Intégrer Azure Monitor à l'authentification OAuth

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Intégrez Microsoft Azure à Gestion des événements en authentifiant les jetons Azure V1 ou V2 dans Azure Monitor.

    Avant de commencer

    Assurez-vous que le module d’extension Gestion des événements Connecteurs (sn_em_connector) est installé sur l’instance Now Platform .

    Rôles requis : evt_mgmt_admin, web_service_admin et oauth_admin

    Pourquoi et quand exécuter cette tâche

    Configurez l'environnement Gestion des événements pour la collecte d'événements à partir d'Azure Monitor. Dans votre portail Azure Monitor, définissez votre instance Now Platform en tant que point de terminaison REST à l'aide des jetons V1 ou V2.

    Procédure

    1. Dans le portail Azure Monitor :
      1. Procédez à l'enregistrement de l'application et exposez une API.
        Pour en savoir plus sur l'enregistrement d'une application et l'exposition d'une API dans Azure, consultez la rubrique https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-configure-app-expose-web-apis.
      2. Créez un groupe d'actions avec un webhook sécurisé et fournissez le point de terminaison REST, comme suit : https://<nom-instance>.service-now.com/api/sn_em_connector/em/inbound_event?source=azuremonitor.
        Pour en savoir plus sur l'ajout d'un webhook sécurisé à un groupe d'actions, consultez la rubrique https://docs.microsoft.com/en-us/azure/azure-monitor/platform/action-groups.
      3. Accédez à la Alertes > Gérer les règles d’alerte.
      4. Dans la section Webhook sécurisé, veillez à sélectionner Oui pour l'option Activer le schéma d'alerte commun.
      5. Ajoutez le groupe d'actions avec le webhook sécurisé à une règle d'alerte.
    2. Dans le portail Azure Monitor, vérifiez quel jeton Azure est utilisé par votre application enregistrée.
      1. Accédez à Enregistrement de l'application et sélectionnez l'application enregistrée.
      2. Dans la section Gérer, cliquez sur Manifeste.
      3. Dans l'écran de l'éditeur, recherchez le paramètre accessTokenAcceptedVersion.
        Si la valeur du paramètre accessTokenAcceptedVersion est 2, l'intégration doit utiliser des jetons V2.

        Si la valeur du paramètre accessTokenAcceptedVersion est 1 ou nul, l'intégration doit utiliser des jetons V1.

    3. Dans votre instance Now Platform, assurez-vous que l'utilisateur ServiceNow est affecté avec l'ID d'application (client) ou l'URI d'ID d'application correct.
      Assurez-vous également que le rôle evt_mgmt_integration est affecté aux utilisateurs sys_user ServiceNow appropriés.
      1. Accédez à la Sécurité de système > Utilisateurs et groupes > Utilisateurs.
        Remarque :
        pour garantir une authentification appropriée, utilisez l'utilisateur le moins privilégié disposant du rôle evt_mgmt_integration, plutôt qu'un utilisateur possédant des privilèges élevés.
      2. Vérifiez que le champ Source de l'utilisateur sys_user ServiceNow est renseigné avec l'ID d'application (client) ou l'URI d'ID d'application correct, tel que défini dans le portail Azure Monitor.
        Si l'application utilise un jeton Azure V1, le champ Source doit être renseigné avec l'URI d'ID d'application de l'application enregistrée. Si l'application utilise un jeton Azure V2, le champ Source doit être renseigné avec l'ID d'application (client) de l'application enregistrée.
        Si le champ Source n'est pas affiché, modifiez la mise en page du formulaire pour l'afficher. Cliquez sur l'icône du menu contextuel ( icône du menu contextuel), puis choisissez Configurer > Mise en page du formulaire. Déplacez Source vers la liste sélectionnée.
        Remarque :
        si la version de votre instance Now Platform est antérieure à Paris Correctif 2 ou Orlando Correctif 9, la valeur du champ Source doit être entre crochets. Par exemple, [api://azuretest].
    4. Dans votre Now Platform instance, accédez à Gestion des événements > Intégrations > Configuration OAuth Azure.
    5. Cliquez sur Entrée OIDC OAuth Azure et saisissez l'ID client.
      Si l'application enregistrée utilise un jeton Azure V2, l'ID client doit être identique à l'ID d'application (client) des enregistrements d'application définis dans votre portail Azure Monitor.

      Si l'application enregistrée utilise un jeton Azure V1, l'ID client doit être identique à l'URI d'ID d'application des enregistrements d'application définis dans votre portail Azure Monitor (l'API exposée).

    6. Dans le champ Configuration du fournisseur OIDC OAuth, cliquez sur l'icône d'informations ( icône Informations).
    7. Dans la fenêtre Configuration du fournisseur OIDC, cliquez sur Ouvrir l'enregistrement.
      Fenêtre Configuration du fournisseur OIDC
    8. Saisissez l’URL des métadonnées OIDC en fonction du jeton Azure utilisé par l’application enregistrée, comme illustré dans le tableau suivant.
      Jeton AzureURL des métadonnées OIDC
      V2 Dans le formulaire Configuration du fournisseur OIDC, ajoutez l'URL suivante au champ URL des métadonnées OIDC :

      https://login.microsoftonline.com/<id-locataire>/v2.0/.well-known/openid-configuration

      Assurez-vous de remplacer <id-locataire> par l'ID de locataire Azure approprié.
      V1 Dans le formulaire Configuration du fournisseur OIDC :
      • Dans la colonne Nom de la réclamation, remplacez azp par appid.
        Remplacer AZP par APPID
      • Dans le champ URL des métadonnées OIDC, ajoutez l'URL suivante : https://login.microsoftonline.com/<id-locataire>/.well-known/openid-configuration

        Assurez-vous de remplacer <id-locataire> par l'ID de locataire Azure approprié.

    Résultats

    Lorsqu'une alerte est créée dans Azure Monitor dans le cadre de la règle d'alerte, la notification est envoyée à Now Platform à l'aide du point de terminaison du webhook sécurisé. Dans votre instance Now Platform, accédez à Tous les événements pour afficher les événements. Si vous souhaitez envoyer des changements d'état d'alerte sur l'instance ServiceNow à partir des alertes ServiceNow au portail Azure, vous devez activer le connecteur bidirectionnel Azure Monitor. Pour en savoir plus, reportez-vous à Configurer le connecteur bidirectionnel Azure Monitor .