Microsoft SharePoint Online 接続レコードの構成

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:13分

    • Microsoft SharePoint Online と接続レコードを設定して、ServiceNow インスタンスを Microsoft SharePoint Online と統合します。

    始める前に

    • 統合ハブ サブスクリプションの要求
    • Microsoft SharePoint Online スポーク のアクティブ化
    • Microsoft Azure ポータルでの OAuth アプリケーションの作成
    • Microsoft Azure ポータルへのアクセス
    • 必要なロール:admin

    Windows 用の証明書の生成

    デジタル証明書ファイルを .cer 形式で生成し、Microsoft Azure にアップロードします。

    始める前に

    必要なロール:admin

    手順

    1. https://learn.microsoft.com/en-us/sharepoint/dev/solution-guidance/security-apponly-azuread#setting-up-an-azure-ad-app-for-app-only-access に移動します。
    2. PowerShell スクリプトを実行します。
      このスクリプトは、拡張子が .PFX と .CER の 2 つのファイルを生成します。
      注:
      秘密鍵を暗号化して .PFX ファイルと .CER ファイルを生成するために使用されるパスワードを保存するか、記憶します。
    3. Java Key Store (JKS) ファイルを作成するには、.PFX ファイルを使用します。
      注:
      .PFX ファイルから .JKS ファイルを生成するために使用されるパスワードを保存するか、記憶します。

    Mac 用の自己署名証明書の生成

    デジタル証明書ファイルを .cer 形式で生成し、Microsoft Azure にアップロードします。

    始める前に

    必要なロール:admin

    手順

    1. Mac マシンでターミナルを開きます。
    2. プレースホルダー <filename> を任意のファイル名に置き換え、次のスクリプトを実行します keytool -genkey -keyalg RSA -alias selfsigned -keystore <filename>.jks -storepass <キーストアのパスワードを入力> -validity 720 -keysize 2048
      注:
      キーストアのパスワードは 6 文字以上にする必要があります。
      キーストアにより、特定の情報を入力するよう求められます。
    3. 説明用の画像に示すように、カスタム情報を入力します。キーストアのカスタム情報。
    4. Return キーを押します。
      PKCS12 形式に移行することをお勧めします。
    5. プレースホルダー <filename> を任意のファイル名に置き換え、次のスクリプトを実行します keytool -importkeystore -srckeystore <filename>.jks -destkeystore <filename>.jks -deststoretype pkcs12
    6. ソースキーストアのパスワードを入力します。
      PKCS12 への移行に成功しました。
    7. プレースホルダー <filename> を任意のファイル名に置き換え、次のスクリプトを実行します。 keytool -exportcert -keyalg RSA -alias selfsigned -keystore <filename>.jks -storepass <キーストアのパスワード> -rfc -file <filename>.cer
      スクリプトにより .cer ファイルが生成されます。
    8. .cer ファイルを見つけるには、ローカルディスク上の場所に移動します。
      .cer ファイルの場所。

    Microsoft Azure でのアプリケーションの設定

    Azure ポータルを使用してカスタムアプリを作成し、要求の認証を行います。

    始める前に

    • Microsoft Azure ポータルへのアクセス
    • 必要なロール:admin

    手順

    1. 証明書を Microsoft Azure ポータルにアップロードします。
      1. https://portal.azure.com/ にログインします。
      2. [アプリの登録] を選択します。
        [アプリの登録] ボタン。
      3. [すべてのアプリケーション ] または [所有アプリケーション (Owned applications)] を選択します。
        OAuth アプリケーション選択オプション
      4. 検索フィールドに、作成した OAuth アプリケーションの名前を入力します。
        OAuth アプリケーションの構成方法については、「Microsoft Azure での OAuth アプリケーションの設定」を参照してください。
      5. 左側のパネルの [管理] の見出しで、[証明書とシークレット (Certificates & secrets)] をクリックします。
        [証明書とシークレット (Certificates & secrets)]。
      6. [証明書とシークレット (Certificates & secrets)] で、[証明書] を選択します。
        [証明書] セクション。
      7. [証明書をアップロード] を選択します。
      8. [証明書をアップロード] ウィンドウでフォルダーアイコン (フォルダーアイコン) を選択して、生成した .cer ファイルに移動します。
      9. [説明] フィールドに、証明書の説明を入力します。
      10. [追加] を選択します。
        証明書がアップロードされます。
      11. [サムプリント] 列でサムプリントの値をコピーし、安全な場所に保存します。
        サムプリントの値。
        注:
        [サムプリント] の値全体をコピーしていることを確認してください。

        または、[マニフェスト] をクリックして [サムプリント] をコピーすることもできます。

        マニフェストの値をコピーします。

      12. [サムプリント] の値を Base64 値にエンコードして記録し、後で使用できるようにします。
      注:
      16 進値から Base64 への (Hex to Base64) 変換ツールを使用して、[サムプリント] の値を Base64 値にエンコードできます。
    2. スポークがアクションを自動化するために必要な REST API にアクセスする権限を取得します。
      1. 左側のパネルの [管理] 見出しで、[API 権限] を選択します。
        API 権限のリンク
      2. [構成済みの権限 (Configured permissions)] 見出しの下にある [+ アクセス許可の追加 (+ Add a permission)] をクリックします。
      3. [API 権限の要求] ウィンドウで、[SharePoint] を選択します。
        SharePoint API のボタン。
      4. [アプリケーションのアクセス許可] を選択します。
        [アプリケーションのアクセス許可] ボタン。
      5. サイトリストを展開します。
      6. Sites.FullControl.All を選択します。
        これで、ServiceNow インスタンスが Microsoft SharePoint Online のすべてのサイトを完全に制御できるようになりました。
      7. [権限を追加] を選択します。
        権限が追加されます。

        SharePoint Online 権限が付与されています。

      8. アドミンの同意を付与するには、[ServiceNow にアドミンの同意を付与する (Grant admin consent for ServiceNow)] を選択します。
      9. [アドミンの同意を付与する (Grant admin consent)] 確認ウィンドウで [はい] を選択します。
        アドミンの同意が付与されます。

        アドミンの同意が付与されたステータス。

        ヒント:
        Sites.FullControl.All 以外のアクセス許可を使用する場合は、SharePoint 管理者と Azure 管理者に問い合わせて、組織のポリシーに必要な正確なアクセス許可を決定してください。

    Java Key Store 証明書を添付

    有効な Java Key Store (JKS) 証明書を添付して、JWT ベアラー権限許可トークン認証を有効にします。

    始める前に

    • 有効な Java Key Store 証明書
    • 必要なロール:admin

    手順

    1. 次のように移動する。 システム定義 > 証明書.
    2. レコード [Microsoft SharePoint Online Certificate] を開きます。
      注:
      デフォルトレコードの Microsoft SharePoint Online 証明書のみを使用してください。
    3. JKS ファイルに関連付けられたパスワードを [キーストアパスワード] に入力します。
    4. [タイプ] として [Java キーストア] を選択します。
    5. 添付ファイルアイコン (添付ファイルアイコン) をクリックし、生成した JKS 証明書を添付します。
      詳細については、「Microsoft Azure での OAuth アプリケーションの設定」を参照してください。
    6. [ストア/証明書を検証] をクリックします。
    7. [更新] をクリックします。

    JWT 署名キーを構成

    Java Key Store 証明書に割り当てる JSON Web トークン (JWT) 署名キーを作成します。

    始める前に

    必要なロール:admin

    手順

    1. 次のように移動する。 システム OAuth > JWT キー.
    2. レコード [Microsoft SharePoint Online JWT Keys] を開きます。
    3. 秘密鍵を暗号化し、.PFX ファイルと .CER ファイルを生成するために使用するパスワードを、[署名キーパスワード] に入力します。
    4. [更新] をクリックします。

    JWT プロバイダーの構成

    JSON Web トークン (JWT) プロバイダーを ServiceNow インスタンスに追加します。

    始める前に

    • Azure ポータルに登録したアプリケーションの [アプリケーション (クライアント) ID][ディレクトリ (テナント) ID] の値をコピーして記録します。
      クライアント ID とテナント ID の値をコピーする。
    • 必要なロール:admin

    手順

    1. 次のように移動する。 システム OAuth > JWT プロバイダー.
    2. レコード [Microsoft SharePoint Online JWT Provider] を開きます。
    3. [標準要求] 関連リストで、[iss][sub]、および [aud] の各値を入力します。
      フィールド
      aud 次の形式の Microsoft Online URL:https://login.microsoftonline.com/<tenant-id>/oauth2/token<tenant-id> を、Azure ポータルにアプリケーションが登録した [ディレクトリ (テナント)] の値と置き換えます。
      iss Azure ポータルに登録したアプリケーションの [アプリケーション (クライアント) ID]。
      sub Azure ポータルに登録したアプリケーションの [アプリケーション (クライアント) ID]。
    4. [更新] をクリックします。

    OAuth プロバイダーとして Microsoft SharePoint Online を登録

    Microsoft SharePoint Onlineアカウントの構成中に生成された情報を使用し、Microsoft SharePoint Onlineを OAuth プロバイダーとして登録して、インスタンスが OAuth 2.0 トークンを要求できるようにします。

    始める前に

    必要なロール:admin。

    手順

    1. 次のように移動する。 システム OAuth > アプリケーションレジストリー.
    2. [New] をクリックします。
      どのような OAuth アプリケーションですか?」というメッセージが表示されます。
    3. [サードパーティ OAuth プロバイダーに接続します] を選択します。
      空のアプリケーションレジストリフォームが表示されます。
    4. 値を入力します。
      フィールド 必要な値
      名前 レコードを一意に識別する名前を入力します。たとえば、SharePoint OAuth プロファイルを入力します。
      クライアント ID クライアント ID のフォーマット:<ClientID>
      クライアント シークレット Microsoft SharePoint Onlineアカウントの構成中に作成されたクライアントシークレット
      OAuth API スクリプト [OAuthUtilSPJWTOnline] を選択します。
      デフォルトの権限許可タイプ [クライアント認証情報] を選択します。
      トークン URL トークン URL の形式:https://login.microsoftonline.com/<tenant-id>/oauth2/token<tenant-id> を、Azure ポータルにアプリケーションが登録した [ディレクトリ (テナント)] の値と置き換えます。
    5. [OAuth エンティティスコープ] 関連リストに、次の値を持つレコードを挿入します。
      名前 OAuth スコープ
      スコープ https://<MS-SharePoint-tenant-name>.sharepoint.com/.default
      OAuth エンティティスコープレコードを挿入する。
    6. フォームヘッダーを右クリックし、[保存] をクリックします。
      OAuth 認証情報が検証され、[OAuth エンティティプロファイル] 関連リストが作成されます。

    タスクの結果

    インスタンスは、スポークの OAuth 2.0 トークンを要求できます。

    Microsoft SharePoint Online スポークの認証情報レコードの作成

    Microsoft SharePoint Onlineアカウントの構成時に作成したMicrosoft SharePoint Onlineカスタム OAuth アプリケーションに対して認証情報レコードを作成します。Microsoft SharePoint Online スポーク接続および資格情報エイリアスでは、これらの認証情報を使用してアクションを許可します。

    始める前に

    必要なロール:admin。

    手順

    1. 次のように移動する。 接続 & 認証情報 > 認証情報.
    2. [New] をクリックします。
      作成する認証情報のタイプは?」というメッセージが表示されます。
    3. [OAuth 2.0 認証情報] を選択します。
      ポップアップウィンドウに、空の OAuth 2.0 認証情報フォームが表示されます。
    4. 値を入力します。
      フィールド 必要な値
      名前 レコードを一意に識別する名前を入力します。たとえば、SharePoint 認証情報を入力します。
      有効 有効化
      OAuth エンティティ プロファイル カスタムMicrosoft SharePoint Onlineアプリケーションを OAuth プロバイダーとして登録したときに作成した OAuth プロファイルを選択します。たとえば、SharePoint OAuth プロファイルを選択します。
      適用先 この認証情報を使用できる MID サーバーを選択します。たとえば、[すべての MID サーバー] を選択します。
      順番 この認証情報を適用する順番を選択します。たとえば、「100」と入力します。
    5. [保存] をクリックしてレコードを保存します。

    Microsoft SharePoint Online スポークの接続レコードの作成

    Microsoft SharePoint Onlineアカウントへの接続レコードを作成します。Microsoft SharePoint Online スポークの接続および資格情報エイリアスでは、これらの接続を使用してMicrosoft SharePoint Onlineでアクションを実行します。

    始める前に

    必要なロール:admin。

    手順

    1. 次のように移動する。 接続 & 認証情報 > 接続 & 資格情報エイリアス.
    2. MicrosoftSharePointOnline の接続および資格情報エイリアスレコードを開きます。
    3. [接続] タブで、[新規] をクリックします。
      空の HTTP(s) 接続フォームが表示されます。
    4. フォームのフィールドに入力します。
      フィールド 必要な値
      名前 接続レコードを一意に識別する名前を入力します。たとえば、SharePoint 接続を入力します。
      認証情報 Microsoft SharePoint Online用に作成された認証情報レコードを選択します。たとえば、SharePoint 認証情報を選択します。
      接続エイリアス Microsoft SharePoint Onlineに作成した [接続エイリアス] のレコードを選択します。
      有効 有効化
      接続 URL ルート SharePoint URL を入力します。例:https://<SiteName>.sharepoint.com
    5. [属性] タブで、Base64 でエンコードされた [Thumbprint] の値を入力します。
      注:
      [サムプリント] の値は 16 進値です。16 進値から Base64 への (Hex to Base64) 変換ツールを使用して、[サムプリント] の値を Base64 値にエンコードできます。
    6. [送信] をクリックします。
      Microsoft SharePoint OnlineアカウントがServiceNowインスタンスに統合され、スポークを使用する準備が整いました。
      注:
      シングルサインオンがセットアップされている場合は、スポークアクション [ログイン名でユーザー情報を検索 (Look Up User Information By Login Name) ] を使用してMicrosoft SharePoint Onlineからユーザーの詳細を取得するようにフローを設定し、ユーザーが必要なアクションを実行する権限を持っているかどうかを確認します。

    次のタスク

    1. 次のように移動する。 接続 & 認証情報 > 認証情報.
    2. 作成された認証情報レコードを開きます。例:SharePoint 認証情報
    3. [関連リンク] から、[OAuth トークンの取得] をクリックします。
      OAuth トークンフローが正常に完了したことを示す確認メッセージが表示されます。フローが正常に完了していない場合は、詳細を確認してください。
      注:
      • 接続レコードでサムプリントが定義されていることを確認します
      • ブラウザでポップアップウィンドウが許可されていることを確認してください。
      スポークのセットアップが完了し、要件に応じてフローを使用できるようになりました。
      注:
      スポークのセットアップ後に生成されたトークンが機能しない場合は、Azure ポータルで OAuth アプリケーションを開き、[暗黙的な権限許可とハイブリッドフロー (Implicit grant and hybrid flows)] の下にある 2 つのチェックボックスをオンにします。Azure ポータルでトークンを選択します。