Microsoft Entra ID スポークの設定

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む7読むのに数分

    • でカスタム OAuth アプリケーションMicrosoftを作成してインスタンスと Microsoft Entra アカウントをデータ連携し、ServiceNow要求を認証ServiceNowします。

    始める前に

    • 統合ハブ サブスクリプションの要求
    • 必要なロール:admin

    このタスクについて

    Entra ID スポーク (旧 Microsoft Azure Active Directory スポーク) を設定する手順については、 Microsoft このビデオをご覧ください。

    Microsoft Entra ID アプリケーションを作成する

    Azure ポータルを使用してカスタムアプリを作成し、Entra ID スポークで Microsoft OAuth 2.0 認証を有効にします。

    始める前に

    • 統合ハブ サブスクリプションを要求します。
    • Entra ID スポークを Microsoft アクティブ化します。
    • Microsoft Entra ID スポークの要件:
      • Microsoft Entra ID アカウント
      • Microsoft Entra ID 管理者資格情報
    • 必要なロール:admin

    このタスクについて

    Azure ポータルからこれらの手順を実行します。カスタム アプリケーションの作成と構成の手順については、 Microsoft ID プラットフォームのドキュメントの ドキュメントを参照してください。

    手順

    1. Azure ポータルから、Entra ID にアクセスします Microsoft
    2. Microsoft Entra ID アプリケーションを作成します。
      または、既存のアプリケーションを使用することができます。ここで説明されているように既存のアプリケーションを構成してください。
    3. [アプリ登録 (App registrations)] に移動し、[新規登録] をクリックします。
    4. フォームに値を入力します。
    5. [リダイレクト URI] に、https://<Instance-Name>.service-now.com/oauth_redirect.do のフォーマットでServiceNowインスタンス URL を入力します。
      アプリケーションの登録と構成の手順については、「 リソースにアクセスできる Microsoft Entra アプリケーションとサービス プリンシパルを作成する 」を参照してください。
      アプリケーションを作成する。
    6. [登録] をクリックします。
      アプリケーションが作成され、必要な詳細が表示されます。
    7. ディレクトリー ID の値をコピーして記録します。
      この値は、ServiceNow インスタンスでサードパーティ OAuth プロバイダーとしてアプリを登録する場合に必要です。
      ディレクトリー ID をコピーする。
    8. [証明書とシークレット Certificates & secrets)] をクリックします。
    9. [新しいクライアントシークレット (New client secret)] をクリックします。
      シークレットが生成され、表示されます。
    10. 値をコピーして記録します。
      この値は、ServiceNow インスタンスでサードパーティ OAuth プロバイダーとしてアプリを登録する場合に必要です。
      クライアントシークレットの値をコピーする。
    11. [API 権限] をクリックします。
    12. [アクセス許可の追加] をクリックして、API にアクセスするために必要な権限を追加します。必要なアクションを実行するために必要とされる権限については、 Microsoft Entra ID Spoke (以前の Microsoft Azure Active Directory スポーク) の「スポークのアクション」のセクションを参照してください。
      API 権限を追加する。
    13. アプリケーションに管理者の同意を付与します。
      詳しくは、「 クイック スタート: Web API にアクセスするためのクライアント アプリケーションの構成 」をご覧ください。

    Entra ID スポークの接続 Microsoft および資格情報エイリアスを作成

    Entra ID アカウントへの接続 Microsoft レコードを作成します。Entra ID スポーク接続および資格情報エイリアスでは Microsoft 、これらの接続を使用して Entra ID で Microsoft アクションを実行します。

    始める前に

    必要なロール:admin

    手順

    1. 移動先 すべて > 統合ハブ > 接続 & 認証情報 > AzureAD.
    2. [関連リンク] から、[新しい接続 & 資格情報の作成] をクリックします。
    3. フォームのフィールドに入力します。
      フィールド 必要な値
      接続情報を入力してください
      名前 接続レコードを識別する名前です。たとえば、「Azure AD 接続」と入力します。
      資格情報を入力してください
      認証 URL 次の形式の認証 URL:https://login.microsoftonline.com/<Directory ID>/oauth2/v2.0/authorize&lt;ディレクトリ ID> を Entra ID 構成のディレクトリ ID に置き換えます。
      トークン URL 次の形式のトークン URL:https://login.microsoftonline.com/<Directory ID>/oauth2/v2.0/token&lt;ディレクトリ ID> を、Entra ID 構成プロパティのディレクトリ ID に置き換えますMicrosoft
      トークン URL の取り消し (Revoke token URL) https://login.microsoftonline.com/<Directory ID>/oauth2/v2.0/revoke の形式のトークン URL を取り消します。&lt;ディレクトリ ID> を、Entra ID 構成プロパティのディレクトリ ID に置き換えます。
      OAuth クライアント ID Entra ID アプリケーション登録時に作成したクライアント ID。
      OAuth クライアントシークレット Entra ID アプリケーション登録時に作成したキー値。
      OAuth リダイレクト URL ServiceNow インスタンスの URL を https://<instance-name>.service-now.com/oauth_redirect.do の形式でリダイレクトします。
    4. [OAuth トークンを作成して取得] をクリックします。
    5. 移動先 システム OAuth > アプリケーションレジストリー.
    6. レコード Microsoft Entra ID スポーク OAuth を開きます。
    7. [OAuth エンティティスコープ] 関連リストで以下のエントリが使用可能であることを確認するか、使用可能でない場合は、これらのレコードを作成します。
      名前 OAuth スコープ
      認証コード」など、レコードの一意の名前を入力します。 offline_access を入力します。
      openid」など、レコードの一意の名前を入力します。 openid を入力します。
      client cred」など、レコードの一意の名前を入力します。 https://graph.microsoft.com/.default」と入力します。
    8. フォームヘッダーを右クリックし、[保存] をクリックします。
      OAuth 資格情報が検証され、[リダイレクト URL] および [OAuth エンティティプロファイル] 関連リストに情報が入力されます。
    9. [OAuth エンティティプロファイル] 関連リストで、デフォルトのプロファイルレコードを開きます。
    10. openid エンティティスコープレコードが [OAuth エンティティプロファイルスコープ] 関連リストに表示されていることを確認し、表示されていない場合は、openid レコードを選択します。

    タスクの結果

    Microsoft Entra ID スポークが設定され、インスタンスとServiceNow統合されます。
    注:
    [関連リンク][新しい接続 & 資格情報の作成] を使用して新しい接続および資格情報エイリアスを作成すると、アプリケーションレジストリレコードの権限許可タイプは、デフォルトで [認証コード] に設定されます。
    • Azure ユーザーの資格情報を使用して OAuth トークンを取得し、そのユーザーの委任を受けてすべてのフローを実行する場合は、[認証コード] を使用します。現在、ログインしている各 ServiceNow ユーザーへの権限の委任はサポートされていません。
    • 個々のユーザーではなくアプリに権限を付与する場合は、権限許可タイプを [クライアント資格情報] に変更します。これにより、インタラクティブまたはバックグラウンドのすべてのフローがアプリ権限を使用してフローを実行するようになります。クライアント資格情報の使用方法の詳細については、KB0993701 を参照してください。
    • 1 つの権限許可タイプを使用することはできないが、アクションを実行するために [認証コード][クライアント資格情報] の両方の権限許可タイプが必要な場合は、子エイリアスを作成します。

    Entra ID OAuth トークンを再生成

    始める前に

    必要なロール:admin

    手順

    1. 移動先 すべて > 接続 & 認証情報 > 資格情報.
    2. Entra ID スポーク OAuth 資格情報レコードを選択します。
      たとえば、[Azure AD 資格情報] を選択します。
    3. [関連リンク] から、[OAuth トークンの取得] をクリックします。