスト接続の問題が発生している場合は、ServiceNow の次の設定で [No](いいえ) を選択してみてください。

    • [System Security](システム セキュリティ)>[High security settings](高セキュリティ設定)>[Require basic authentication for incoming SCHEMA requests](受信 SCHEMA 要求に対して基本認証を要求する)

    • [System Properties](システム プロパティ)>[Web Services](Web サービス)>[Require basic authorization for incoming SOAP requests](受信 SOAP 要求に対して基本認証を要求する)

      SOAP 要求を承認するためのオプションを示すスクリーンショット。

    引き続き問題が解決しない場合は、ServiceNow サポートに連絡し、トラブルシューティングに役立てるために SOAP デバッグを有効にするように依頼してください。

  • 現在、Microsoft Entra プロビジョニング サービスは特定の IP 範囲で動作します。 必要に応じて、他の IP 範囲を制限し、これらの特定の IP 範囲をアプリケーションの許可リストに追加できます。 この手法により、Microsoft Entra プロビジョニング サービスからアプリケーションへのトラフィック フローが可能になります。

  • セルフホステッド ServiceNow インスタンスはサポートされていません。

  • ServiceNow で active 属性への更新がプロビジョニングされると、それに応じて属性 locked_out も更新されます。Azure プロビジョニング サービスで locked_out がマップされていない場合でも更新されます。

その他のリソース

次のステップ