Integration mit Microsoft Entra ID

  • Freigeben Version: Yokohama
  • Aktualisiert 18. Februar 2025
  • 8 Minuten Lesedauer

    • Sie können Ihre Instanz ServiceNow mit Microsoft Entra ID integrieren, um die Softwarenutzung für alle verbundenen SSO-Anwendungen anzuzeigen.

    Wichtig:
    Minimieren Sie Sicherheitsrisiken und schützen Sie Informationen, indem Sie nur den erforderlichen Anwender- oder API-Berechtigungen Zugriff gewähren.
    Tabelle : 1. Minimale Benutzerberechtigungen
    Prozess Erforderliche Anwenderrolle in der Anwendung Microsoft Entra ID Authentifizierungsbereiche
    • Anwender herunterladen
    • Gruppen herunterladen
    • Laden Sie Gruppenmitgliedschaften herunter
    		 Anwendungsentwickler
    • Benutzer.Lesen.Alle
    • Gruppenmitglied.Lesen.Alle
    • Anwendung.Lesen.Alle
    Laden Sie Anwendungen herunter Anwendungsentwickler
    • Benutzer.Lesen.Alle
    • Gruppenmitglied.Lesen.Alle
    • Anwendung.Lesen.Alle
    • Connect-Anwendungen
    • Aktualisieren Sie verbundene Anwendungen
    • Globaler Leser/Berichtsleser/Sicherheit/Administrator/Sicherheitsbetreiber/Sicherheitsleser
    • Anwendungsentwickler
    • Audit-Protokoll.Lesen.Alle
    • Benutzer.Lesen.Alle
    • Gruppenmitglied.Lesen.Alle
    • Anwendung.Lesen.Alle
    Abonnements zurückfordern Benutzeradministrator Benutzer.Lesen/Schreiben.Alle

    Erstellen Sie eine Microsoft Entra ID -Anwendung

    Erstellen Sie im -Portal Microsoft Entra ID eine App zur Integration mit Now Platform.

    Vorbereitungen

    Microsoft Entra ID Erforderliche Rolle: Weitere Informationen finden Sie in der Tabelle mit den minimalen Benutzerberechtigungen.

    Prozedur

    1. Greifen Sie im Portal Azure auf Microsoft Entra IDzu.
    2. Erstellen Sie eine Microsoft Entra ID -Anwendung.
      Siehe Erstellen von Microsoft Entra ID Anwendung , um detaillierte Anweisungen zum Registrieren und Konfigurieren einer Anwendung zu erhalten.
      1. Geben Sie im Feld Umleitungs-URIhttps:// ein.<instance-name> .service-now.com/oauth_redirect.do , wobei ist der Name Ihrer Instanz ServiceNow .
      2. Notieren Sie sich die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant), um die App als OAuth-Drittanbieter in Ihrer Instanz ServiceNow zu registrieren.
      3. Erstellen Sie einen geheimen Clientschlüssel, und zeichnen Sie den Wert auf, um die App als OAuth-Drittpartei in Ihrer Instanz ServiceNow zu registrieren.
      4. Fügen Sie Berechtigungen für den Zugriff auf die Microsoft Graph -API hinzu.
        Berechtigung Typ
        Audit-Protokoll.Lesen.Alle Delegiert
        Benutzer.Lesen.Alle Delegiert
        Benutzer.Lesen/Schreiben.Alle Delegiert
        Gruppenmitglied.Lesen.Alle Delegiert
        Anwendung.Lesen.Alle Delegiert
        Weitere Informationen finden Sie unter Berechtigungen für den Zugriff auf Web-APIs hinzufügen.
      5. Erteilen Sie der Administratorzustimmung für Ihre Anwendung.
        Weitere Informationen finden Sie unter API-Berechtigungen und UI zur Administratoreinwilligung.

    Microsoft Entra ID-Integrationsprofile erstellen

    Erstellen Sie ein Microsoft Entra ID -Integrationsprofil in Ihrer Instanz ServiceNow.

    Vorbereitungen

    Zum Erstellen eines Microsoft Entra ID -Integrationsprofils fordern Sie das Plugin Software Asset Management - SaaS-Lizenzmanagement (sn_sam_saas_int) im ServiceNow Storean.

    ServiceNow Erforderliche Rolle: sam_integrator oder admin

    Wichtig:
    Sie müssen das Kontrollkästchen Microsoft Entra ID-Spoke für diese Integration aktivieren, wenn Sie optionale Funktionen auf der Seite Application Manager installieren. Weitere Informationen zur Auswahl der erforderlichen SaaS-Anwendungen finden Sie unter SaaS-Lizenzmanagement anfordern.

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Ab Version 7.0.0 von Software Asset Management - SaaS-Lizenzmanagement und Version 3.1.0 der Microsoft Entra ID -Spoke erstellt Ihre Instanz ServiceNow eine separate Entra ID-Verbindung für jedes von Ihnen erstellte Microsoft Entra ID -Integrationsprofil. Jede Verbindung wird unabhängig voneinander ausgeführt, sodass Ihre Instanz mehrere unabhängige Microsoft Entra ID -Integrationsprofile unterstützen kann.

    Wenn Sie Software-Asset-Arbeitsbereichverwenden, ist die Option zum Erstellen des Integrationsprofils Microsoft Entra ID in Core-UI inaktiv.

    Prozedur

    1. Navigieren Sie zum -Integrationsprofil.
      SchnittstelleAktion
      Core-UI
      1. Navigieren zu Alle > Software Asset > SaaS-Lizenz > SSO-Integrationsprofile.
      2. Wählen Sie Neu.
      3. Wählen Sie Microsoft Entra ID-Integrationsprofilaus.
      Software-Asset-Arbeitsbereich
      1. Navigieren zu Lizenzvorgänge > Anwenderabonnements > SSO-Integrationsprofile.
      2. Wählen Sie Neu.
      3. Wählen Sie in der Dropdown-Liste Microsoft Entra ID-Integrationsprofil aus.
      4. Wählen Sie Fortsetzen.
    2. Geben Sie im Feld Anzeigename einen Namen für das Integrationsprofil ein.

      Die übrigen Felder werden automatisch ausgefüllt, wenn Sie das Formular absenden.

      Hinweis:
      Die SSO-Integration wird mithilfe einer Verzeichnisintegration erstellt. Die -Verzeichnisintegration ruft SSO-Anwendungen, -Benutzer und -Gruppendaten ab, die Ihren SSO-Integrationen zugeordnet sind. Weitere Informationen finden Sie unter SSO-Abonnementinformationen werden angezeigt.

      Wenn Sie bereits eine Verzeichnisintegration Microsoft Entra ID haben, verwendet die SSO-Integration Ihre vorhandene Verzeichnisintegration. Andernfalls wird automatisch eine Verzeichnisintegration Microsoft Entra ID erstellt.

    3. Zeigen Sie im Abschnitt Prozesskonfiguration die erforderlichen Anwenderrollen oder API-Berechtigungen an, um Sicherheitsrisiken zu minimieren und SaaS -Lizenzen zu optimieren.
      Hinweis:
      Weitere Informationen zu den erforderlichen Rollen und Bereichen finden Sie unter Tabelle der minimalen Benutzerberechtigungen.

      • Das Kontrollkästchen Anwendungen, Anwender und Gruppen herunterladen ist standardmäßig aktiviert und kann nicht deaktiviert werden.

      • Das Kontrollkästchen Download-Aktivität ist standardmäßig aktiviert. Wenn Sie diese Option deaktivieren, wird die letzte Aktivität für verbundene Anwendungen nicht abgerufen.

      • Das Kontrollkästchen Abonnements zurückfordern ist standardmäßig aktiviert. Wenn Sie Abonnements nicht zurückfordern möchten, können Sie dieses Kontrollkästchen deaktivieren. Wenn Sie diese Option löschen, werden die Entfernungskandidaten erstellt, aber der Subflow zum Zurückfordern des Abonnements wird nicht ausgelöst oder der Reklamationsprozess nicht initiiert.

    4. Wählen Sie Absenden.
      Das Feld „Verbindung und Anmeldeinformationen“ wird angezeigt.
    5. Wählen Sie den zugehörigen Link Neue Verbindung und Anmeldeinformationen erstellen aus.
      Hinweis:
      Wenn Sie Software-Asset-Arbeitsbereichinstalliert haben, öffnen Sie den Datensatz für Verbindungen und Anmeldeinformationen, und wählen Sie den zugehörigen Link Neue Verbindung und Anmeldeinformationen erstellen aus.
    6. Füllen Sie die Felder des Formulars aus.
      Tabelle : 2. Formular zum Erstellen von Verbindungen und Anmeldeinformationen
      Feld Wert
      Auth-URL https://login.microsoftonline.com/<directory-id> /oauth2/v2.0/authorize , wobei ist die Verzeichnis-ID (Mandant) aus dem Portal Azure .
      Token-URL https://login.microsoftonline.com/<directory-id> /oauth2/v2.0/token , wobei ist die Verzeichnis-ID (Mandant) aus dem Portal Azure .
      Token-URL widerrufen https://login.microsoftonline.com/<directory-id> /oauth2/v2.0/revoke , wobei ist die Verzeichnis-ID (Mandant) aus dem Portal Azure .
      OAuth-Client-ID Anwendungs-ID (Client) für die Anwendung, die Sie im -Portal Azure erstellt haben.
      OAuth-Client-Geheimnis Geheimer Clientschlüssel für die Anwendung, die Sie im Portal Azure erstellt haben.
      OAuth-Umleitungs-URL https://<instance-name> .service-now.com/oauth_redirect.do , wobei ist der Name Ihrer Instanz ServiceNow . Dieser Wert wird automatisch ausgefüllt.
    7. Wählen Sie OAuth-Token erstellen und abrufen aus.
      Sie werden zum Portal Azure weitergeleitet. Informationen zur Rolle, die zum Ausführen dieses Schritts erforderlich ist, finden Sie in der Tabelle mit minimalen Anwenderberechtigungen.
    8. Melden Sie sich im Popup-Fenster mit den Administratoranmeldeinformationen Microsoft Entra ID bei Ihrem -Konto an.
    9. Wählen Sie im Formular „Integrationsprofil“ Verbindung validieren aus, um die Verbindungs- und Anmeldeinformationsdetails dieser Integration zu überprüfen.
    10. Nachdem die Verbindung verifiziert wurde, wählen Sie Veröffentlichenaus.
    11. Wählen Sie im Dialogfeld „Bestätigung veröffentlichen“ die Option OKaus.
      Wenn Sie das Kontrollkästchen Download-Aktivität deaktivieren, nachdem das Integrationsprofil veröffentlicht wurde, müssen Sie die Verbindungen erneut validieren, da die folgenden Ereignisse eintreten:
      • Im Formular wird die Schaltfläche „Verbindung validieren“ angezeigt.
      • Die letzte Aktivität für Anwender der verbundenen Anwendungen wird nicht mehr abgerufen.
      Geplante Aufgaben und Verzeichnisaufgaben laden eine Liste aller Anwendungen, Benutzer und Gruppen herunter. Weitere Informationen finden Sie unter SSO-Abonnementinformationen werden angezeigt. Zeigen Sie den Status Ihrer Aufgaben in den zugehörigen Listen „Ergebnisse für geplante Aufgaben“ und „Ergebnisse für Verzeichnisaufträge“ des Integrationsprofils an. Softwaremodelle werden automatisch für Anwendungen mit einer externen Katalog-ID erstellt, die einem Bezeichner in der Tabelle „Abonnementproduktdefinitionen“ [samp_sw_subscription_product_definition] entspricht.

    Ergebnisse

    Nachdem Sie das Integrationsprofil veröffentlicht und Anwendungen mit dem Profil verbunden haben, können Sie Ereignisse anzeigen, die von einzelnen Benutzern bis zu 60 Tage vor dem aktuellen Datum ausgeführt wurden. Weitere Informationen finden Sie unter Überprüfen Sie eine Softwarereklamationsregel.

    Connect SSO-Apps

    Verbinden Sie eine Single Sign-on-App (SSO), um alle Benutzer und Gruppen mit Zugriff auf die App anzuzeigen. Verfolgen Sie die Anmeldedaten der Benutzer, und fordern Sie nicht verwendete Lizenzen zurück.

    Vorbereitungen

    Erforderliche Rolle: sam_integrator oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Für Microsoft Entra IDsteuert die Umschaltfläche Zuweisung erforderlich auf der Konfigurationsseite der Anwendung den Zugriff auf die Anwendung durch Benutzer.
    • Wenn diese Umschaltfläche auf Jafestgelegt ist, müssen Sie diese Anwendung den Benutzern Microsoft Entra ID und zugehörigen Anwendungen und Services zuweisen. Nachdem Sie die Anwendung zugewiesen haben, können Microsoft Entra ID Benutzer, zugehörige Anwendungen und Services darauf zugreifen.
    • Wenn diese Umschaltfläche auf Neinfestgelegt ist, können sich alle Benutzer bei der Anwendung anmelden. Die zugeordneten Anwendungen und Services können ebenfalls ein Zugriffstoken auf diesen Service erhalten.

    SaaS-Lizenzmanagement bietet direkte Integrationen mit ausgewählten Anwendungen. Direkte Integrationen bieten die robustesten Nutzungsdaten. Eine Liste der verfügbaren direkten Integrationen finden Sie unter Integrieren Sie in SaaS-Anwendungen. Wenn Sie eine direkte Integration für eine App haben, führt das Verbinden derselben App mit einer SSO-Integration zu doppelten Abonnementdatensätzen in Ihrer Instanz ServiceNow. Wenn Sie eine SSO-App verbinden und später eine direkte Integration für diese App erstellen möchten, trennen Sie die Verbindung der App, bevor Sie eine direkte Integration erstellen.

    Hinweis:
    Wenn Sie Software-Asset-Arbeitsbereichverwenden, ist die Option zum Navigieren zur SSO-Anwendung in Core-UI inaktiv.

    Prozedur

    1. Navigieren Sie zur Anwendung.
      SchnittstelleAktion
      Core-UI Navigieren zu Alle > Software Asset > SaaS-Lizenz > SSO-Anwendungen.
      Software-Asset-Arbeitsbereich Navigieren zu Lizenzvorgänge > Anwenderabonnements > SSO-Integrationsprofile.
    2. Wählen Sie die Anwendung aus, mit der Sie eine Verbindung herstellen möchten.
      Wählen Sie für Software-Asset-Arbeitsbereichdie Registerkarte SSO Applications (SSO-Anwendungen).
    3. Wenn das Feld Softwaremodell leer ist, fügen Sie ein Softwaremodell für die App hinzu.
      Eine App muss ein Softwaremodell haben, bevor Sie eine Verbindung herstellen können. Softwaremodelle werden automatisch für Apps mit einer externen Katalog-ID erstellt, die einem Bezeichner in der Tabelle „Abonnementproduktdefinitionen“ [samp_sw_subscription_product_definition] entspricht. Für alle anderen Apps können Sie manuell ein Softwaremodell erstellen. Weitere Informationen finden Sie unter Erstellen Sie Softwaremodelle in Software Asset Management Classic.
    4. Wählen Sie ein Datum für das Feld Letzte Aktivität analysieren von aus.

      Sie können die Analyse der Anmeldedaten für einzelne Anwender und Anwendungen ab dem aktuellen Datum oder bis zu 60 Tage in der Vergangenheit beginnen. Der Standardwert beträgt 30 Tage. Wenn Sie ein Datum in der Vergangenheit auswählen, können Sie veraltete Abonnements erkennen, ohne in Echtzeit warten zu müssen, da Sie Abonnements sehen können, die in letzter Zeit nicht verwendet wurden. Da die Auswahl eines Datums in der Vergangenheit die Menge der zu analysierenden Daten erhöht, kann es länger dauern, bis Sie die Ergebnisse anzeigen können.

    5. Wählen Sie Speichern.
    6. Wählen Sie Verbinden.
      Tipp:
      Sie können auch mehrere Apps gleichzeitig über die Liste der SSO-Anwendungen verbinden.

      Wählen Sie auf der Anwenderoberfläche Core-UI die Apps mithilfe des Kontrollkästchens auf der linken Seite der Liste aus. Wählen Sie unten in der Liste das Dropdown-Menü Aktionen für ausgewählte Zeilen und dann Verbindenaus. Wenn einige Apps kein Softwaremodell haben, zeigt die Aktion Verbinden an, dass nicht alle Apps verbunden sind. Verbinden (1 von 4) zeigt beispielsweise, dass nur eine der vier ausgewählten Apps verbunden ist. Fügen Sie Softwaremodelle hinzu, um die verbleibenden Apps zu verbinden.

    Ergebnisse

    Nachdem die SSO-Anwendung hergestellt wurde, erstellt Ihre Instanz ServiceNow automatisch Benutzer, Gruppen, Abonnements und Reklamationsregeln, die täglich aktualisiert werden.
    • Wenn die Umschaltfläche Zuweisung erforderlich auf Jafestgelegt ist, wird das Abonnement nur für die zugeordneten Benutzer Microsoft Entra ID erstellt.
    • Wenn die Umschaltfläche Zuweisung erforderlich auf Neinfestgelegt ist, wird das Abonnement für alle Benutzer Microsoft Entra ID erstellt.

    Nächste Maßnahme

    Überprüfen Sie alle automatisch generierten Reklamationsregeln, um ihre Spezifikationen für die Reklamation von Anwenderabonnements zu erfüllen. Weitere Informationen finden Sie unter Überprüfen Sie eine Softwarereklamationsregel.

    Erstellen Sie Softwareberechtigungen für die automatisch generierten Softwaremodelle, um verwendete Software im Vergleich zu eigener Software nachzuverfolgen. Weitere Informationen zum Erstellen von Softwareberechtigungen in der klassischen Anwendung Software Asset Management finden Sie unter Erstellen Sie Berechtigungen in Software Asset Management Classic. Weitere Informationen zum Erstellen von Softwareberechtigungen im Software-Asset-Arbeitsbereich finden Sie unter Erstellen Sie Berechtigungen im Arbeitsbereich. Weitere Informationen zum Erstellen von Softwareberechtigungen mit dem Playbook Software Asset Management finden Sie unter Erstellen Sie Berechtigungen mithilfe der geführten Tour.

    Der Abgleich wird für Ihre Abonnements auch als geplante Aufgabe oder bei Bedarf ausgeführt. Sie können Ihre Abgleichergebnisse in der Lizenz-Workbench (Software Asset Management klassische Anwendung) oder in der Ansicht Lizenznutzung (Software Asset Workspace) anzeigen. Verwenden Sie diese Ergebnisse, um Ihre Position bei der Lizenz-Compliance zu bestimmen und etwaige Nichteinhaltungen zu beheben. Weitere Informationen zum Ausführen des Abgleichs in der klassischen Anwendung Software Asset Management finden Sie unter Führen Sie den Softwareabgleich in Software Asset Management klassisch aus. Weitere Informationen zum Ausführen des Abgleichs im Software-Asset-Arbeitsbereich finden Sie unter Führen Sie im -Arbeitsbereich einen Softwareabgleich aus.