Intégration à Microsoft Entra ID

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 12 minutes de lecture

    • Vous pouvez intégrer votre ServiceNow instance à Microsoft Entra ID pour afficher l’utilisation logicielle de toutes les applications SSO connectées.

    Important :
    Minimisez les risques de sécurité et protégez les informations en accordant l’accès uniquement aux autorisations nécessaires de l’utilisateur ou de l’API.
    Tableau 1. Autorisations utilisateur minimales
    Processus Rôle d’utilisateur requis dans l’application Microsoft Entra ID Périmètres d’authentification
    • Télécharger les utilisateurs
    • Télécharger les groupes
    • Télécharger les appartenances au groupe
    		 Développeur d'application
    • Utilisateur.Lecture.Tout
    • MembreGroupe.Lecture.Tous
    • Application.Lecture.Tout
    Télécharger les applications Développeur d'application
    • Utilisateur.Lecture.Tout
    • MembreGroupe.Lecture.Tous
    • Application.Lecture.Tout
    • Connecter les applications
    • Mettre à jour les applications connectées
    • Lecteur global/Lecteur de rapports/Sécurité/Administrateur/Opérateur de sécurité/Lecteur de sécurité
    • Développeur d'application
    • Journal d’audit.Lecture.Tout
    • Utilisateur.Lecture.Tout
    • MembreGroupe.Lecture.Tous
    • Application.Lecture.Tout
    Récupérer les abonnements Administrateur d’utilisateur Utilisateur.Lectureécriture.Tous

    Créer une Microsoft Entra ID application

    Créez une application dans le Microsoft Entra ID portail à intégrer au ServiceNow AI Platform.

    Avant de commencer

    Microsoft Entra ID Rôle requis : consultez la table Autorisation minimale des utilisateurs .

    Procédure

    1. Depuis le Azure portail, accédez à Microsoft Entra ID.
    2. Créez une Microsoft Entra ID application.
      Reportez-vous à Créer Microsoft Entra ID l'application pour obtenir des instructions détaillées sur l’enregistrement et la configuration d’une application.
      1. Dans le champ URI de redirection , saisissez https://<nom-instance>.service-now.com/oauth_redirect.do,<nom-instance> est le nom de votre ServiceNow instance.
      2. Enregistrez l’ID (client) et l’ID de répertoire (locataire) de l’application pour enregistrer l’application en tant que fournisseur OAuth tiers sur votre ServiceNow instance.
      3. Créez un secret client et enregistrez la valeur correcte (et non l’ID du secret client) pour enregistrer l’application en tant que fournisseur OAuth tiers sur votre ServiceNow instance.
      4. Ajoutez des autorisations pour accéder à l’API Microsoft Graph .
        Autorisation Type
        Journal d’audit.Lecture.Tout Délégué ou d’application
        Utilisateur.Lecture.Tout Délégué ou d’application
        Utilisateur.Lectureécriture.Tous Délégué ou d’application
        MembreGroupe.Lecture.Tous Délégué ou d’application
        Application.Lecture.Tout Délégué ou d’application
        Pour plus d’informations, consultez Ajouter des autorisations pour accéder aux API Web.
      5. Accordez le consentement de l’administrateur à votre application.
        Pour plus d’informations, consultez Comprendre les autorisations d’API et l’interface utilisateur du consentement de l’administrateur.

    Créer un profil d'intégration Microsoft Entra ID

    Créez un profil d’intégration Microsoft Entra ID dans votre ServiceNow instance.

    Avant de commencer

    Pour créer un profil d’intégration Microsoft Entra ID , demandez le module d’extension Gestion des actifs logiciels - Gestion des licences SaaS (sn_sam_saas_int) auprès de ServiceNow Store.

    ServiceNow Rôle requis : sam_integrator

    Important :
    Vous devez cocher la case Spoke Microsoft Entra ID pour cette intégration lors de l’installation des fonctionnalités facultatives sur la Application Manager page. Pour plus d’informations sur le choix des applications SaaS requises, reportez-vous à la section Demander le Gestion des licences SaaS.

    Pourquoi et quand exécuter cette tâche

    Remarque :
    À partir de la version 7.0.0 de et de la version 3.1.0 du spoke, votre ServiceNow instance crée une connexion Entra ID distincte pour chaque Microsoft Entra ID profil d’intégration que vous créez.Microsoft Entra IDGestion des actifs logicielsGestion des licences SaaS Chaque connexion s’exécute indépendamment l’une de l’autre, ce qui permet à votre instance de prendre en charge plusieurs profils d’intégration indépendants Microsoft Entra ID .

    Si vous utilisez Espace de travail des actifs logiciels, l’option permettant de créer le profil d’intégration Microsoft Entra ID dans Interface utilisateur principale est inactive.

    Procédure

    1. Accédez au profil d’intégration.
      InterfaceAction
      Interface utilisateur principale
      1. Accédez à la Tous > Actifs Logiciels > Licence SaaS > Profils d'intégration SSO.
      2. Sélectionnez Nouveau.
      3. Sélectionnez le profil d’intégration Microsoft Entra ID.
      Espace de travail actifs logiciels
      1. Accédez à la Opérations de licence > Abonnements de l'utilisateur > Profils d'intégration SSO.
      2. Sélectionnez Nouveau.
      3. Sélectionnez le profil d’intégration Microsoft Entra ID dans la liste déroulante.
      4. Sélectionnez Continuer.
    2. Dans le champ Nom d’affichage , saisissez un nom pour le profil d’intégration.

      Les champs restants sont automatiquement renseignés lorsque vous soumettez le formulaire.

      Remarque :
      L’intégration SSO est créée à l’aide d’une intégration de répertoire. L’intégration d’annuaire extrait les applications SSO, les utilisateurs et les données de groupe associées à vos intégrations SSO. Pour plus d'informations, consultez Affichage des informations sur l’abonnement SSO.

      Si vous disposez déjà d’une Microsoft Entra ID intégration d’annuaire, l’intégration SSO utilise votre intégration d’annuaire existante. Sinon, une Microsoft Entra ID intégration de répertoire est automatiquement créée.

    3. Dans la section Configuration du processus, affichez les rôles d’utilisateur requis ou les autorisations d’API pour minimiser les risques de sécurité et optimiser SaaS les licences.
      Remarque :
      Pour plus d’informations sur les rôles et les champs d’application requis, consultez la table des autorisations utilisateur minimales .

      • La case Télécharger les applications, les utilisateurs et les groupes est cochée par défaut et vous ne pouvez pas la désélectionner.

      • La case Télécharger l’activité est cochée par défaut. Si vous l’effacez, la dernière activité pour les applications connectées n’est pas extraite.

      • La case Récupérer les abonnements est cochée par défaut. Si vous ne souhaitez pas récupérer les abonnements, vous pouvez décocher cette case. Si vous l’effacez, les candidats à la suppression sont créés, mais le flux secondaire d’abonnement à la récupération n’est pas déclenché ou le processus de réclamation n’est pas lancé.

    4. Sélectionnez Soumettre.
      Le champ Connexion et informations d’identification s’affiche.
    5. Sélectionnez le lien connexe Create New Connection & Credential (Créer une connexion et des informations d’identification ).
      Remarque :
      Si vous avez installé Espace de travail des actifs logiciels, ouvrez l’enregistrement Connexion et informations d’identification et sélectionnez le lien connexe Créer une connexion et des informations d’identification .
    6. Remplissez les champs du formulaire.
      Tableau 2. Formulaire Créer une connexion et des informations d'identification
      Champ Valeur
      Type d'autorisation Type d’autorisation permettant au profil d’intégration d’accéder correctement et en toute sécurité aux données.
      Les valeurs comprennent :
      • Autorisations de l’application : permettez à l’application d’accéder à n’importe quelle donnée sans utilisateur connecté.
      • Autorisations déléguées : permettez à l’application d’agir à la place d’un utilisateur connecté.
      URL d'authentification https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/authorize, où <directory-id> correspond à l’ID (locataire) du Azure répertoire.
      URL de jeton https://login.microsoftonline.com/<ID-répertoire>/oauth2/v2.0/jeton, où<id-répertoire> correspond à l’ID (locataire) du Azure répertoire du portail.
      URL de révocation du jeton https://login.microsoftonline.com/<_id-répertoire>/oauth2/v2.0/revoke, où <id-répertoire> correspond à l’ID (locataire) du Azure répertoire.
      ID client OAuth ID (client) de l’application que vous avez créée dans le Azure portail.
      Secret client OAuth Clé secrète client pour l’application que vous avez créée dans le Azure portail.
      URL de redirection OAuth https://<nom-instance>.service-now.com/oauth_redirect.do,<nom-instance> est le nom de votre ServiceNow instance. Cette valeur est automatiquement renseignée.
    7. Sélectionnez Créer et obtenir un jeton OAuth.
      Vous êtes redirigé vers le Azure portail. Pour connaître le rôle requis pour effectuer cette étape, consultez la table des autorisations minimales pour les utilisateurs .
    8. Dans la fenêtre contextuelle, connectez-vous à votre compte avec Microsoft Entra ID les informations d’identification de l’administrateur.
    9. Sur le formulaire de profil d’intégration, sélectionnez Valider la connexion pour vérifier les détails de connexion et d’informations d’identification de cette intégration.
    10. Une fois la connexion vérifiée, sélectionnez Publier.
    11. Dans la boîte de dialogue Publier la confirmation, sélectionnez OK.
      Si vous décochez la case Télécharger l’activité après la publication du profil d’intégration, vous devez revalider les connexions, car les événements suivants se produisent :
      • Le bouton Valider la connexion s’affiche sur le formulaire.
      • La dernière activité pour les utilisateurs des applications connectées n’est plus extraite.
      Travaux planifiés et travaux du répertoire téléchargent une liste de toutes vos applications, utilisateurs et groupes. Pour plus d'informations, consultez Affichage des informations sur l’abonnement SSO. Affichez l’état de vos tâches dans les listes connexes Résultats de tâche planifiée et Résultats de tâche du répertoire du profil d’intégration. Les modèles logiciels sont automatiquement créés pour les applications dont l’ID de catalogue externe correspond à un identificateur dans la table Définitions de produits d’abonnement [samp_sw_subscription_product_definition].

    Résultats

    Une fois que vous avez publié le profil d’intégration et connecté les applications au profil, vous pouvez afficher les événements effectués par des utilisateurs individuels jusqu’à 60 jours avant la date actuelle. Pour plus d'informations, consultez Examiner une règle de réclamation de logiciel.

    Connecter les applications SSO

    Connectez une application d’authentification unique (SSO) pour afficher tous les utilisateurs et groupes ayant accès à l’application. Suivez les données de connexion des utilisateurs et récupérez les licences inutilisées.

    Avant de commencer

    Rôle requis : sam_integrator

    Pourquoi et quand exécuter cette tâche

    Remarque :
    Pour Microsoft Entra ID, le bouton bascule Affectation requise de la page de configuration de l’application contrôle l’accès à l’application par les utilisateurs.
    • Si le bouton bascule Affectation requise est défini sur Oui, vous devez affecter cette application aux utilisateurs et aux Microsoft Entra ID applications et services connexes. Une fois l’application affectée, Microsoft Entra ID les utilisateurs, les applications associées et les services peuvent y accéder.
    • Si le bouton bascule Affectation requise est défini sur Non, tous les utilisateurs peuvent se connecter à l’application. Les applications et services associés peuvent également obtenir un jeton d’accès à ce service.

    Gestion des licences SaaS offre des intégrations directes avec certaines applications. Les intégrations directes fournissent les données d’utilisation les plus robustes. Pour obtenir la liste des intégrations directes disponibles, reportez-vous à la section Intégration aux applications SaaS. Si vous disposez d’une intégration directe pour une application, la connexion de la même application dans une intégration SSO crée des enregistrements d’abonnement en double dans votre ServiceNow instance. Si vous connectez une application SSO et décidez ultérieurement de créer une intégration directe pour cette application, déconnectez l’application avant de créer une intégration directe.

    Remarque :
    Si vous utilisez Espace de travail des actifs logiciels, l’option permettant d’accéder à l’application SSO dans le Interface utilisateur principale est inactive.

    Procédure

    1. Accédez à l’application.
      InterfaceAction
      Interface utilisateur principale Accédez à la Tous > Actifs Logiciels > Licence SaaS > Applications SSO.
      Espace de travail actifs logiciels Accédez à la Opérations de licence > Abonnements de l'utilisateur > Profils d'intégration SSO.
    2. Sélectionnez l’application que vous souhaitez connecter.
      Pour Espace de travail des actifs logiciels, sélectionnez l’onglet Applications SSO .
    3. Si le champ Modèle logiciel est vide, ajoutez un modèle logiciel pour l’application.
      Une application doit avoir un modèle logiciel avant de pouvoir la connecter. Des modèles logiciels sont automatiquement créés pour les applications dont l’ID de catalogue externe correspond à un identificateur dans la table Définitions de produits d’abonnement [samp_sw_subscription_product_definition]. Pour toutes les autres applications, vous pouvez créer un modèle logiciel manuellement. Pour plus d'informations, consultez Créer des modèles logiciels au Gestion des actifs logiciels format classique.
    4. Facultatif : Cochez la case Activer le modèle logiciel basé sur le groupe pour mapper un groupe SSO à un modèle logiciel spécifique pour l’application.

      Par exemple, si une application possède plusieurs modèles de licence liés à des groupes spécifiques, vous pouvez mapper un groupe à un modèle logiciel pour optimiser l’utilisation de la licence.

      Important :
      Si vous sélectionnez cette option, vous devez créer un mappage pour le groupe SSO avant de connecter l’application. Une fois le mappage terminé, les abonnements SSO sont automatiquement créés ou mis à jour en fonction du modèle logiciel mappé. Pour plus d'informations, consultez Créer un mappage de modèle logiciel de groupe SSO.
    5. Sélectionnez une date pour le champ Analyser la dernière activité de .

      Vous pouvez choisir de commencer à analyser les données de connexion pour des utilisateurs et des applications individuels à partir de la date actuelle ou jusqu’à 60 jours plus tôt. La valeur par défaut est de 30 jours. Le choix d’une date passée vous permet de détecter les abonnements périmés sans attendre en temps réel, car vous pouvez voir les abonnements qui n’ont pas été utilisés récemment. Étant donné que le choix d’une date dans le passé augmente la quantité de données analysées, il peut vous falloir plus de temps pour pouvoir afficher les résultats.

    6. Sélectionnez Enregistrer.
    7. Sélectionnez Connexion.
      Conseil :
      Vous pouvez également connecter plusieurs applications simultanément à partir de la liste des applications SSO .

      Dans l’interface Interface utilisateur principale , sélectionnez les applications à l’aide de la case à cocher située sur le côté de la liste. En bas de la liste, sélectionnez le menu déroulant Actions sur les lignes sélectionnées , puis sélectionnez Connexion. Si certaines applications n’ont pas de modèle logiciel, l’action Connect indique que toutes les applications ne sont pas connectées. Par exemple, Connect (1 sur 4) montre qu’une seule des quatre applications que vous avez sélectionnées est connectée. Ajoutez des modèles logiciels pour connecter les applications restantes.

    Résultats

    Une fois l’application SSO connectée, votre ServiceNow instance crée automatiquement des utilisateurs, des groupes, des abonnements et des règles de réclamation qui sont actualisés quotidiennement.
    • Si le bouton bascule Affectation requise est défini sur Oui pour une application dans le Microsoft Entra ID portail, l’abonnement est créé uniquement pour les utilisateurs affectés à cette application spécifique.
    • Si le bouton bascule Affectation requise est défini sur Non pour une application dans le Microsoft Entra ID portail, l’abonnement est créé pour tous les Microsoft Entra ID utilisateurs.

    Que faire ensuite

    Passez en revue toutes les règles de réclamation générées automatiquement pour répondre à vos spécifications de récupération des abonnements utilisateur. Pour plus d'informations, consultez Examiner une règle de réclamation de logiciel.

    Après avoir connecté l’application SSO, affichez les informations relatives au profil SSO dans le Espace de travail des actifs logiciels en accédant à Opérations de licence > Abonnement de l'utilisateur > Profils d'intégration SSO. Vous pouvez sélectionner un profil d’intégration pour afficher les listes connexes suivantes :
    • Applications SSO
    • Utilisateurs de répertoires
    • Travaux planifiés
    • Résultats de la tâche planifiée
    • Tâches de répertoire
    • Résultats des tâches de répertoire
    • Règle d'exclusion de l'utilisateur de l'abonnement

    Après avoir créé un profil d’intégration, vous pouvez définir des règles d’exclusion des abonnements afin d’exclure certains abonnements du calcul des coûts de licence. Pour plus d'informations, consultez Exclusions d’abonnements pour SaaS les applications SSO et.

    Créez des autorisations d’utilisation du logiciel pour les modèles logiciels générés automatiquement afin de comparer les logiciels utilisés aux logiciels possédés. Pour plus d’informations sur la création d’autorisations d’utilisation du logiciel dans l’application Gestion des actifs logiciels classique, reportez-vous à la section Créer des droits au format Gestion des actifs logiciels classique. Pour plus d’informations sur la création d’autorisations d’utilisation du logiciel dans Software Asset Workspace, reportez-vous à la section Créer des droits dans l’espace de travail. Pour plus d’informations sur la création d’autorisations d’utilisation du logiciel à l’aide du playbook, reportez-vous à la Gestion des actifs logiciels section Créer des droits à l’aide de la procédure guidée.

    Le rapprochement s’exécute également sur vos abonnements en tant que tâche planifiée ou sur demande. Vous pouvez afficher les résultats de votre rapprochement dans la console de licence (Gestion des actifs logiciels application classique) ou dans la vue Utilisation de la licence (Software Asset Workspace). Utilisez ces résultats pour déterminer votre position en matière de conformité de licence et corriger toute non-conformité. Pour plus d’informations sur l’exécution du rapprochement dans l’application Gestion des actifs logiciels classique, reportez-vous à la section Exécuter le rapprochement de logiciel au format Gestion des actifs logiciels classique. Pour plus d’informations sur l’exécution du rapprochement dans Software Asset Workspace, reportez-vous à la section Exécuter le rapprochement de logiciel dans l’espace de travail.