MICROSOFT AZURE ACTIVE DIRECTORY ve SERVICENOW ENTEGRASYONU
Son yıllarda bulut bilişimin hızla gelişmesiyle SaaS olarak üretilen yazılımlarda hayatımıza girmeye başladı. ServiceNow ürünü de bulut üzerinden hizmet veren ve son dönemde IT servis yazılımı olarak kullanılan en popüler ürünlerden biri. Bu yazımızda da Microsoft Azure Active Directory ile ServiceNow ürününü birlikte çalıştırarak kurum içi Active Directory kullanıcıları için Single SignOn özelliğini nasıl kullanabileceğinizi anlatmaya çalışacağım.
Yapacağımız senaryo aşağıdaki gibi olacaktır.
Kurum içi olarak kullandığım onderdeger.com domain yapımda aşağıdaki gibi örnek kullanıcılar bulunmaktadır.
Öncelikle lokal Active Directory ile Microsoft Azure Active Directory’i birlikte çalıştıracak şekilde yapılandırmamız gerekmektedir. Bu yapılandırma sayesinde lokal kullanıcı hesaplarımız Azure Active Directory üzerine alınacak ve artık kullanıcılarımız domain kullanıcı adı ve hesapları ile SaaS olarak yapılandırılan uygulamalara erişebileceklerdir. Birlikte çalışabilmeyi yapabilmek için Microsoft Azure Active Directory Connector uygulamasını indiriyoruz ve ister DC üzerine istersek de ayrı bir sunucuya kurulumunu gerçekleştiriyoruz.
İndirme işlemini tamamladıktan sonra Microsoft Azure Active Directory Connector yapılandırması aşağıdaki gibidir.
İlk gelen ekran Welcome ekranını onayladıktan sonra devam edelim.
Express Settings bölümünde isterseniz Customize butonuna basarak bütün adımları tek tek yapılandırabileceğiniz gibi isterseniz de Use Express Settings butonu ile hızlı bir yapılandırma yapabilirsiniz. Biz Use Express Settings bölümü ile devam ediyoruz.
Connect to Azure AD bölümünde Azure Active Directory hesabınızda yetkili olan kullanıcı adı ve parolasını giriniz.
Connect to AD DS sayfasında lokal Active Directory’inizde bulunan Enterprise Administrator kullanıcısını ve parolasını giriniz.
Bu bölümden sonra artık yapılandırmaya hazırız. Install butonu ile yapılandırmaya başlayalım.
Yaklaşık 10dk süre sonrasında yapılandırmanızın başarılı bir şekilde gerçekleştiğini görebileceğiniz ekran karşınıza gelecektir. Exit butonu ile çıkış yapabiliriz.
Azure yönetim portalı üzerinde Azure Active Directory bölümüne gelip Azure AD domain adınız (örnek domainde ben onderdeger.onmicrosoft.com domain adını kullanıyorum) içerisindeki Users sekmesinde lokal kullanıcılarınızın geldiğini görebilirsiniz.
Bu bölümden sonra dilerseniz local domain adınızı Azure Active Directory üzerinde kayıt ettirebilirsiniz. Aslında SSO işleminin mantıklı bir şekilde çalışabilmesi için yapılması gereken bir işlemdir. Bunu için https://azure.microsoft.com/en-us/documentation/articles/active-directory-add-domain/ linkinden bilgilere erişebilirsiniz.
Bu işlemlerin ardından Azure Active Directory domain adınız içerisinde Applications bölümüne gelelim ve ServiceNow uygulaması ile entegrasyona başlayalım. Bu ekranda ADD butonuna basarak devam ediyoruz.
Karşımıza gelen ekranda “Add an application from gallery” sekmesine tıklayarak Azure Active Directory ile entegre bir şekilde çalışabilen uygulamaların bulunduğu Gallery bölümüne gelelim.
Gallery bölümünde ServiceNow uygulamasını arayarak bulabilirsiniz. Bu bölümde daha öncede bahsettiğim gibi Azure Active Directory ile entegre çalışabilen binlerce farklı bulut uygulamasını bulabilirsiniz.
ServiceNow uygulamasını ekledikten sonra karşımıza 3 adımlı bir ekran gelmektedir. 1. Adım olan “Enable single-sign-on with Microsoft Azure AD” adımıyla başlayabilir.
İlk gelen ekran kullanıcılar ServiceNow uygulamasında nasıl oturum açacakları ile ilgili. “Microsoft Azure AD Single-Sign-On” sekmesini işaretleyerek devam ediyoruz.
Configure App Setting bölümünde ServiceNow uygulamanızın Sign on URL’sini giriyoruz. Örn: https://<servisadi>.service-now.com
Auto configure single sign-on ekranında dilerseniz otomatik oturum açma için yetkili kullanıcı adı ve parolasını belirleyebilir ya da bir sonraki ekrana geçerek manuel yapılandırma yapabilirsiniz.
Configure single sign-on at ServiceNow ekranında Download certificate butonuna tıklayarak gelen sertifikayı bilgisayarımızda bir yere kaydediyoruz.
Sertifikayı kaydettikten sonra bu ekranı kapatmadan tarayıcımızda yeni bir sekme açarak ServiceNow Sign-On URL’sine bağlanıyoruz. Yetkili kullanıcı adı ve şifresi ile oturum açtıktan sonra Multi-Providor SSO sekmesinden Properties bölümüne geliyoruz.
Bu bölümde “Enable multiple provider SSO” bölümünde YES, “Enable debug logging fort he multiple provider SSO integration” bölümünde de YES’i işaretleyip kaydediyoruz.
Tekrar Multi-Provider SSO bölümünden x509 Certificate bölümünü seçiyoruz.
Açılan bölümde NEW butonu ile devam ediyoruz.
Daha önceden indirdiğimiz sertifikayı notepad ile açıp içerisindekileri kopyalıyoruz.
Name bölümüne örnek olarak TestSAML2.0 yazıyoruz. Format bölümünde PEM, Type bölümünden Trust Store Cert’i seçip PEM Certificate bölümüne kopyaladığımız sertifika içeriğini yapıştırıyoruz. Update butonu ile kaydediyoruz.
Tekrar Multi-Provider SSO bölümünden Identity Providers sekmesine geliyoruz.
NEW butonu ile devam ediyoruz.
Gelen ekrandan SAML2 Update1? Bölümünü seçiyoruz.
Açılan bölümünden sırasıyla aşağıdaki girişleri yapıp kaydediyoruz.
- Name bölümüne örnek olarak SAML 2.0 yazıyoruz.
- User field bölümüne email adresi giriyoruz.
- Identity Provider URL bölümüne Azure AD portal üzerindeki Identity Provider ID’yi giriyoruz.
- Identity Provider’s AuthnRequest bölümüne Azure AD portal üzerindeki Authentication Request URL bölümünü giriyoruz.
- Identity Provider’s SingleLogoutRequest bölümüne Azure AD portal üzerindeki Single Sign-Out Service URL bölümünü giriyoruz.
- ServiceNow Homepage bölümüne ServiceNow anasayfanızın adresini giriyoruz.
- Entity ID /Issuer bölümüne ServiceNow tenant URL’sini giriyoruz.
- Audience URL bölümüne ServiceNow tenant URL’sini giriyoruz.
- Protocol Binding for the IDP’s SingleLogoutRequest bölümüne “urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect” yazıyoruz.
- NameID Policy bölümüne “urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified”
- Create an AuthnContextClass bölümünün işaretini kaldırıyoruz.
- AuthnContextClassRef Method bölümüne http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password yazıyoruz.
- Clock Skew bölümüne 60 yazıyoruz.
- Single Sign On Script bölümünde MultiSSO_SAML2_Update1 ‘i seçiyoruz.
- x509 Certificate bölümünde daha önce oluşturduğumuz sertifikayı seçiyoruz.
- Submit butonu ile kaydediyoruz.
Azure yönetim portalına döndüğümüzde resimdeki işaretli bölümü seçerek devam ediyoruz.
Son ekranda da bildirimler için bir email adresi tanımlayıp işlemimizi tamamlıyoruz.
İşlemimizi tamamladıktan sonra 2. Adım olan hesapların ServiceNow uygulamasına otomatik olarak sağlanmasını gerçekleştirebilirsiniz.
Bu bölümde ServiceNow uygulamamıza bir instance adı beliryeyip, yetkili bir kullanıcı adı şifresini yazıyoruz.
Karşımıza gelen ekranda Start Test butonuna basıyoruz.
Test başarılı olursa aşağıdaki gibi ekran ile karşılırsınız.
Ardından otomatik olarak sağlanacak hesaplar için yapılandırma penceresi karşımıza gelecektir. Burada User ve Group obje tiplerini seçebilirsiniz.
İşlemin ardından Start automatic provisioning now seçeneğini işaretleyip işlemimizi tamamlayabiliriz.
- bölümde de Microsoft Azure AD servisi üzerinden ServiceNow uygulamamıza erişecek kullanıcıları belirleyebiliriz.
Bu bölüme tıkladığımızda Microsoft Azure AD içerisinde ki ( Dolayısıyla lokal Activde Directory içerisindeki) kullanıcıları görebilirsiniz. Microsoft Azure AD içerisine kendi domain adınızı eklediğinizdeİ daha önce belirttiğim gibi; onmicrosoft.com suffix’i ile değil, sahip olduğunuz domain name gelecektir. Böylece kullanıcılarınız SSO işlemini başarılı bir şekilde gerçekleştirebilecektir. Burada artık istediğimiz kullanıcıları seçip Assign butonuna basabiliriz.
Assign ettiğimiz kullanıcılar aşağıdaki gibi görülecektir.
Artık yetkilendirilmiş kullanıcılarınız https://myapps.microsoft.com adresinden kullanıcı adı şifreleriyle oturum açtıklarında ServiceNow uygulaması için uygulama portal ekranında bağlantı kısa yolu göreceklerdir.
Ve tabi son olarak ServiceNow uygulamasında kullanıcılar bölümünde Microsoft Azure AD kullanıcılarınızı görebilirsiniz.
Bir sonraki Azure ile ilgili yazımızda görüşmek üzere.