Azure AD와 통합

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 9분

    • 인스턴스를 Active Directory(AD)와 Microsoft Azure 통합 ServiceNow 하여 연결된 모든 SSO 애플리케이션에 대한 소프트웨어 사용량을 볼 수 있습니다.

    중요사항:
    필요한 사용자 또는 API 권한에만 액세스 권한을 부여하여 보안 위험을 최소화하고 정보를 보호합니다.
    표 1. 최소 사용자 권한
    프로세스 AD 애플리케이션에서 Microsoft Azure 필요한 사용자 역할 인증 범위
    • 사용자 다운로드
    • 그룹 다운로드
    • 그룹 구성원 자격 다운로드
    		 애플리케이션 개발자 디렉터리.읽기.모두
    애플리케이션 다운로드 애플리케이션 개발자 디렉터리.읽기.모두
    • 애플리케이션 연결
    • 연결된 애플리케이션 업데이트
    • 전역 독자
    • 보고서 판독기
    • 보안
    • 관리자
    • 보안 운영자
    • 보안 판독기
    • 애플리케이션 개발자
    • 감사 로그.읽기.전체
    • 디렉터리.읽기.모두

    Azure AD 애플리케이션 생성

    포털에서 Microsoft Azure 앱과 통합 Now Platform할 앱을 생성합니다.

    시작하기 전에

    Azure AD 필요한 역할: 최소 사용자 권한 테이블을 참조하세요.

    프로시저

    1. 포털에서 Active Directory에 Azure 액세스합니다 Azure .
    2. AD 응용 프로그램을 Azure 만듭니다.
      응용 프로그램 등록 및 구성에 대한 자세한 지침은 Azure Active Directory 응용 프로그램 만들기 를 참조하세요.
      1. 리디렉션 URI 필드에 https://<instance-name>.service-now.com/oauth_redirect.do 을 입력합니다. 여기서 <instance-name>은 인스턴스 이름입니다ServiceNow.
      2. 애플리케이션(클라이언트) ID 및 디렉터리(테넌트) ID를 기록하여 인스턴스에 앱을 외부 공급업체 OAuth 제공자로 등록합니다 ServiceNow .
      3. 클라이언트 비밀을 만들고 값을 기록하여 인스턴스에 앱을 외부 공급업체 OAuth 제공자로 등록합니다 ServiceNow .
      4. API에 Microsoft Graph 액세스할 수 있는 권한을 추가합니다.
        권한 유형
        감사 로그.읽기.전체 위임됨
        Directory.AccessAsUser.All 위임됨
        디렉터리.읽기.모두 위임됨
        사용자.읽기 위임됨
        자세한 내용은 Web API에 액세스할 수 있는 권한 추가 를 참조하세요.
      5. 애플리케이션에 관리자 동의를 부여합니다.
        자세한 내용은 API 권한 및 관리자 동의 UI 이해를 참조하세요.

    Azure AD 통합 프로파일 생성

    인스턴스에 AD 통합 프로파일 ServiceNowAzure 생성합니다.

    시작하기 전에

    AD 통합 프로파일을 Azure 작성하려면 ServiceNow Store에서 소프트웨어 자산 관리 - SaaS 라이선스 관리 플러그인(com.sn_sam_saas_int)을 요청하십시오.

    ServiceNow 필요한 역할: sam_integrator 또는 admin

    이 태스크 정보

    주:
    스포크 버전 7.0.0 소프트웨어 자산 관리SaaS 라이선스 관리 버전 3.1.0 Microsoft Azure AD 부터 인스턴스는 ServiceNow 생성하는 각 Azure AD 통합 프로파일에 대해 별도의 Azure AD 연결을 생성합니다. 각 연결은 서로 독립적으로 실행되므로 인스턴스가 여러 개의 독립적인 Azure AD 통합 프로파일을 지원할 수 있습니다.

    를 사용하는 소프트웨어 자산 작업 공간경우 에서 통합 프로파일 코어 UIMicrosoft Azure AD 생성하는 옵션이 비활성 상태입니다.

    프로시저

    1. 통합 프로파일로 이동합니다.
      인터페이스작업
      코어 UI
      1. 다음으로 이동 모두 > 소프트웨어 자산 > SaaS 라이선스 > SSO 통합 프로파일.
      2. 새로 만들기를 선택합니다.
      3. Microsoft Azure AD 통합 프로필을 선택합니다.
      소프트웨어 자산 워크플레이스
      1. 다음으로 이동 라이센스 운영 > 사용자 구독 > SSO 통합 프로파일.
      2. 새로 만들기를 선택합니다.
      3. 드롭다운 목록에서 Microsoft Azure AD 통합 프로필을 선택합니다.
      4. 계속을 선택합니다.
    2. 표시 이름 필드에 통합 프로파일의 이름을 입력합니다.

      나머지 필드는 양식을 제출할 때 자동으로 채워집니다.

      주:
      SSO 통합은 디렉터리 통합을 사용하여 생성됩니다. 디렉터리 통합은 SSO 통합과 연결된 SSO 애플리케이션, 사용자 및 그룹 데이터를 가져옵니다. 자세한 내용은 SSO 구독 정보 보기 문서를 참조하십시오.

      디렉터리 통합이 Microsoft Azure AD 이미 있는 경우 SSO 통합은 기존 디렉터리 통합을 사용합니다. Microsoft Azure AD 그렇지 않으면 디렉터리 통합이 자동으로 생성됩니다.

    3. 제출을 선택합니다.
    4. Create New Connection & Credential(새 연결 및 자격 증명 생성) 관련 링크를 선택합니다.
      주:
      설치한 소프트웨어 자산 작업 공간경우 연결 및 자격 증명 기록을 열고 새 연결 및 자격 증명 생성 관련 링크를 선택합니다.
    5. 양식의 필드에 내용을 입력합니다.
      표 2. 연결 및 자격 증명 양식 생성
      필드
      인증 URL https://login.microsoftonline.com/directory-id>/oauth2/v2.0/authorize, where<directory-id> 는 포털의 Azure 디렉터리(테넌트) ID입니다.
      토큰 URL https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/token, 여기서 <directory-id> 는 포털의 Azure 디렉터리(테넌트) ID입니다.
      토큰 URL 해지 https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/revoke, 여기서 <directory-id> 는 포털의 Azure 디렉터리(테넌트) ID입니다.
      OAuth 클라이언트 ID 포털에서 만든 애플리케이션의 애플리케이션(클라이언트) ID입니다 Azure .
      OAuth 클라이언트 비밀 포털에서 만든 애플리케이션에 대한 클라이언트 비밀Client secret for the application you created in the portal.Azure
      OAuth 리디렉션 URL https://<instance-name>.service-now.com/oauth_redirect.do. 여기서 <instance-name> 은 인스턴스 이름입니다 ServiceNow . 이 값은 자동으로 채워집니다.
    6. OAuth 토큰 생성 및 가져오기를 선택합니다.
      이 단계를 수행하는 데 필요한 역할은 최소 사용자 권한 테이블을 참조하십시오.
    7. 팝업 창에서 AD 관리자 자격 증명을 사용하여 Azure 계정에 로그인합니다.
    8. 게시를 선택합니다.
      예약된 작업 및 디렉터리 작업은 모든 애플리케이션, 사용자 및 그룹의 목록을 다운로드합니다. 자세한 내용은 SSO 구독 정보 보기 문서를 참조하십시오. 통합 프로파일의 예약된 작업 결과 및 디렉터리 작업 결과 관련 목록에서 작업 상태를 확인합니다. 구독 제품 정의 [samp_sw_subscription_product_definition] 테이블의 식별자와 일치하는 외부 카탈로그 ID를 가진 애플리케이션용 소프트웨어 모델이 자동으로 작성됩니다.

    결과

    통합 프로파일을 게시하고 애플리케이션을 프로파일에 연결한 후 현재 날짜 최대 60일 전에 개별 사용자가 수행한 이벤트를 볼 수 있습니다. 자세한 내용은 소프트웨어 재생 규칙 검토 문서를 참조하십시오.

    SSO 앱 커넥트

    SSO(Single Sign-On) 앱을 연결하여 앱에 대한 액세스 권한이 있는 모든 사용자 및 그룹을 봅니다. 사용자 로그인 데이터를 추적하고 사용하지 않는 라이센스를 회수합니다.

    시작하기 전에

    필요한 역할: sam_integrator 또는 admin

    이 태스크 정보

    주:
    Active Directory(Azure AD)의 경우 Azure 응용 프로그램 구성 페이지의 할당 필요 토글 단추는 사용자의 응용 프로그램 액세스를 제어합니다.
    • 이 토글 버튼이 로 설정된 경우 이 애플리케이션을 Azure AD 사용자와 관련 애플리케이션 및 서비스에 할당해야 합니다. 애플리케이션을 Azure 할당한 후에는 AD 사용자, 연결된 애플리케이션 및 서비스가 액세스할 수 있습니다.
    • 이 토글 버튼을 아니요로 설정하면 모든 사용자가 애플리케이션에 로그인할 수 있습니다. 연결된 응용 프로그램 및 서비스도 이 서비스에 대한 액세스 토큰을 얻을 수 있습니다.

    SaaS 라이선스 관리 는 엄선된 애플리케이션과의 직접 통합을 제공합니다. 직접 통합은 가장 강력한 사용량 데이터를 제공합니다. 사용 가능한 직접 통합 목록은 을 참조하십시오 SaaS 애플리케이션과 통합. 앱에 대한 직접 통합이 있는 경우 SSO 통합에서 동일한 앱을 연결하면 인스턴스에 ServiceNow 중복 구독 기록이 생성됩니다. SSO 앱을 연결하고 나중에 해당 앱에 대한 직접 통합을 생성하기로 결정한 경우 직접 통합을 생성하기 전에 앱의 연결을 끊습니다.

    프로시저

    1. 다음으로 이동 모두 > SaaS 라이선스 > SSO 애플리케이션.
    2. 연결할 애플리케이션을 선택합니다.
    3. 소프트웨어 모델 필드가 비어 있으면 앱에 대한 소프트웨어 모델을 추가합니다.
      앱을 연결하려면 먼저 앱에 소프트웨어 모델이 있어야 합니다. 구독 제품 정의 [samp_sw_subscription_product_definition] 테이블의 식별자와 일치하는 외부 카탈로그 ID를 가진 앱에 대한 소프트웨어 모델이 자동으로 생성됩니다. 다른 모든 앱의 경우 소프트웨어 모델을 수동으로 만들 수 있습니다. 자세한 내용은 클래식에서 소프트웨어 자산 관리 소프트웨어 모델 만들기 문서를 참조하십시오.
    4. 필드에서 마지막 활동 분석 날짜를 선택합니다.

      개별 사용자 및 애플리케이션에 대한 로그인 데이터를 현재 날짜부터 또는 최대 60일 전부터 분석하도록 선택할 수 있습니다. 기본값은 30일입니다. 과거의 날짜를 선택하면 최근에 사용되지 않은 구독을 볼 수 있으므로 실시간으로 기다리지 않고 부실 구독을 탐지할 수 있습니다. 과거의 날짜를 선택하면 분석되는 데이터의 양이 증가하기 때문에 결과를 보는 데 시간이 더 오래 걸릴 수 있습니다.

      마지막 활동 분석 소스에서 값을 제출하면 필드는 읽기 전용이 됩니다.

    5. 연결을 선택합니다.
      팁:
      SSO 애플리케이션 목록에서 여러 앱을 동시에 연결할 수도 있습니다. 목록 왼쪽에 있는 확인란을 사용하여 앱을 선택합니다. 목록 아래쪽에서 선택한 행에 대한 작업 드롭다운 메뉴를 선택한 다음, 연결을 선택합니다. 일부 앱에 소프트웨어 모델이 없는 경우 연결 작업은 모든 앱이 연결되어 있지 않음을 보여줍니다. 예를 들어 Connect(1/4) 는 선택한 4개의 앱 중 1개만 연결되어 있음을 보여 줍니다. 소프트웨어 모델을 추가하여 나머지 앱을 연결합니다.

    결과

    SSO 애플리케이션이 연결되면 인스턴스가 ServiceNow 자동으로 사용자, 그룹, 구독 및 재생 규칙을 생성하며, 이러한 규칙은 매일 갱신됩니다.
    • 할당 필요 토글 버튼을 로 설정하면 연결된 Azure AD 사용자에 대해서만 구독이 생성됩니다.
    • 할당 필요 토글 버튼이 아니요로 설정된 경우 모든 AD 사용자에 대한 구독이 Azure 생성됩니다.

    다음에 수행할 작업

    자동으로 생성된 모든 재생 규칙을 검토하여 사용자 구독 회수 사양을 충족하십시오. 자세한 내용은 소프트웨어 재생 규칙 검토 문서를 참조하십시오.

    소유한 소프트웨어에 대해 사용된 소프트웨어를 추적하기 위해 자동으로 작성된 소프트웨어 모델에 대한 소프트웨어 권리를 생성합니다. 클래식 애플리케이션에서 소프트웨어 자산 관리 소프트웨어 권리를 만드는 방법에 대한 자세한 내용은 을 참조하십시오 클래식에서 소프트웨어 자산 관리 권리 생성. 소프트웨어 자산 작업 공간에서 소프트웨어 권리를 생성하는 방법에 대한 자세한 내용은 을 참조하십시오 작업 공간에서 권리 생성. 플레이북을 소프트웨어 자산 관리 사용하여 소프트웨어 권리를 생성하는 방법에 대한 자세한 내용은 을 참조하십시오 가이드가 있는 워크스루를 사용하여 권리 생성.

    또한 조정은 구독에서 예약된 작업으로 실행되거나 요청 시 실행됩니다. 조정 결과는 라이센스 워크벤치(소프트웨어 자산 관리클래식 애플리케이션) 또는 라이센스 사용량 뷰(소프트웨어 자산 작업 공간)에서 볼 수 있습니다. 이러한 결과를 사용하여 라이센스 준수 위치를 확인하고 미준수를 정정합니다. 클래식 애플리케이션에서 소프트웨어 자산 관리 조정을 실행하는 방법에 대한 자세한 내용은 을 참조하십시오 소프트웨어 조정 실행. 소프트웨어 자산 작업 공간에서 조정을 실행하는 방법에 대한 자세한 내용은 다음 문서를 참조하십시오 작업 공간에서 소프트웨어 조정 실행.