Integration mit Okta

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 10 Minuten Lesedauer

    • Sie können Ihre Instanz ServiceNow mit Okta integrieren, um die Softwarenutzung für alle verbundenen SSO-Anwendungen anzuzeigen.

    Wichtig:
    Minimieren Sie Sicherheitsrisiken und schützen Sie Informationen, indem Sie nur den erforderlichen Anwender- oder API-Berechtigungen Zugriff gewähren.
    Tabelle : 1. Minimale Benutzerberechtigungen
    Prozess Erforderliche Anwenderrolle in der Anwendung Okta Authentifizierungsbereiche
    Anwender herunterladen Schreibgeschützter Administrator okta.users.read
    • Gruppen herunterladen
    • Laden Sie Gruppenmitgliedschaften herunter
    		 Schreibgeschützter Administrator okta.groups.read
    Laden Sie Anwendungen herunter Schreibgeschützter Administrator
    • okta.apps.read
    • okta.logs.read
    Connect-Anwendungen Schreibgeschützter Administrator okta.logs.read
    Aktualisieren Sie verbundene Anwendungen Schreibgeschützter Administrator
    • okta.apps.read
    • okta.logs.read
    Abonnements zurückfordern Anwendungsadministrator okta.apps.verwalten

    Erstellen Sie eine Okta -Anwendung

    Erstellen Sie eine Anwendung Okta, die Sie mit Now Platformintegrieren können.

    Vorbereitungen

    Okta Erforderliche Rolle: Verweisen Sie auf die Tabelle der minimalen Benutzerberechtigungen.

    Weitere Informationen zu Okta-Administratorrollen finden Sie unter Administratorrollen und -berechtigungen. Weitere Informationen zu Okta -OAuth-Bereichen finden Sie unter Bereiche und unterstützte Endpunkte.

    Prozedur

    1. Melden Sie sich über einen Webbrowser bei der Okta-Administratorkonsolean.
    2. Erstellen Sie eine Anwendung Okta mit OAuth 2.0-Funktionalität.

      Ausführliche Anweisungen finden Sie unter OAuth 2.0-App für Okta erstellen.

      Beachten Sie beim Erstellen der Anwendung Okta die folgenden Punkte:
      • Geben Sie in den Feldern Umleitungs-URI für Anmeldung und Umleitungs-URI für Abmeldungden Wert https://ein.<instance-name> .service-now.com/oauth_redirect.do , wobei <instance-name> der Name Ihrer Instanz ServiceNow ist.
      • Kopieren Sie die Werte in den Feldern Client-ID und Geheimer Clientschlüssel. Speichern Sie sie zur späteren Verwendung an einem sicheren Ort.
      • Gewähren Sie Ihrer Okta OAuth 2.0-Anwendung die folgenden Bereiche:
        • okta.groups.read
        • okta.apps.read
        • okta.users.read
        • okta.logs.read
        • okta.apps.verwalten
      • Aktivieren Sie im Okta-Portal das Kontrollkästchen Token neu laden unter dem Gewährungstyp Client, der im Namen eines Benutzers handelt.

    Erstellen Sie ein -Integrationsprofil Okta .

    Erstellen Sie ein Okta -Integrationsprofil in Ihrer Instanz ServiceNow.

    Vorbereitungen

    Zum Erstellen eines Okta -Integrationsprofils fordern Sie das Plugin Software Asset Management - SaaS-Lizenzmanagement (sn_sam_saas_int) im ServiceNow Storean.

    ServiceNow Erforderliche Rolle: sam_integrator oder admin

    Wichtig:
    Sie müssen das Kontrollkästchen Okta-Spoke für diese Integration aktivieren, während Sie optionale Funktionen auf der Seite Application Manager installieren. Weitere Informationen zur Auswahl der erforderlichen SaaS-Anwendungen finden Sie unter SaaS-Lizenzmanagement anfordern.

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Ab Version 7.0.0 von Software Asset Management - SaaS-Lizenzmanagement und Version 4.1.2 der Okta -Spoke erstellt Ihre Instanz ServiceNow eine separate Okta -Verbindung für jedes von Ihnen erstellte Okta -Integrationsprofil. Jede Verbindung wird unabhängig voneinander ausgeführt, sodass Ihre Instanz mehrere unabhängige Okta -Integrationsprofile unterstützen kann.

    Wenn Sie Software-Asset-Arbeitsbereichverwenden, ist die Option zum Erstellen des Integrationsprofils Okta in Core-UI inaktiv.

    Prozedur

    1. Navigieren Sie zum -Integrationsprofil.
      SchnittstelleAktion
      Core-UI
      1. Navigieren zu Alle > Software Asset > SaaS-Lizenz > SSO-Integrationsprofile.
      2. Wählen Sie Neu.
      3. Wählen Sie Okta-Integrationsprofilaus.
      Software-Asset-Arbeitsbereich
      1. Navigieren zu Lizenzvorgänge > Anwenderabonnements > SSO-Integrationsprofile.
      2. Wählen Sie Neu.
      3. Wählen Sie Okta aus der Dropdown-Liste aus.
      4. Wählen Sie Fortsetzen.
    2. Füllen Sie die Felder des Formulars aus.
      Tabelle : 2. Formular „SSO-Integrationsprofil“.
      Feld Beschreibung
      Anzeigename Name des Integrationsprofils. Beispiel: Okta-Integration.
      Status Status des Integrationsprofils.
      • Wenn Sie das Integrationsprofil nicht veröffentlicht haben, wird dieses Feld automatisch auf Entwurffestgelegt.
      • Wenn Sie das Integrationsprofil bereits veröffentlicht haben, wird dieses Feld automatisch auf Veröffentlichtgesetzt.
      Verzeichnisintegration Ein Verweis auf das Verzeichnisintegrationsprofil, das zum Abrufen der Active Directory-Anwender, -Gruppen und -Gruppenmitgliedschaften einer Organisation verwendet wird.
      • Wenn ein Verzeichnisintegrationsdatensatz für Okta vorhanden ist, können Sie den vorhandenen Datensatz auswählen.
      • Wenn für Okta kein Verzeichnisintegrationsdatensatz vorhanden ist, wird beim Speichern oder Absenden dieses Formulars ein neuer Datensatz erstellt.
      Profiltyp Typ des Integrationsprofils.

      Dieses Feld wird automatisch auf Oktafestgelegt.
      Verbindung und Anmeldeinformationen

      Verweis auf den Alias für Verbindungen und Anmeldeinformationen, der im Verzeichnis und in der SSO-Integration verwendet wird.

      • Wenn ein Verzeichnisintegrationsdatensatz vorhanden ist und Sie ihn im Verzeichnisintegrationsfeld auswählen, wird dieses Feld automatisch auf den Alias für Verbindungen und Anmeldeinformationen des Verzeichnisintegrationsdatensatzes festgelegt.
      • Wenn kein Wert für die Verzeichnisintegration vorhanden ist, wird dieses Feld automatisch ausgefüllt.
      Okta-Abonnements erstellen Option zum Erstellen eines Profils für direkte Integration zum Anzeigen von Abonnements Okta, nachdem dieses Integrationsprofil veröffentlicht wurde.

      Standardwert: False
    3. Zeigen Sie im Abschnitt Prozesskonfiguration die erforderlichen Anwenderrollen oder API-Berechtigungen an, um Sicherheitsrisiken zu minimieren und SaaS -Lizenzen zu optimieren.
      Hinweis:
      Weitere Informationen zu den erforderlichen Rollen und Bereichen finden Sie unter Tabelle der minimalen Benutzerberechtigungen.

      • Das Kontrollkästchen Anwendungen, Anwender und Gruppen herunterladen ist standardmäßig aktiviert und kann nicht deaktiviert werden.

      • Das Kontrollkästchen Download-Aktivität ist standardmäßig aktiviert. Wenn Sie diese Option deaktivieren, wird die letzte Aktivität für verbundene Anwendungen nicht abgerufen.

      • Das Kontrollkästchen Abonnements zurückfordern ist standardmäßig aktiviert. Wenn Sie Abonnements nicht zurückfordern möchten, können Sie dieses Kontrollkästchen deaktivieren. Wenn Sie diese Option löschen, werden die Entfernungskandidaten erstellt, aber der Subflow zum Zurückfordern des Abonnements wird nicht ausgelöst oder der Reklamationsprozess nicht initiiert.

    4. Wählen Sie Absenden.
      Das Feld „Verbindung und Anmeldeinformationen“ wird automatisch auf sn_okta_spoke.okta_apps_users_groups_activity_and_reclaimfestgelegt.
    5. Öffnen Sie das Dialogfeld „Verbindungen und Anmeldeinformationen erstellen“.
      SchnittstelleAktion
      Core-UI Wählen Sie im Formular SSO-Integrationsprofil den zugehörigen Link Neue Verbindung und Anmeldeinformationen erstellen aus.
      Software-Asset-Arbeitsbereich
      1. Durch Auswahl des Vorschausymbols ( Vorschausymbol.) neben dem Feld „Verbindung und Anmeldeinformationen“
      2. Wählen Sie in der Datensatzvorschau Datensatz öffnen aus.
      3. Wählen Sie im Formular „Aliasse für Verbindungen und Anmeldeinformationen“ den zugehörigen Link Neue Verbindung und Anmeldeinformationen erstellen aus.
    6. Füllen Sie die Felder im Dialogfeld aus.
      Tabelle : 3. Dialogfeld „Verbindungen und Anmeldeinformationen erstellen“.
      Feld Beschreibung
      Name Name der Verbindung Beispiel: Okta-Verbindung.
      Verbindungs-URL URL für die Verbindung. Geben Sie https://<yourOktaDomain>.comein, wobei <yourOktaDomain> die Domäne Ihrer Organisation ist.
      Autorisierungs-URL URL des OAuth-Autorisierungsendpunkts. Geben Sie https://<yourOktaDomain>.com/oauth2/v1/authorize ein, wobei <yourOktaDomain> die Domäne Ihrer Organisation ist.
      Token-URL URL des OAuth-Endpunkts, der Zugriffstoken abruft und aktualisiert. Geben Sie https://<yourOktaDomain>.com/oauth2/v1/tokenein, wobei <yourOktaDomain> die Domäne Ihrer Organisation ist.
      Token-Sperr-URL URL des OAuth-Endpunkts, der Zugriffstoken widerruft. Geben Sie https://<yourOktaDomain>.com/oauth2/v1/revoke ein, wobei <yourOktaDomain> die Domäne Ihrer Organisation ist.
      OAuth-Client-ID Client-ID, die Ihrer Anwendung Okta zugewiesen ist.
      OAuth-Client-Geheimnis Geheimer Clientschlüssel, der Ihrer Anwendung Okta zugewiesen ist.
      OAuth-Umleitungs-URL URL des OAuth-Anbieters, zu dem Anwender nach der Authentifizierung weitergeleitet werden. Dieses Feld wird automatisch auf https://festgelegt.<instance-name> .service-now.com/oauth_redirect.do , wobei <instance-name> der Name Ihrer Instanz ServiceNow ist.
    7. Wählen Sie OAuth-Token erstellen und abrufen aus.
      Hinweis:
      Informationen zur Rolle, die zum Ausführen dieses Schritts erforderlich ist, finden Sie in der Tabelle der minimalen Anwenderberechtigungen.
    8. Geben Sie im Anmeldedialogfeld des Okta -Portals Ihre Okta -Anmeldeinformationen ein, und wählen Sie Anmelden aus.
      Hinweis:
      Sie müssen sich mit denselben Anmeldeinformationen anmelden wie in den Rollen Superadministrator, Anwendungsadministrator oder Administrator für API-Zugriffsmanagement.
      Das Dialogfeld wird geschlossen, und Sie kehren automatisch zum Formular „SSO-Integrationsprofil“ zurück.
    9. Wählen Sie Speichern.
    10. Wählen Sie im Formular „Integrationsprofil“ Verbindung validieren aus, um die Verbindungs- und Anmeldeinformationsdetails dieser Integration zu überprüfen.
    11. Nachdem die Verbindung verifiziert wurde, wählen Sie Veröffentlichenaus.
    12. Wählen Sie im Dialogfeld „Bestätigung veröffentlichen“ die Option OKaus.
      Wenn Sie das Kontrollkästchen Download-Aktivität deaktivieren, nachdem das Integrationsprofil veröffentlicht wurde, müssen Sie die Verbindungen erneut validieren, da die folgenden Ereignisse eintreten:
      • Im Formular wird die Schaltfläche „Verbindung validieren“ angezeigt.
      • Die letzte Aktivität für Anwender der verbundenen Anwendungen wird nicht mehr abgerufen.

    Ergebnisse

    Sowohl geplante Aufgaben als auch Verzeichnisaufgaben laden eine Liste aller Anwendungen, Benutzer, Gruppen und Softwareabonnements herunter, die Ihrer Anwendung Okta zugeordnet sind. Zeigen Sie den Status Ihres Auftrags auf den Registerkarten Ergebnisse der geplanten Aufgaben und Ergebnisse des Verzeichnisauftrags Ihres Integrationsprofils an. Software Asset Management erstellt automatisch Softwaremodelle für Anwendungen mit einer externen Katalog-ID, die einem Bezeichner in der Tabelle „Produktdefinitionen für Abonnement“ [samp_sw_subscription_product-definition] entspricht.

    Nächste Maßnahme

    Wenn Sie das Kontrollkästchen Okta-Abonnements erstellen aktiviert haben und dieses Integrationsprofil veröffentlicht wird, wird ein Profil für direkte Integration für Okta erstellt. Sie können zum Profil für die direkte Integration navigieren, indem Sie in der Informationsnachricht den Link Profil für direkte Integration auswählen.

    Nachdem Sie zum Profil für die direkte Integration navigiert sind, können Sie -Abonnements Okta anzeigen, indem Sie die Registerkarte Software-Abonnements auswählen. Weitere Informationen finden Sie unter Okta Profil für direkte SSO-Integration.

    Warnung:

    Wenn Ihr OAuth-Token abläuft, zeigt Ihr -Integrationsprofil Okta eine Fehlermeldung an, dass Sie ein neues OAuth-Token benötigen. Wählen Sie den Link in der Fehlermeldung aus, um das neue OAuth-Token zu erhalten.

    Löschen Sie nicht den OAuth 2.0-Anmeldeinformationsdatensatz, der dem Verbindungsdatensatz für Ihr Okta -Integrationsprofil zugeordnet ist. Wenn Sie den OAuth 2.0-Anmeldeinformationsdatensatz löschen, können Sie nach Ablauf des aktuellen OAuth-Tokens kein neues OAuth-Token mehr abrufen.

    Nachdem Sie das Integrationsprofil veröffentlicht und Anwendungen mit dem Profil verbunden haben, können Sie Ereignisse anzeigen, die von einzelnen Benutzern bis zu 60 Tage vor dem aktuellen Datum ausgeführt wurden. Weitere Informationen finden Sie unter Überprüfen Sie eine Softwarereklamationsregel.

    Okta Profil für direkte SSO-Integration

    Das Profil für die direkte SSO-Integration vonOkta hilft Ihnen, Okta -Benutzerlizenzen zu verwalten, indem Sie Abonnements für Okta -Benutzer erstellen, während Sie eine Okta -SSO-Integration einrichten.

    Tabelle : 4. OKTA-SSO-Profil für direkte Integration
    Feld Beschreibung
    Anzeigename Name des Integrationsprofils.
    Status Status des Integrationsprofils.

    Dieses Feld wird automatisch auf Veröffentlichtfestgelegt.
    Profiltyp Integrationsprofiltyp.

    Dieses Feld wird automatisch auf Okta-Abonnementfestgelegt.
    Abonnement-Subflow herunterladen
    Subflow Dieses Feld wird automatisch auf Okta-Download-Abonnementsfestgelegt.

    Connect SSO-Anwendungen

    Verbinden Sie eine SSO-Anwendung, um alle Benutzer und Gruppen zu überwachen, die Zugriff auf diese Anwendung haben. Sie können auch die Anmeldedaten von Benutzern nachverfolgen und nicht verwendete Lizenzen zurückfordern.

    Vorbereitungen

    ServiceNow Erforderliche Rolle: sam_integrator oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    ServiceNow® SaaS-Lizenzmanagement bietet direkte Integrationen mit einigen -Anwendungen. Direkte Integrationen bieten die umfassendsten Nutzungsdaten. Eine Liste der verfügbaren direkten Integrationen finden Sie unter Integrieren Sie in SaaS-Anwendungen.

    Wenn Sie bereits eine direkte Integration für eine Anwendung erstellt haben, werden durch das Verbinden derselben Anwendung mit einer SSO-Integration doppelte Abonnementdatensätze in Ihrer Instanz ServiceNow erstellt. Sie sollten nur die direkte Integration verwenden. Wenn Sie eine Anwendung in einer SSO-Integration verbinden, später jedoch eine direkte Integration für diese Anwendung erstellen möchten, trennen Sie die Anwendung, bevor Sie die direkte Integration erstellen.

    Prozedur

    1. Navigieren zu Alle > SaaS-Lizenz > SSO-Anwendungen.
    2. Wählen Sie die Anwendung aus, mit der Sie eine Verbindung herstellen möchten.
    3. Wenn das Feld Softwaremodell leer ist, fügen Sie ein Softwaremodell für die Anwendung hinzu.
      Bevor Sie eine Anwendung verbinden können, muss sie einem Softwaremodell zugeordnet werden. ServiceNow® Software Asset Management erstellt automatisch Softwaremodelle für Anwendungen mit einer externen Katalog-ID, die einem Bezeichner in der Tabelle „Abonnementproduktdefinitionen“ [samp_sw_subscription_product_definition] entspricht. Für alle anderen Anwendungen können Sie manuell ein Softwaremodell erstellen. Detaillierte Anweisungen hierzu finden Sie unter Erstellen Sie Softwaremodelle in Software Asset Management Classic.
    4. Wählen Sie im Feld Letzte Aktivität analysieren von das Datum aus, an dem Sie die letzte Aktivität analysieren möchten.

      Sie können mit der Analyse der Anmeldedaten für einzelne Anwender und Anwendungen ab dem aktuellen Datum oder bis zu 60 Tage davor beginnen. Der Standardwert beträgt 30 Tage. Wenn Sie ein Datum vor dem aktuellen Datum auswählen, kann es aufgrund der Menge der zu analysierenden Daten länger dauern, bis Ergebnisse angezeigt werden.

      Nachdem Sie einen Wert im Feld Letzte Aktivität analysieren von übermittelt haben, wird das Feld schreibgeschützt.

    5. Wählen Sie Verbinden.
      Tipp:
      Um mehrere Anwendungen gleichzeitig zu verbinden, aktivieren Sie das Kontrollkästchen für jede Anwendung, die Sie in der Liste SSO Applications verbinden möchten. Wählen Sie das Menü Aktionen in der ausgewählten Zeile und dann Verbindenaus. Wenn Anwendungen keinem Softwaremodell zugeordnet sind, wird der Name des Menüelements Verbinden aktualisiert, um anzuzeigen, dass nur einige der Anwendungen verbunden werden. Beispiel: Das Menüelement Verbinden (1 von 4) gibt an, dass nur eine der vier ausgewählten Apps verbunden wird. Fügen Sie den verbleibenden Anwendungen Softwaremodelle hinzu, um mit den Verbindungen fortzufahren.

    Nächste Maßnahme

    Nachdem die SSO-Anwendung hergestellt wurde, erstellt Ihre Instanz ServiceNow automatisch Benutzer, Gruppen, Abonnements und Reklamationsregeln, die täglich aktualisiert werden. Wenn Sie einen -Benutzer, eine Anwendung, eine Gruppe oder eine Gruppenmitgliedschaft aus der Entwicklerkonsole Okta löschen, werden die Änderungen in Ihrer Instanz von ServiceNow übernommen.

    Überprüfen Sie alle automatisch generierten Reklamationsregeln, um sicherzustellen, dass sie Ihren Spezifikationen für die Reklamation von Benutzerabonnements entsprechen. Weitere Informationen finden Sie unter Überprüfen Sie eine Softwarereklamationsregel.

    Erstellen Sie Softwareberechtigungen für die automatisch generierten Softwaremodelle, um verwendete Software im Vergleich zu eigener Software nachzuverfolgen. Weitere Informationen zum Erstellen von Softwareberechtigungen in der klassischen Anwendung Software Asset Management finden Sie unter Erstellen Sie Berechtigungen in Software Asset Management Classic. Weitere Informationen zum Erstellen von Softwareberechtigungen im Software-Asset-Arbeitsbereich finden Sie unter Erstellen Sie Berechtigungen im Arbeitsbereich. Weitere Informationen zum Erstellen von Softwareberechtigungen mit dem Playbook Software Asset Management finden Sie unter Erstellen Sie Berechtigungen mithilfe der geführten Tour.

    Der Abgleich wird für Ihre Abonnements auch als geplante Aufgabe oder bei Bedarf ausgeführt. Sie können Ihre Abgleichergebnisse in der Lizenz-Workbench (Software Asset Management klassische Anwendung) oder in der Ansicht Lizenznutzung (Software Asset Workspace) anzeigen. Verwenden Sie diese Ergebnisse, um Ihre Position bei der Lizenz-Compliance zu bestimmen und etwaige Nichteinhaltungen zu beheben. Weitere Informationen zum Ausführen des Abgleichs in der klassischen Anwendung Software Asset Management finden Sie unter Führen Sie den Softwareabgleich in Software Asset Management klassisch aus. Weitere Informationen zum Ausführen des Abgleichs im Software-Asset-Arbeitsbereich finden Sie unter Führen Sie im -Arbeitsbereich einen Softwareabgleich aus.