Tutorial: Integração do logon único (SSO) do Microsoft Entra com o ServiceNow
Neste tutorial, você aprenderá como integrar o ServiceNow ao Microsoft Entra ID. Ao integrar o ServiceNow com o Microsoft Entra ID, você pode:
- Controle no Microsoft Entra ID quem tem acesso ao ServiceNow.
- Permita que seus usuários entrem automaticamente no ServiceNow com suas contas do Microsoft Entra.
- Gerencie suas contas em um local central: o portal do Azure.
Pré-requisitos
Para começar, você precisa dos seguintes itens:
- Uma assinatura do Microsoft Entra. Se não tiver uma subscrição, pode obter uma conta gratuita.
- Uma assinatura habilitada para logon único (SSO) do ServiceNow.
- Para ServiceNow, uma instância ou locatário do ServiceNow suporta versões de Calgary, Kingston, Londres, Madri, Nova York, Orlando, Paris e San Diego ou posteriores.
- Para ServiceNow Express, uma instância do ServiceNow Express, versão Helsinki ou posterior.
- O locatário do ServiceNow deve ter o plug-in de logon único de vários provedores habilitado.
- Para configuração automática, habilite o plug-in multiprovedor para ServiceNow.
- Para instalar o aplicativo ServiceNow Agent (Mobile), vá para o armazenamento apropriado e procure o aplicativo ServiceNow Agent. Em seguida, baixe-o.
Nota
Essa integração também está disponível para uso no ambiente Microsoft Entra US Government Cloud. Pode encontrar esta aplicação na Microsoft Entra US Government Cloud Application Gallery e configurá-la da mesma forma que faz a partir da nuvem pública.
Descrição do cenário
Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste.
O ServiceNow suporta SSO iniciado por SP .
O ServiceNow oferece suporte ao provisionamento automatizado de usuários.
Você pode configurar o aplicativo ServiceNow Agent (Mobile) com o Microsoft Entra ID para habilitar o SSO. Ele suporta usuários Android e iOS. Neste tutorial, você configura e testa o Microsoft Entra SSO em um ambiente de teste.
Adicionar ServiceNow da galeria
Para configurar a integração do ServiceNow no Microsoft Entra ID, você precisa adicionar ServiceNow da galeria à sua lista de aplicativos SaaS gerenciados.
- Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
- Navegue até Identity>Applications>Enterprise applications>Novo aplicativo.
- Na seção Adicionar da galeria, digite ServiceNow na caixa de pesquisa.
- Selecione ServiceNow no painel de resultados e adicione o aplicativo. Aguarde alguns segundos enquanto o aplicativo é adicionado ao seu locatário.
Como alternativa, você também pode usar o Assistente de Configuração de Aplicativo Empresarial. Neste assistente, você pode adicionar um aplicativo ao seu locatário, adicionar usuários/grupos ao aplicativo, atribuir funções, bem como percorrer a configuração do SSO. Saiba mais sobre os assistentes do Microsoft 365.
Configurar e testar o Microsoft Entra SSO para ServiceNow
Configure e teste o Microsoft Entra SSO com ServiceNow usando um usuário de teste chamado B.Simon. Para que o SSO funcione, você precisa estabelecer uma relação de vínculo entre um usuário do Microsoft Entra e o usuário relacionado no ServiceNow.
Para configurar e testar o Microsoft Entra SSO com ServiceNow, execute as seguintes etapas:
- Configure o Microsoft Entra SSO para permitir que seus usuários usem esse recurso.
- Crie um usuário de teste do Microsoft Entra para testar o logon único do Microsoft Entra com B.Simon.
- Atribua o usuário de teste do Microsoft Entra para permitir que B.Simon use o logon único do Microsoft Entra.
- Configure o Microsoft Entra SSO para ServiceNow Express para permitir que seus usuários usem esse recurso.
- Configure o ServiceNow para definir as configurações de SSO no lado do aplicativo.
- Crie um usuário de teste do ServiceNow para ter um equivalente de B.Simon no ServiceNow, vinculado à representação do usuário do Microsoft Entra.
- Configure o ServiceNow Express SSO para definir as configurações de logon único no lado do aplicativo.
- Teste o SSO para verificar se a configuração funciona.
- Teste o SSO para ServiceNow Agent (Mobile) para verificar se a configuração funciona.
Configurar o Microsoft Entra SSO
Siga estas etapas para habilitar o Microsoft Entra SSO.
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até a página de integração de aplicativos Identity>Applications>Enterprise ServiceNow>, localize a seção Gerenciar. Selecione logon único.
Na página Selecione um método de logon único, selecione SAML.
Na página Configurar logon único com SAML, selecione o ícone de caneta para Configuração Básica de SAML para editar as configurações.
Na seção Configuração Básica do SAML, execute as seguintes etapas:
a. Em URL de início de sessão, introduza um dos seguintes padrões de URL:
Iniciar sessão no URL https://<instancename>.service-now.com/navpage.do
https://<instance-name>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id of the sso configuration>
Nota
Copie o valor sys_id da seção Configurar ServiceNow , que é explicada mais adiante no tutorial.
b. Em Identificador (ID da entidade), insira uma URL que use o seguinte padrão:
https://<instance-name>.service-now.com
c. Para URL de resposta, insira um dos seguintes padrões de URL:
URL de Resposta https://<instancename>.service-now.com/navpage.do
https://<instancename>.service-now.com/consumer.do
d. Em URL de Logout, insira uma URL que use o seguinte padrão:
https://<instancename>.service-now.com/navpage.do
Nota
Se "/ " for adicionado no valor do Identificador, remova-o manualmente.
Nota
Esses valores não são reais. Você precisa atualizar esses valores com a URL de logon real, URL de resposta, URL de logout e identificador, que é explicado mais adiante no tutorial. Você também pode consultar os padrões mostrados na seção Configuração Básica de SAML.
Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, localize Certificado (Base64).
a. Selecione o botão Copiar para copiar URL de Metadados de Federação de Aplicativos e cole-o no Bloco de Notas. Esse URL será usado posteriormente no tutorial.
b. Selecione Download para baixar Certificate(Base64) e salve o arquivo de certificado no seu computador.
Na seção Configurar ServiceNow, copie as URLs apropriadas, com base em sua necessidade.
Criar um usuário de teste do Microsoft Entra
Nesta seção, você criará um usuário de teste, chamado B.Simon.
- Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Usuário.
- Aceder a Identidade>Utilizadores>Todos os Utilizadores.
- Selecione Novo usuário>Criar novo usuário, na parte superior da tela.
- Nas propriedades do usuário , siga estas etapas:
- No campo Nome para exibição , digite
B.Simon
. - No campo Nome principal do usuário, digite o username@companydomain.extensionarquivo . Por exemplo,
B.Simon@contoso.com
. - Marque a caixa de seleção Mostrar senha e anote o valor exibido na caixa Senha .
- Selecione Rever + criar.
- No campo Nome para exibição , digite
- Selecione Criar.
Atribuir o usuário de teste do Microsoft Entra
Nesta seção, você permitirá que B.Simon use o logon único concedendo acesso ao ServiceNow.
- Navegue até Aplicativos de identidade>>Aplicativos corporativos.
- Na lista de aplicativos, selecione ServiceNow.
- Na página de visão geral do aplicativo, localize a seção Gerenciar e selecione Usuários e grupos.
- Selecione Adicionar utilizador. Na caixa de diálogo Adicionar Atribuição, selecione Usuários e grupos.
- Na caixa de diálogo Usuários e grupos, selecione B.Simon na lista de usuários e escolha Selecionar.
- Se você estiver esperando que uma função seja atribuída aos usuários, poderá selecioná-la na lista suspensa Selecionar uma função . Se nenhuma função tiver sido configurada para este aplicativo, você verá a função "Acesso padrão" selecionada.
- Na caixa de diálogo Adicionar Atribuição, selecione Atribuir.
Configurar o Microsoft Entra SSO para ServiceNow Express
Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.
Navegue até a página de integração de aplicativos Identity>Applications>Enterprise ServiceNow>, selecione logon único.
Na caixa de diálogo Selecionar um método de logon único, selecione o modo SAML/WS-Fed para habilitar o logon único.
Na página Configurar logon único com SAML, selecione o ícone de caneta para abrir a caixa de diálogo Configuração Básica de SAML.
Na seção Configuração Básica do SAML, execute as seguintes etapas:
a. Para URL de início de sessão, introduza um dos seguintes padrões de URL:
Iniciar sessão no URL https://<instance-name>.service-now.com/login_with_sso.do?glide_sso_id=<sys_id of the sso configuration>
https://<instancename>.service-now.com/consumer.do
b. Em Identificador (ID de entidade), insira uma URL que use o seguinte padrão:
https://<instance-name>.service-now.com
c. Para URL de resposta, insira um dos seguintes padrões de URL:
URL de Resposta https://<instancename>.service-now.com/navpage.do
https://<instancename>.service-now.com/consumer.do
d. Em URL de Logout, insira uma URL que use o seguinte padrão:
https://<instancename>.service-now.com/navpage.do
Nota
Se "/ " for adicionado no valor do Identificador, remova-o manualmente.
Nota
Esses valores não são reais. Você precisa atualizar esses valores com a URL de logon real, URL de resposta, URL de logout e identificador, que é explicado mais adiante no tutorial. Você também pode consultar os padrões mostrados na seção Configuração Básica de SAML.
Na página Configurar logon único com SAML, na seção Certificado de Assinatura SAML, selecione Download para baixar o Certificado (Base64) das opções especificadas, de acordo com sua necessidade. Guarde-o no seu computador.
Você pode fazer com que o Microsoft Entra ID configure automaticamente o ServiceNow para autenticação baseada em SAML. Para habilitar esse serviço, vá para a seção Configurar ServiceNow e selecione Exibir instruções passo a passo para abrir a janela Configurar logon .
No formulário Configurar início de sessão, introduza o nome da instância do ServiceNow, o nome de utilizador do administrador e a palavra-passe do administrador. Selecione Configurar agora. O nome de usuário administrador fornecido deve ter a função de security_admin atribuída no ServiceNow para que isso funcione. Caso contrário, para configurar manualmente o ServiceNow para usar o Microsoft Entra ID como um provedor de identidade SAML, selecione Configurar manualmente o logon único. Copie a URL de Logout, o Identificador do Microsoft Entra e a URL de Login da seção Referência Rápida.
Configurar ServiceNow
Faça logon em seu aplicativo ServiceNow como administrador.
Ative o plug-in Integration - Multiple Provider single sign-on Installer seguindo estas etapas:
a. No painel esquerdo, procure a seção Definição do Sistema na caixa de pesquisa e selecione Plug-ins.
b. Procure por Integração - Instalador de logon único de vários provedores e, em seguida, Instale e ative-o .
No painel esquerdo, procure a seção SSO de vários provedores na barra de pesquisa e selecione Propriedades na Administração.
Na caixa de diálogo Propriedades de SSO de vários provedores, execute as seguintes etapas:
Em Habilitar SSO de vários provedores, selecione Sim.
Em Habilitar importação automática de usuários de todos os provedores de identidade para a tabela de usuários, selecione Sim.
Em Habilitar log de depuração para a integração SSO de vários provedores, selecione Sim.
Para O campo na tabela do usuário que..., digite e-mail.
Selecione Guardar.
Você pode configurar o ServiceNow automaticamente ou manualmente. Para configurar o ServiceNow automaticamente, siga estas etapas:
Retorne à página de logon único do ServiceNow .
O serviço de configuração com um clique é fornecido para ServiceNow. Para habilitar esse serviço, vá para a seção Configuração do ServiceNow e selecione Configurar ServiceNow para abrir a janela Configurar logon.
No formulário Configurar início de sessão, introduza o nome da instância do ServiceNow, o nome de utilizador do administrador e a palavra-passe do administrador. Selecione Configurar agora. O nome de usuário admin fornecido deve ter a função security-admin atribuída no ServiceNow para que isso funcione. Caso contrário, para configurar manualmente o ServiceNow para usar o Microsoft Entra ID como um provedor de identidade SAML, selecione Configurar manualmente o logon único. Copie a URL de Saída, a ID de Entidade SAML e a URL do Serviço de Logon Único SAML na seção Referência Rápida.
Faça logon em seu aplicativo ServiceNow como administrador.
Na configuração automática, todas as configurações necessárias são definidas no lado ServiceNow , mas o Certificado X.509 não está habilitado por padrão e fornece o valor de Script de Logon Único como MultiSSOv2_SAML2_custom. Você precisa mapeá-lo manualmente para seu provedor de identidade no ServiceNow. Siga estes passos:
No painel esquerdo, procure a seção SSO de vários provedores na caixa de pesquisa e selecione Provedores de identidade.
Selecione o provedor de identidade gerado automaticamente.
Na seção Provedor de Identidade , execute as seguintes etapas:
a. Clique com o botão direito do rato na barra cinzenta na parte superior do ecrã e clique em Copiar sys_id e utilize este valor para o URL de início de sessão na secção Configuração SAML Básica.
b. Em Nome, insira um nome para sua configuração (por exemplo, logon único federado do Microsoft Azure).
c. Copie o valor da página inicial do ServiceNow e cole-o na URL de logon na seção Configuração SAML básica do ServiceNow.
Nota
A página inicial da instância ServiceNow é uma concatenação da URL do locatário do ServiceNow e /navpage.do (por exemplo:
https://fabrikam.service-now.com/navpage.do
).d. Copie o valor Entity ID / Issuer e cole-o em Identifier na seção ServiceNow Basic SAML Configuration.
e. Confirme se NameID Policy está definido como
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
value.f. Clique em Avançado e forneça o valor de Script de Logon Único como MultiSSOv2_SAML2_custom.
Role para baixo até a seção Certificado X.509 e selecione Editar.
Selecione o certificado e selecione o ícone de seta para a direita para adicionar o certificado
Selecione Guardar.
No canto superior direito da página, selecione Testar conexão.
Nota
Se a conexão de teste estiver falhando e você não conseguir ativar essa conexão, o ServiceNow oferecerá a opção de substituição. Você tem que entrar Sys_properties. LIST na Navegação de Pesquisa e abrirá a nova página de Propriedades do Sistema. Aqui você tem que criar uma nova propriedade com o nome como glide.authenticate.multisso.test.connection.mandatory com datatype como True/False e, em seguida, definir o valor como False.
Quando lhe pedirem as suas credenciais, introduza-as. Você verá a página a seguir. O erro SSO Logout Test Results é esperado. Ignore o erro e selecione Ativar.
Para configurar o ServiceNow manualmente, siga estas etapas:
Faça logon em seu aplicativo ServiceNow como administrador.
No painel esquerdo, selecione Provedores de identidade.
Na caixa de diálogo Provedores de Identidade, selecione Novo.
Na caixa de diálogo Provedores de Identidade, selecione SAML.
Em Importar metadados do provedor de identidade, execute as seguintes etapas:
Introduza o URL de Metadados de Federação da Aplicação que copiou.
Selecione Importar.
Ele lê a URL de metadados do IdP e preenche todas as informações de campos.
a. Clique com o botão direito do rato na barra cinzenta na parte superior do ecrã e clique em Copiar sys_id e utilize este valor para o URL de início de sessão na secção Configuração SAML Básica.
b. Em Nome, insira um nome para sua configuração (por exemplo, logon único federado do Microsoft Azure).
c. Copie o valor da página inicial do ServiceNow. Cole-o em URL de logon na seção Configuração SAML básica do ServiceNow.
Nota
A página inicial da instância ServiceNow é uma concatenação da URL do locatário do ServiceNow e /navpage.do (por exemplo:
https://fabrikam.service-now.com/navpage.do
).d. Copie o ID da entidade / valor do emissor . Cole-o no Identificador na seção Configuração SAML Básica do ServiceNow.
e. Confirme se NameID Policy está definido como
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified
value.f. Selecione Avançadas. Em Campo do Usuário, insira e-mail.
Nota
Você pode configurar o ID do Microsoft Entra para emitir o ID de usuário do Microsoft Entra (nome principal do usuário) ou o endereço de email como o identificador exclusivo no token SAML. Faça isso acessando a seção Logon único de Atributos>do ServiceNow>do portal do Azure e mapeando o campo desejado para o atributo nameidentifier. O valor armazenado para o atributo selecionado no Microsoft Entra ID (por exemplo, nome principal do usuário) deve corresponder ao valor armazenado no ServiceNow para o campo inserido (por exemplo, user_name).
g. Selecione Testar conexão no canto superior direito da página.
Nota
Se a conexão de teste estiver falhando e você não conseguir ativar essa conexão, o ServiceNow oferecerá a opção de substituição. Você tem que entrar Sys_properties. LIST na Navegação de Pesquisa e abrirá a nova página de Propriedades do Sistema. Aqui você tem que criar uma nova propriedade com o nome como glide.authenticate.multisso.test.connection.mandatory com datatype como True/False e, em seguida, definir o valor como False.
h. Quando lhe pedirem as suas credenciais, introduza-as. Você verá a página a seguir. O erro SSO Logout Test Results é esperado. Ignore o erro e selecione Ativar.
Criar usuário de teste do ServiceNow
O objetivo desta seção é criar um usuário chamado B.Simon no ServiceNow. O ServiceNow oferece suporte ao provisionamento automático de usuários, que é habilitado por padrão.
Nota
Se você precisar criar um usuário manualmente, entre em contato com a equipe de suporte ao cliente ServiceNow.
Configurar o ServiceNow Express SSO
Faça logon no seu aplicativo ServiceNow Express como administrador.
No painel esquerdo, selecione Logon único.
Na caixa de diálogo Logon Único, selecione o ícone de configuração no canto superior direito e defina as seguintes propriedades:
a. Alternar Habilite o SSO de vários provedores à direita.
b. Alternar Habilitar o log de depuração para a integração de SSO de vários provedores à direita.
c. Em O campo na tabela do usuário que..., digite user_name.
Na caixa de diálogo Logon Único, selecione Adicionar Novo Certificado.
Na caixa de diálogo Certificados X.509, execute as seguintes etapas:
a. Em Nome, insira um nome para sua configuração (por exemplo: TestSAML2.0).
b. Selecione Ativo.
c. Em Formato, selecione PEM.
d. Em Tipo, selecione Certificado de armazenamento confiável.
e. Abra seu
Base64
certificado codificado baixado do portal do Azure no Bloco de Notas. Copie o conteúdo dele para a área de transferência e cole-o na caixa de texto Certificado PEM .f. Selecione Atualizar
Na caixa de diálogo Logon Único, selecione Adicionar Novo IdP.
Na caixa de diálogo Adicionar Novo Provedor de Identidade , em Configurar Provedor de Identidade, execute as seguintes etapas:
a. Em Nome, insira um nome para sua configuração (por exemplo: SAML 2.0).
b. Para URL do provedor de identidade, cole o valor da ID do provedor de identidade que você copiou.
c. Para AuthnRequest do provedor de identidade, cole o valor da URL da solicitação de autenticação que você copiou.
d. Para SingleLogoutRequest do provedor de identidade, cole o valor da URL de logout que você copiou.
e. Em Certificado do Provedor de Identidade, selecione o certificado criado na etapa anterior.
Selecione Definições Avançadas. Em Propriedades adicionais do provedor de identidade, execute as seguintes etapas:
a. Para Protocol Binding for the IDP's SingleLogoutRequest, digite urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect.
b. Para NameID Policy, digite urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified.
c. Para AuthnContextClassRef Method, digite
http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
.d. Para Create an AuthnContextClass, alterne-o para off (unselected).
Em Propriedades Adicionais do Provedor de Serviços, execute as seguintes etapas:
a. Para ServiceNow Homepage, insira a URL da sua página inicial da instância ServiceNow.
Nota
A página inicial da instância ServiceNow é uma concatenação da URL do locatário do ServiceNow e /navpage.do (por exemplo:
https://fabrikam.service-now.com/navpage.do
).b. Para ID da entidade / emissor, insira a URL do locatário do ServiceNow.
c. Para URI de audiência, insira a URL do locatário do ServiceNow.
d. Em Clock Skew, digite 60.
e. Em Campo do Usuário, insira e-mail.
Nota
Você pode configurar o ID do Microsoft Entra para emitir o ID de usuário do Microsoft Entra (nome principal do usuário) ou o endereço de email como o identificador exclusivo no token SAML. Faça isso acessando a seção Logon único de Atributos>do ServiceNow>do portal do Azure e mapeando o campo desejado para o atributo nameidentifier. O valor armazenado para o atributo selecionado no Microsoft Entra ID (por exemplo, nome principal do usuário) deve corresponder ao valor armazenado no ServiceNow para o campo inserido (por exemplo, user_name).
f. Selecione Guardar.
SSO de teste
Ao selecionar o bloco ServiceNow no Painel de Acesso, você deve estar automaticamente conectado ao ServiceNow para o qual configurou o SSO. Para obter mais informações sobre o Painel de Acesso, consulte Introdução ao Painel de Acesso.
Testar SSO para ServiceNow Agent (Mobile)
Abra o aplicativo ServiceNow Agent (Mobile) e execute as seguintes etapas:
b. Digite seu endereço de instância do ServiceNow, apelido e selecione Salvar e fazer login.
c. Na página Logon, execute as seguintes etapas:
Digite Nome de usuário, como B.simon@contoso.com.
Selecione Usar login externo. Você será redirecionado para a página ID do Microsoft Entra para entrar.
Introduza as suas credenciais. Se houver qualquer autenticação de terceiros ou qualquer outro recurso de segurança habilitado, o usuário deve responder de acordo. A página inicial do aplicativo é exibida.
Passos Seguintes
Depois de configurar o ServiceNow, você pode impor controles de sessão, que protegem a exfiltração e a infiltração dos dados confidenciais da sua organização em tempo real. Os controles de sessão se estendem do Acesso Condicional. Saiba como impor o controlo de sessão com o Microsoft Defender for Cloud Apps.