Richten Sie die Entra ID-Spoke Microsoft ein

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Integrieren Sie die Instanz ServiceNow und Ihr Konto Microsoft Entra, indem Sie eine benutzerdefinierte OAuth-Anwendung in der Entra-ID Microsoft erstellen, um Anforderungen von ServiceNow ] zu authentifizieren.

    Vorbereitungen

    • IntegrationHub-Abonnement anfordern
    • Erforderliche Rolle: admin

    Erstellen Sie eine Microsoft Entra ID-Anwendung

    Erstellen Sie im Azure-Portal eine benutzerdefinierte App, um die OAuth 2.0-Authentifizierung mit der Microsoft Entra ID-Spoke zu aktivieren.

    Vorbereitungen

    • Fordern Sie ein IntegrationHub-Abonnement an.
    • Aktivieren Sie die Entra ID-Spoke Microsoft.
    • Microsoft Anforderungen für Entra ID-Speiche:
      • Microsoft Entra ID-Konto
      • Microsoft Entra ID-Administrator-Anmeldeinformationen
    • Erforderliche Rolle: admin

    Warum und wann dieser Vorgang ausgeführt wird

    Führen Sie diese Schritte über Ihr Azure-Portal aus. In der Dokumentation zu Microsoft Identity Platform finden Sie Anweisungen zum Erstellen und Konfigurieren von benutzerdefinierten Anwendungen.

    Prozedur

    1. Greifen Sie über Ihr Azure-Portal auf Microsoft Entra ID zu.
    2. Erstellen Sie eine Microsoft Entra ID-Anwendung.
      Alternativ können Sie eine vorhandene Anwendung verwenden. Stellen Sie sicher, dass Sie die vorhandene Anwendung wie hier beschrieben konfigurieren.
    3. Navigieren Sie zu App-Registrierungen, und klicken Sie auf Neue Registrierung.
    4. Füllen Sie die Werte im Formular aus.
    5. Geben Sie im Feld Umleitungs-URIdie Instanz-URL ServiceNow in folgendem Format ein: https://<Instance-Name> .service-now.com/oauth_redirect.do .
      Anweisungen zum Registrieren und Konfigurieren einer Anwendung finden Sie unter Microsoft Entra-Anwendungen und -Dienstprinzipale erstellen, die auf -Ressourcen zugreifen können.
      Erstellen Sie eine Anwendung.
    6. Klicken Sie auf registrieren.
      Die Anwendung wird erstellt, und die erforderlichen Details werden angezeigt.
    7. Kopieren Sie den Wert der Verzeichnis-ID, und notieren Sie ihn.
      Dieser Wert ist erforderlich, um die App als OAuth-Drittpartei in Ihrer ServiceNow -Instanz zu registrieren.
      Verzeichnis-ID kopieren
    8. Klicken Sie auf Zertifikate und geheime Schlüssel.
    9. Klicken Sie auf New client secret (Neuer geheimer Clientschlüssel).
      Geheimnis wird generiert und angezeigt.
    10. Kopieren Sie den Wert, und notieren Sie ihn.
      Dieser Wert ist erforderlich, um die App als OAuth-Drittpartei in Ihrer ServiceNow -Instanz zu registrieren.
      Kopieren Sie den Wert des geheimen Clientschlüssels.
    11. Klicken Sie auf API-Berechtigungen.
    12. Klicken Sie auf Eine Berechtigung hinzufügen, um die erforderlichen Berechtigungen für den Zugriff auf die APIs hinzuzufügen. Informationen zu Berechtigungen, die zum Ausführen der erforderlichen Aktionen erforderlich sind, finden Sie im Abschnitt „Spoke-Aktionen“ hier: Microsoft Entra ID-Spoke (früher Microsoft Azure Active Directory-Spoke).
      Fügen Sie API-Berechtigungen hinzu.
    13. Gewähren Sie Ihrer Anwendung die Einwilligung des Administrators.
      Weitere Informationen finden Sie unter Schnellstart: Clientanwendungen für den Zugriff auf eine Web-API konfigurieren.

    Erstellen Sie einen Alias für Verbindungen und Anmeldeinformationen für die Entra ID-Spoke Microsoft .

    Erstellen Sie Verbindungsdatensätze für Ihr Microsoft Entra ID-Konto. Die Aliasse für Verbindungen und Anmeldeinformationen der Microsoft Entra ID-Spoke verwenden diese Verbindungen, um Aktionen in der Microsoft Entra ID auszuführen.

    Vorbereitungen

    Erforderliche Rolle: admin.

    Prozedur

    1. Navigieren zu Alle > IntegrationHub > Verbindungen und Anmeldeinformationen > Azure AD.
    2. Klicken Sie unter Zugehörige Linksauf Neue Verbindung und Anmeldeinformationen erstellen.
    3. Füllen Sie im Formular die folgenden Felder aus:
      Feld Wert erforderlich
      Geben Sie die Verbindungsinformationen ein.
      Name Name zur Identifizierung des Verbindungsdatensatzes. Geben Sie beispielsweise Azure AD-Verbindung ein.
      Geben Sie die Anmeldeinformationen ein.
      Auth-URL Autorisierungs-URL in folgendem Format: https://login.microsoftonline.com/<Directory ID> /oauth2/v2.0/authorize . Ersetzen<Directory ID> mit der Verzeichnis-ID in Ihrer Entra ID-Konfiguration.
      Token-URL Token-URL in folgendem Format: https://login.microsoftonline.com/<Directory ID> /oauth2/v2.0/token . Ersetzen<Directory ID> mit der Verzeichnis-ID in Ihren Microsoft Entra ID-Konfigurationseigenschaften.
      URL zum Widerrufen des Tokens URL zum Widerrufen des Tokens in folgendem Format: https://login.microsoftonline.com/<Directory ID> /oauth2/v2.0/revoke . Ersetzen<Directory ID> mit der Verzeichnis-ID in Ihren Entra ID-Konfigurationseigenschaften.
      OAuth-Client-ID Client-ID, die Sie während der Registrierung der Entra ID-Anwendung erstellt haben.
      Geheimer OAuth-Schlüssel Schlüsselwert, den Sie während der Registrierung der Entra ID-Anwendung erstellt haben.
      OAuth-Umleitungs-URL Umleitungs-URL Ihrer ServiceNow -Instanz in folgendem Format: https://<instance-name> .service-now.com/oauth_redirect.do .
    4. Klicken Sie auf OAuth-Token erstellen und abrufen.
    5. Navigieren zu System-OAuth > Applikationsregistrierung.
    6. Öffnen Sie den Datensatz Microsoft Entra ID Spoke OAuth.
    7. Stellen Sie in der zugehörigen Liste OAuth-Entitätsbereiche sicher, dass diese Einträge verfügbar sind, oder erstellen Sie diese Datensätze, wenn sie nicht verfügbar sind.
      Name OAuth-Bereich
      Geben Sie einen eindeutigen Namen für den Datensatz ein, z. B. Autorisierungscode. Geben Sie offline_access ein.
      Geben Sie einen eindeutigen Namen für den Datensatz ein, z. B. openid. Geben Sie openid ein.
      Geben Sie einen eindeutigen Namen für den Datensatz ein, z. B. Client-Anmeldeinformationen. Geben Sie https://graph.microsoft.com/.default ein.
    8. Klicken Sie mit der rechten Maustaste auf den Formularheader und wählen Sie Speichern aus.
      Das System validiert die OAuth-Anmeldeinformationen und füllt die Umleitungs-URL und die zugehörige Liste OAuth-Entitätsprofile.
    9. Öffnen Sie in der zugehörigen Liste „OAuth-Entitätsprofile“ den Standardprofildatensatz.
    10. Vergewissern Sie sich, dass der Datensatz „openid“ für den Entitätsbereich in der zugehörigen Liste „Umfänge des OAuth-Entitätsprofils “ angezeigt wird. Wenn dies nicht der Fall ist, wählen Sie den Datensatz „openid“ aus.

    Ergebnisse

    Die Entra ID-Spoke Microsoft wird eingerichtet und in die Instanz ServiceNow integriert.
    Hinweis:
    Wenn Sie mit Neue Verbindung und Anmeldeinformationen erstellen unter Zugehörige Linkseinen neuen Alias für Verbindungen und Anmeldeinformationen erstellen, wird der Gewährungstyp des Anwendungsregistrierungsdatensatzes standardmäßig auf Autorisierungscode festgelegt.
    • Wenn Sie die Anmeldeinformationen eines Azure-Benutzers verwenden möchten, um das OAuth-Token zu erhalten und alle Flows mit dieser Benutzerdelegierung auszuführen, verwenden Sie den Autorisierungscode. Derzeit wird die Delegierung von Berechtigungen an jeden angemeldeten ServiceNow-Benutzer nicht unterstützt.
    • Wenn Sie die Berechtigung einer App anstelle eines einzelnen Benutzers erteilen möchten, ändern Sie den Gewährungstyp in Client-Anmeldeinformationen. Dadurch wird sichergestellt, dass alle Flows, entweder interaktiv oder Hintergrund, die App-Berechtigungen zum Ausführen der Flows verwenden. Weitere Informationen zur Verwendung von Client-Anmeldeinformationen finden Sie unter KB0993701.
    • In Situationen, in denen Sie nicht einen Gewährungstyp verwenden können, sondern zum Ausführen der Aktionen die Gewährungstypen „ Autorisierungscode “ und „ Client-Anmeldeinformationen “ benötigen, erstellen Sie einen untergeordneten Alias.

    Generieren Sie das Entra ID-OAuth-Token erneut

    Generieren Sie das Entra ID-OAuth-Token erneut, wenn es abgelaufen ist.

    Vorbereitungen

    Erforderliche Rolle: admin.

    Prozedur

    1. Navigieren zu Alle > Verbindungen und Anmeldeinformationen > Berechtigungen.
    2. Wählen Sie den OAuth-Anmeldeinformationsdatensatz der Entra ID-Spoke aus.
      Wählen Sie beispielsweise Azure AD-Anmeldeinformationenaus.
    3. Klicken Sie unter Zugehörige Links auf OAuth-Token abrufen.