Integration mit Azure AD

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 6 Minuten Lesedauer

    • Sie können Ihre ServiceNow -Instanz mit Microsoft Azure Active Directory (AD) integrieren, um die Softwarenutzung für alle verbundenen SSO-Anwendungen anzuzeigen.

    Erstellen Sie eine Azure AD-Anwendung

    Erstellen Sie im Portal Microsoft Azure eine App zur Integration mit Now Platform.

    Vorbereitungen

    Azure Erforderliche AD-Rolle: admin

    Prozedur

    1. Greifen Sie über das Portal [ Azure auf Azure Active Directory zu.
    2. Erstellen Sie eine Azure AD-Anwendung.
      Ausführliche Anweisungen zum Registrieren und Konfigurieren einer Anwendung finden Sie unter Azure Active Directory-Anwendungen erstellen.
      1. Geben Sie im Feld Umleitungs-URIhttps:// ein.<instance-name> .service-now.com/oauth_redirect.do , wobei ist der Name Ihrer Instanz ServiceNow .
      2. Notieren Sie die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant), um die App als OAuth-Drittpartei in Ihrer ServiceNow -Instanz zu registrieren.
      3. Erstellen Sie einen geheimen Clientschlüssel, und notieren Sie den Wert, um die App als OAuth-Drittpartei-Provider in Ihrer ServiceNow -Instanz zu registrieren.
      4. Fügen Sie Berechtigungen für den Zugriff auf die Microsoft Graph -API hinzu.
        Berechtigung Typ
        AuditProtokoll.Lesen.Alle Delegiert
        Verzeichnis.ZugriffAlsBenutzer.Alle Delegiert
        Verzeichnis.Lesen.Alle Delegiert
        Benutzer.Lesen Delegiert
        Weitere Informationen finden Sie unter Berechtigungen für den Zugriff auf Web-APIs hinzufügen.
      5. Gewähren Sie Ihrer Anwendung die Einwilligung des Administrators.
        Weitere Informationen finden Sie unter API-Berechtigungen und Administratoreinwilligungs-UI.

    Erstellen Sie ein Azure AD-Integrationsprofil

    Erstellen Sie ein Azure AD-Integrationsprofil in Ihrer Instanz ServiceNow.

    Vorbereitungen

    Um ein Azure AD-Integrationsprofil zu erstellen, fordern Sie das Plugin Software Asset Management - SaaS-Lizenzmanagement (com.sn_sam_saas_int) aus dem ServiceNow Storean.

    ServiceNow Erforderliche Rolle: sam_integrator oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Ab Version 7.0.0 von Software Asset Management - SaaS-Lizenzmanagement Integrations und Version 3.1.0 der Spoke Microsoft Azure AD ] erstellt Ihre Instanz ServiceNow eine separate Azure AD-Verbindung für jedes von Ihnen erstellte Azure AD-Integrationsprofil. Jede Verbindung wird unabhängig voneinander ausgeführt, sodass Ihre Instanz mehrere unabhängige Azure AD-Integrationsprofile unterstützen kann.

    Wenn Sie Software Asset Workspaceverwenden, ist die Option zum Erstellen des Integrationsprofils [ Microsoft Azure AD in Core-UI inaktiv.

    Prozedur

    1. Navigieren Sie zum Integrationsprofil.
      SchnittstelleAktion
      Core-UI
      1. Navigieren zu Alle > Software Asset > SaaS-Lizenz > SSO-Integrationsprofile.
      2. Wählen Sie Neu.
      3. Wählen Sie Microsoft Azure AD-Integrationsprofil aus.
      Software-Asset-Arbeitsbereich
      1. Navigieren zu Lizenzvorgänge > Benutzerabonnements > SSO-Integrationsprofile.
      2. Wählen Sie Neu.
      3. Wählen Sie Microsoft Azure AD-Integrationsprofil aus der Dropdown-Liste aus.
      4. Wählen Sie Fortsetzen aus.
    2. Geben Sie im Feld Anzeigename einen Namen für das Integrationsprofil ein.

      Die verbleibenden Felder werden automatisch ausgefüllt, wenn Sie das Formular absenden.

      Hinweis:
      Die SSO-Integration wird mithilfe einer Verzeichnisintegration erstellt. Die Verzeichnisintegration ruft SSO-Benutzer- und -Gruppendaten ab. Wenn Sie bereits eine Microsoft Azure AD -Verzeichnisintegration haben, verwendet die SSO-Integration Ihre vorhandene Verzeichnisintegration. Andernfalls wird automatisch eine Verzeichnisintegration Microsoft Azure AD erstellt.
    3. Klicken Sie auf Absenden.
    4. Klicken Sie auf den zugehörigen Link Neue Verbindung und Anmeldeinformationen erstellen.
      Hinweis:
      Wenn Sie Software Asset Workspaceinstalliert haben, öffnen Sie den Datensatz für Verbindungen und Anmeldeinformationen, und wählen Sie den zugehörigen Link Neue Verbindung und Anmeldeinformationen erstellen aus.
    5. Füllen Sie die Felder des Formulars aus.
      Tabelle : 1. Formular „Verbindung und Anmeldeinformationen erstellen“
      Feld Wert
      Auth-URL https://login.microsoftonline.com/directory-id>/oauth2/v2.0/authorize , wobei<directory-id> ist die Verzeichnis-ID (Mandanten-ID) aus dem Azure -Portal.
      Token-URL https://login.microsoftonline.com/<directory-id> /oauth2/v2.0/token , wobei ist die Verzeichnis-ID (Mandanten-ID) aus dem Azure -Portal.
      URL zum Widerrufen des Tokens https://login.microsoftonline.com/<directory-id> /oauth2/v2.0/revoke , wobei ist die Verzeichnis-ID (Mandanten-ID) aus dem Azure -Portal.
      OAuth-Client-ID Anwendungs-ID (Client) für die Anwendung, die Sie im Portal Azure erstellt haben.
      Geheimer OAuth-Schlüssel Geheimer Clientschlüssel für die Anwendung, die Sie im Portal Azure erstellt haben.
      OAuth-Umleitungs-URL https://<instance-name> .service-now.com/oauth_redirect.do , wobei ist der Name Ihrer Instanz ServiceNow . Dieser Wert wird automatisch ausgefüllt.
    6. Klicken Sie auf OAuth-Token erstellen und abrufen.
    7. Melden Sie sich im Popup-Fenster mit Azure AD-Administratoranmeldeinformationen bei Ihrem -Konto an.
    8. Klicken Sie auf Veröffentlichen.
      Geplante Aufgaben und Verzeichnisaufgaben laden eine Liste aller Anwendungen, Benutzer und Gruppen herunter. Zeigen Sie den Status Ihrer Aufgaben in den zugehörigen Listen „Ergebnisse der geplanten Aufgabe“ und „Ergebnisse der Verzeichnisaufgabe“ des Integrationsprofils an. Softwaremodelle werden automatisch für Anwendungen mit einer externen Katalog-ID erstellt, die einem Bezeichner in der Tabelle „Abonnementproduktdefinitionen“ [samp_sw_subscription_product_definition] entspricht.

    Ergebnisse

    Nachdem Sie das Integrationsprofil veröffentlicht und Anwendungen mit dem Profil verbunden haben, können Sie Events anzeigen, die von einzelnen Benutzern bis zu 60 Tage vor dem aktuellen Datum durchgeführt wurden. Weitere Informationen finden Sie unter Überprüfen Sie eine Software-Rückforderungsregel.

    Verbinden Sie SSO-Apps

    Verbinden Sie eine SSO-App (Single Sign-on), um alle Benutzer und Gruppen mit Zugriff auf die App anzuzeigen. Verfolgen Sie Benutzeranmeldungsdaten nach, und fordern Sie nicht verwendete Lizenzen zurück.

    Vorbereitungen

    Erforderliche Rolle: sam_integrator oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Für Azure Active Directory (Azure AD) steuert die Umschaltfläche Zuweisung erforderlich auf der Anwendungskonfigurationsseite den Zugriff der Benutzer auf die Anwendung.
    • Wenn diese Umschaltfläche auf Jafestgelegt ist, müssen Sie diese Anwendung den Azure AD-Benutzern und zugehörigen Anwendungen und Services zuweisen. Nachdem Sie die Anwendung zugewiesen haben, können Azure AD-Benutzer, zugehörige Anwendungen und Services darauf zugreifen.
    • Wenn diese Umschaltfläche auf Neinfestgelegt ist, können sich alle Benutzer bei der Anwendung anmelden. Die zugeordneten Anwendungen und Services können auch ein Zugriffstoken für diesen Service erhalten.

    SaaS-Lizenzmanagement bietet direkte Integrationen mit ausgewählten Anwendungen. Direkte Integrationen bieten die robustesten Nutzungsdaten. Eine Liste der verfügbaren direkten Integrationen finden Sie unter Integrieren Sie in SaaS-Anwendungen. Wenn Sie eine direkte Integration für eine -App haben, führt die Verbindung derselben App in einer SSO-Integration zu doppelten Abonnementdatensätzen in Ihrer ServiceNow -Instanz. Wenn Sie eine SSO-App verbinden und sich später entscheiden, eine direkte Integration für diese App zu erstellen, trennen Sie die App, bevor Sie eine direkte Integration erstellen.

    Prozedur

    1. Navigieren zu Alle > SaaS-Lizenz > SSO-Anwendungen.
    2. Wählen Sie die Anwendung aus, mit der Sie eine Verbindung herstellen möchten.
    3. Wenn das Feld Softwaremodell leer ist, fügen Sie ein Softwaremodell für die App hinzu.
      Eine App muss über ein Softwaremodell verfügen, bevor Sie eine Verbindung herstellen können. Softwaremodelle werden automatisch für Apps mit einer externen Katalog-ID erstellt, die einem Bezeichner in der Tabelle „Abonnementproduktdefinitionen“ [samp_sw_subscription_product_definition] entspricht. Für alle anderen Apps können Sie ein Softwaremodell manuell erstellen. Weitere Informationen finden Sie unter Erstellen Sie Softwaremodelle in Software Asset Management ( klassisch)..
    4. Wählen Sie ein Datum für das Feld Letzte Aktivität analysieren von aus.

      Sie können die Analyse der Anmeldedaten für einzelne Benutzer und Anwendungen ab dem aktuellen Datum oder bis zu 60 Tage in der Vergangenheit starten. Der Standardwert beträgt 30 Tage. Wenn Sie ein Datum in der Vergangenheit auswählen, können Sie veraltete Abonnements erkennen, ohne in Echtzeit zu warten, da Sie Abonnements anzeigen können, die in letzter Zeit nicht verwendet wurden. Da die Auswahl eines Datums in der Vergangenheit die Menge der zu analysierenden Daten erhöht, kann es länger dauern, bis Sie die Ergebnisse anzeigen können.

      Nachdem Sie einen Wert im Feld Letzte Aktivität analysieren von übermittelt haben, wird das Feld schreibgeschützt.

    5. Wählen Sie Verbinden.
      Tipp:
      Sie können auch mehrere Apps gleichzeitig über die SSO-Anwendungsliste verbinden. Wählen Sie die Apps mithilfe des Kontrollkästchens auf der linken Seite der Liste aus. Wählen Sie unten in der Liste das Dropdown-Menü Aktionen für ausgewählte Zeilen und dann Connectaus. Wenn einige Apps kein Softwaremodell haben, zeigt die Connect -Aktion an, dass nicht alle Apps verbunden sind. Zum Beispiel zeigt Connect (1 von 4), dass nur eine der vier ausgewählten Apps verbunden ist. Fügen Sie Softwaremodelle hinzu, um die verbleibenden Apps zu verbinden.

    Ergebnisse

    Nachdem die SSO-Anwendung eine Verbindung hergestellt hat, erstellt Ihre ServiceNow -Instanz automatisch Benutzer, Gruppen, Abonnements und Rückforderungsregeln, die täglich aktualisiert werden.
    • Wenn die Umschaltfläche Zuweisung erforderlich auf Jafestgelegt ist, wird das Abonnement nur für die zugehörigen Azure AD-Benutzer erstellt.
    • Wenn die Umschaltfläche Zuweisung erforderlich auf Neinfestgelegt ist, wird das Abonnement für alle Azure AD-Benutzer erstellt.

    Nächste Maßnahme

    Überprüfen Sie alle automatisch generierten Rückforderungsregeln, um Ihre Spezifikationen für die Rückforderung von Benutzerabonnements zu erfüllen. Weitere Informationen finden Sie unter Überprüfen Sie eine Software-Rückforderungsregel.

    Erstellen Sie Softwareberechtigungen für die automatisch generierten Softwaremodelle, um verwendete Software gegen eigene Software nachzuverfolgen. Weitere Informationen zum Erstellen von Softwareberechtigungen in der klassischen Anwendung [ Software Asset Management finden Sie unter Erstellen Sie Berechtigungen in Software Asset Management ( klassisch).. Weitere Informationen zum Erstellen von Softwareberechtigungen im Software-Asset-Arbeitsbereich finden Sie unter Erstellen Sie Berechtigungen im Arbeitsbereich. Weitere Informationen zum Erstellen von Softwareberechtigungen mit dem Software Asset Management Playbook finden Sie unter Erstellen Sie Berechtigungen mithilfe der geführten Tour.

    Der Abgleich wird auch für Ihre Abonnements als geplante Aufgabe oder bei Bedarf ausgeführt. Sie können Ihre Abgleichergebnisse in der Lizenz-Workbench (klassische AnwendungSoftware Asset Management ) oder in der Lizenznutzungsansicht (Software Asset Workspace) anzeigen. Verwenden Sie diese Ergebnisse, um Ihre Lizenz-Compliance-Position zu bestimmen und etwaige Nichteinhaltungen zu beheben. Weitere Informationen zum Ausführen des Abgleichs in der klassischen Anwendung [ Software Asset Management finden Sie unter Führen Sie den Softwareabgleich aus. Weitere Informationen zum Ausführen des Abgleichs im Software-Asset-Arbeitsbereich finden Sie unter Führen Sie den Softwareabgleich im Arbeitsbereich aus.