Integration mit Okta

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 8 Minuten Lesedauer

    • Sie können Ihre ServiceNow -Instanz mit Okta integrieren, um die Softwarenutzung für alle verbundenen SSO-Anwendungen anzuzeigen.

    Erstellen Sie eine Anwendung Okta .

    Erstellen Sie eine Okta -Anwendung, die Sie mit dem Now Platformintegrieren können.

    Vorbereitungen

    Okta Erforderliche Rolle: Superadministrator, Anwendungsadministrator oder API-Zugriffsverwaltungsadministrator
    Hinweis:
    Die Rollen „Superadministrator“, „Anwendungsadministrator“ oder „API-Zugriffsverwaltungsadministrator“ sind nur zum Erstellen von Okta OAuth 2.0-Anwendungen erforderlich. Die Verbindung zwischen der OAuth-Anwendung [ Okta und ServiceNow sollte von einem Administrator mit Zugriff auf alle -Anwendungen hergestellt werden. Nachdem eine Okta OAuth 2.0-Anwendung erstellt wurde, wird der Zugriff, den die SaaS-Lizenzmanagement Okta -Integration in Okta hat, durch die Bereiche bestimmt, die für die Okta OAuth 2.0-Anwendung aktiviert sind. Weitere Informationen zu Okta Administratorrollen und Bereichen und unterstützten Endpunkten finden Sie unter Administratorrollen und Berechtigungen für weitere Details zu Okta OAuth-Bereichen.

    Prozedur

    1. Melden Sie sich über einen Webbrowser bei der Okta-Administratorkonsolean.
    2. Erstellen Sie eine Anwendung Okta mit OAuth 2.0-Funktionalität.

      Ausführliche Anweisungen finden Sie unter OAuth 2.0-App für Okta erstellen.

      Beachten Sie beim Erstellen Ihrer Okta -Anwendung die folgenden Punkte:
      • Geben Sie in den Feldern Anmeldeumleitungs-URI und Abmeldeumleitungs-URIhttps://ein.<instance-name> .service-now.com/oauth_redirect.do , wobei <instance-name> der Name Ihrer ServiceNow -Instanz ist.
      • Kopieren Sie die Werte in die Felder Client-ID und Geheimer Clientschlüssel. Speichern Sie sie zur späteren Verwendung an einem sicheren Ort.
      • Gewähren Sie Ihrer Okta OAuth 2.0-Anwendung die folgenden Bereiche:
        • okta.groups.read
        • okta.eventHooks.read
        • okta.groups.manage
        • okta.eventHooks.verwalten
        • okta.apps.read
        • okta.users.manage
        • okta.users.read
        • okta.logs.read
        • okta.apps.verwalten
      • Aktivieren Sie das Kontrollkästchen Token aktualisieren unter dem Gewährungstyp Client, der im Namen eines Benutzers handelt im Okta-Portal.

    Erstellen Sie ein Okta -Integrationsprofil

    Erstellen Sie ein Okta -Integrationsprofil in Ihrer Instanz ServiceNow.

    Vorbereitungen

    Um ein Okta -Integrationsprofil zu erstellen, fordern Sie das Plugin Software Asset Management - SaaS-Lizenzmanagement (com.sn_sam_saas_int) aus dem ServiceNow Storean.

    ServiceNow Erforderliche Rolle: sam_integrator oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Ab Version 7.0.0 von Software Asset Management - SaaS-Lizenzmanagement und Version 4.1.2 der Spoke Okta ] erstellt Ihre Instanz ServiceNow eine separate Verbindung Okta für jedes von Ihnen erstellte Integrationsprofil Okta. Jede Verbindung wird unabhängig voneinander ausgeführt, sodass Ihre Instanz mehrere unabhängige Okta Integrationsprofile unterstützen kann.

    Wenn Sie Software Asset Workspaceverwenden, ist die Option zum Erstellen des Integrationsprofils [ Okta in Core-UI inaktiv.

    Prozedur

    1. Navigieren Sie zum Integrationsprofil.
      SchnittstelleAktion
      Core-UI
      1. Navigieren zu Alle > Software Asset > SaaS-Lizenz > SSO-Integrationsprofile.
      2. Wählen Sie Neu.
      3. Wählen Sie Okta-Integrationsprofil aus.
      Software-Asset-Arbeitsbereich
      1. Navigieren zu Lizenzvorgänge > Benutzerabonnements > SSO-Integrationsprofile.
      2. Wählen Sie Neu.
      3. Wählen Sie Okta aus der Dropdown-Liste aus.
      4. Wählen Sie Fortsetzen aus.
    2. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „SSO-Integrationsprofil“.
      Feld Beschreibung
      Anzeigename Name des Integrationsprofils. Beispiel: Okta-Integration.
      Status Status des Integrationsprofils.
      • Wenn Sie das Integrationsprofil nicht veröffentlicht haben, wird dieses Feld automatisch auf Entwurfgesetzt.
      • Wenn Sie das Integrationsprofil bereits veröffentlicht haben, wird dieses Feld automatisch auf Veröffentlichtgesetzt.
      Verzeichnisintegration Ein Verweis auf das Verzeichnisintegrationsprofil, das zum Abrufen der Active Directory-Benutzer, -Gruppen und -Gruppenmitgliedschaften einer Organisation verwendet wird.
      • Wenn ein Verzeichnisintegrationsdatensatz für Okta vorhanden ist, können Sie den vorhandenen Datensatz auswählen.
      • Wenn für Okta kein Verzeichnisintegrationsdatensatz vorhanden ist, wird beim Speichern oder Absenden dieses Formulars ein neuer Datensatz erstellt.
      Profiltyp Typ des Integrationsprofils.

      Dieses Feld wird automatisch auf Oktafestgelegt.
      Verbindung und Anmeldeinformationen

      Verweis auf den Alias für Verbindungen und Anmeldeinformationen, der im Verzeichnis und in der SSO-Integration verwendet wird.

      • Wenn ein Verzeichnisintegrationsdatensatz vorhanden ist und Sie ihn im Feld „Verzeichnisintegration“ auswählen, wird dieses Feld automatisch auf den Alias für Verbindungen und Anmeldeinformationen des Verzeichnisintegrationsdatensatzes festgelegt.
      • Wenn kein Verzeichnisintegrationswert vorhanden ist, wird dieses Feld automatisch ausgefüllt.
      Okta-Abonnements erstellen Option zum Erstellen eines direkten Integrationsprofils zum Anzeigen von Okta Abonnements, nachdem dieses Integrationsprofil veröffentlicht wurde.

      Standardwert: False
    3. Wählen Sie Absenden.
    4. Öffnen Sie das Dialogfeld Verbindung und Anmeldeinformationen erstellen.
      SchnittstelleAktion
      Core-UI Wählen Sie im Formular „SSO-Integrationsprofil“ den zugehörigen Link Neue Verbindung und Anmeldeinformationen erstellen aus.
      Software-Asset-Arbeitsbereich
      1. Auswahl des Vorschausymbols ( Vorschausymbol) neben dem Feld „ Verbindung und Anmeldeinformationen “.
      2. Wählen Sie in der Datensatzvorschau Datensatz öffnen aus.
      3. Klicken Sie im Formular für Aliasse für Verbindungen und Anmeldeinformationen auf den zugehörigen Link Neue Verbindung und Anmeldeinformationen erstellen.
    5. Füllen Sie im Dialogfeld die Felder aus.
      Tabelle : 2. Dialogfeld „Verbindung und Anmeldeinformationen erstellen“
      Feld Beschreibung
      Name Name der Verbindung Beispiel: Okta-Verbindung.
      Verbindungs-URL URL für die Verbindung. Geben Sie https://<yourOktaDomain>.comein, wobei <yourOktaDomain> die Domäne Ihrer Organisation ist.
      Autorisierungs-URL URL des OAuth-Autorisierungsendpunkts. Geben Sie https://<yourOktaDomain>.com/oauth2/v1/authorizeein, wobei <yourOktaDomain> die Domäne Ihrer Organisation ist.
      Token-URL URL des OAuth-Endpunkts, der Zugriffstoken abruft und aktualisiert. Geben Sie https://<yourOktaDomain>.com/oauth2/v1/tokenein, wobei <yourOktaDomain> die Domäne Ihrer Organisation ist.
      Token-Sperr-URL URL des OAuth-Endpunkts, der Zugriffstoken widerruft. Geben Sie https://<yourOktaDomain>.com/oauth2/v1/revokeein, wobei <yourOktaDomain> die Domäne Ihrer Organisation ist.
      OAuth-Client-ID Client-ID, die Ihrer Anwendung Okta zugewiesen ist.
      Geheimer OAuth-Schlüssel Geheimer Clientschlüssel, der Ihrer Anwendung Okta zugewiesen ist.
      OAuth-Umleitungs-URL URL des OAuth-Providers, zu dem Benutzer nach der Authentifizierung weitergeleitet werden. Dieses Feld wird automatisch auf https://festgelegt.<instance-name> .service-now.com/oauth_redirect.do , wobei <instance-name> der Name Ihrer ServiceNow -Instanz ist.
    6. Wählen Sie OAuth-Token erstellen und abrufen aus.
      Das Anmeldedialogfeld des Portals Okta wird geöffnet.
    7. Geben Sie im Dialogfeld Ihre Okta -Anmeldeinformationen ein, und wählen Sie dann Anmeldenaus.
      Hinweis:
      Sie müssen sich mit denselben Anmeldeinformationen wie in den Rollen „Superadministrator“, „Anwendungsadministrator“ oder „API-Zugriffsverwaltungsadministrator“ anmelden.
      Das Dialogfeld wird geschlossen, und Sie kehren automatisch zum SSO-Integrationsprofil zurück.
    8. Wählen Sie Veröffentlichen aus.

    Ergebnisse

    Sowohl regelmäßige Aufgaben als auch Verzeichnisaufgaben laden eine Liste aller Anwendungen, Benutzer, Gruppen und Softwareabonnements herunter, die Ihrer Anwendung Okta zugeordnet sind. Zeigen Sie den Status Ihrer Aufgabe auf den Registerkarten „Ergebnisse der geplanten Aufgaben“ und „Ergebnisse der Verzeichnisaufgabe “ Ihres Integrationsprofils an. Software Asset Management erstellt automatisch Softwaremodelle für Anwendungen mit einer externen Katalog-ID, die einem Bezeichner in der Tabelle „Abonnementproduktdefinitionen“ [samp_sw_subscription_product-definition] entspricht.

    Nächste Maßnahme

    Wenn Sie das Kontrollkästchen Okta-Abonnements erstellen aktiviert haben und dieses Integrationsprofil veröffentlicht wird, wird ein direktes Integrationsprofil für Okta erstellt. Sie können zum direkten Integrationsprofil navigieren, indem Sie in der Informationsnachricht auf den Link Profil für direkte Integration klicken.

    Nachdem Sie zum direkten Integrationsprofil navigiert sind, können Sie Okta Abonnements anzeigen, indem Sie die Registerkarte Software-Abonnements auswählen. Weitere Informationen finden Sie unter Okta SSO-Direkt-Integrationsprofil.

    Warnung:

    Wenn Ihr OAuth-Token abläuft, zeigt Ihr Okta -Integrationsprofil eine Fehlermeldung an, die angibt, dass Sie ein neues OAuth-Token erhalten müssen. Wählen Sie den Link in der Fehlermeldung aus, um das neue OAuth-Token zu erhalten.

    Löschen Sie nicht den OAuth 2.0-Anmeldeinformationsdatensatz, der dem Verbindungsdatensatz für Ihr Okta -Integrationsprofil zugeordnet ist. Wenn Sie den OAuth 2.0-Anmeldeinformationsdatensatz löschen, können Sie nach Ablauf Ihres aktuellen OAuth-Tokens kein neues OAuth-Token abrufen.

    Nachdem Sie das Integrationsprofil veröffentlicht und Anwendungen mit dem Profil verbunden haben, können Sie Events anzeigen, die von einzelnen Benutzern bis zu 60 Tage vor dem aktuellen Datum durchgeführt wurden. Weitere Informationen finden Sie unter Überprüfen Sie eine Software-Rückforderungsregel.

    Okta SSO-Direkt-Integrationsprofil

    Das direkte Integrationsprofil vonOkta SSO unterstützt Sie bei der Verwaltung von Okta Benutzerlizenzen, indem beim Einrichten einer Okta SSO-Integration Abonnements für Okta Benutzer erstellt werden.

    Tabelle : 3. OKTA-SSO-Direkt-Integrationsprofil
    Feld Beschreibung
    Anzeigename Name des Integrationsprofils.
    Status Status des Integrationsprofils.

    Dieses Feld wird automatisch auf Veröffentlichtgesetzt.
    Profiltyp Integrationsprofiltyp.

    Dieses Feld wird automatisch auf Okta-Abonnementfestgelegt.
    Abonnement-Subflow herunterladen
    Unterablauf Dieses Feld wird automatisch auf Okta Download Subscriptionsfestgelegt.

    Verbinden Sie SSO-Anwendungen

    Verbinden Sie eine SSO-Anwendung, um alle Benutzer und Gruppen zu überwachen, die Zugriff auf diese Anwendung haben. Sie können auch Benutzeranmeldungsdaten nachverfolgen und nicht verwendete Lizenzen zurückfordern.

    Vorbereitungen

    ServiceNow Erforderliche Rolle: sam_integrator oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    ServiceNow® SaaS-Lizenzmanagement bietet direkte Integrationen mit einigen -Anwendungen. Direkte Integrationen bieten die umfassendsten Nutzungsdaten. Eine Liste der verfügbaren direkten Integrationen finden Sie unter Integrieren Sie in SaaS-Anwendungen.

    Wenn Sie bereits eine direkte Integration für eine Anwendung erstellt haben, führt die Verbindung derselben Anwendung in einer SSO-Integration zu doppelten Abonnementdatensätzen in Ihrer Instanz ServiceNow. Sie sollten nur die direkte Integration verwenden. Wenn Sie eine Anwendung in einer SSO-Integration verbinden, aber später eine direkte Integration für diese Anwendung erstellen möchten, trennen Sie die Anwendung, bevor Sie die direkte Integration erstellen.

    Prozedur

    1. Navigieren zu Alle > SaaS-Lizenz > SSO-Anwendungen.
    2. Wählen Sie die Anwendung aus, mit der Sie eine Verbindung herstellen möchten.
    3. Wenn das Feld Softwaremodell leer ist, fügen Sie ein Softwaremodell für die Anwendung hinzu.
      Bevor Sie eine Anwendung verbinden können, muss sie einem Softwaremodell zugeordnet werden. ServiceNow® Software Asset Management erstellt automatisch Softwaremodelle für Anwendungen mit einer externen Katalog-ID, die einem Bezeichner in der Tabelle „Abonnementproduktdefinitionen“ [samp_sw_subscription_product_definition] entspricht. Für alle anderen Anwendungen können Sie ein Softwaremodell manuell erstellen. Detaillierte Anweisungen hierzu finden Sie unter Erstellen Sie Softwaremodelle in Software Asset Management ( klassisch)..
    4. Wählen Sie im Feld Letzte Aktivität analysieren von das Datum aus, an dem Sie die letzte Aktivität analysieren möchten.

      Sie können mit der Analyse der Anmeldedaten für einzelne Benutzer und Anwendungen ab dem aktuellen Datum oder bis zu 60 Tage davor beginnen. Der Standardwert beträgt 30 Tage. Wenn Sie ein Datum vor dem aktuellen Datum auswählen, kann es aufgrund der Menge der Daten, die Sie analysieren möchten, länger dauern, bis die Ergebnisse angezeigt werden.

      Nachdem Sie einen Wert im Feld Letzte Aktivität analysieren von übermittelt haben, wird das Feld schreibgeschützt.

    5. Wählen Sie Verbinden.
      Tipp:
      Um mehrere Anwendungen gleichzeitig zu verbinden, aktivieren Sie das Kontrollkästchen für jede Anwendung, die Sie in der SSO-Anwendungsliste verbinden möchten. Wählen Sie das Menü Aktionen in der ausgewählten Zeile und dann Verbindenaus. Wenn Anwendungen keinem Softwaremodell zugeordnet sind, wird der Name des Connect -Menüelements aktualisiert, um anzugeben, dass nur einige der Anwendungen verbunden werden. Zum Beispiel gibt ein Menüelement Connect (1 von 4) an, dass nur eine der vier ausgewählten Apps verbunden wird. Fügen Sie den verbleibenden Anwendungen Softwaremodelle hinzu, um mit den Verbindungen fortzufahren.

    Nächste Maßnahme

    Nachdem die SSO-Anwendung eine Verbindung hergestellt hat, erstellt Ihre ServiceNow -Instanz automatisch Benutzer, Gruppen, Abonnements und Rückforderungsregeln, die täglich aktualisiert werden. Wenn Sie einen Benutzer, eine Anwendung, eine Gruppe oder eine Gruppenmitgliedschaft aus der Okta -Entwicklerkonsole löschen, werden die Änderungen in Ihrer ServiceNow -Instanz übernommen.

    Überprüfen Sie alle automatisch generierten Rückforderungsregeln, um sicherzustellen, dass sie Ihren Spezifikationen für die Rückforderung von Benutzerabonnements entsprechen. Weitere Informationen finden Sie unter Überprüfen Sie eine Software-Rückforderungsregel.

    Erstellen Sie Softwareberechtigungen für die automatisch generierten Softwaremodelle, um verwendete Software gegen eigene Software nachzuverfolgen. Weitere Informationen zum Erstellen von Softwareberechtigungen in der klassischen Anwendung [ Software Asset Management finden Sie unter Erstellen Sie Berechtigungen in Software Asset Management ( klassisch).. Weitere Informationen zum Erstellen von Softwareberechtigungen im Software-Asset-Arbeitsbereich finden Sie unter Erstellen Sie Berechtigungen im Arbeitsbereich. Weitere Informationen zum Erstellen von Softwareberechtigungen mit dem Software Asset Management Playbook finden Sie unter Erstellen Sie Berechtigungen mithilfe der geführten Tour.

    Der Abgleich wird auch für Ihre Abonnements als geplante Aufgabe oder bei Bedarf ausgeführt. Sie können Ihre Abgleichergebnisse in der Lizenz-Workbench (klassische AnwendungSoftware Asset Management ) oder in der Lizenznutzungsansicht (Software Asset Workspace) anzeigen. Verwenden Sie diese Ergebnisse, um Ihre Lizenz-Compliance-Position zu bestimmen und etwaige Nichteinhaltungen zu beheben. Weitere Informationen zum Ausführen des Abgleichs in der klassischen Anwendung [ Software Asset Management finden Sie unter Führen Sie den Softwareabgleich aus. Weitere Informationen zum Ausführen des Abgleichs im Software-Asset-Arbeitsbereich finden Sie unter Führen Sie den Softwareabgleich im Arbeitsbereich aus.