Intégration à Okta

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 10 minutes de lecture

    • Vous pouvez intégrer votre ServiceNow instance à Okta pour afficher l’utilisation du logiciel pour toutes les applications SSO connectées.

    Important :
    Minimisez les risques de sécurité et protégez les informations en n’accordant l’accès qu’aux utilisateurs ou aux autorisations d’API nécessaires.
    Tableau 1. Autorisations utilisateur minimales
    Processus Rôle d’utilisateur requis dans l’application Okta Périmètres d’authentification
    Télécharger les utilisateurs Administrateur en lecture seule okta.users.read
    • Télécharger les groupes
    • Télécharger les appartenances au groupe
    		 Administrateur en lecture seule okta.groups.read
    Télécharger les applications Administrateur en lecture seule
    • okta.apps.read
    • okta.logs.read
    Connecter les applications Administrateur en lecture seule okta.logs.read
    Mettre à jour les applications connectées Administrateur en lecture seule
    • okta.apps.read
    • okta.logs.read
    Récupérer les abonnements Administrateur d’application okta.apps.manage

    Créer une Okta application

    Créez une Okta application que vous pouvez intégrer au Now Platform.

    Avant de commencer

    Okta Rôle requis : reportez-vous au tableau Autorisations minimales de l’utilisateur .

    Pour plus d’informations sur les étendues OAuth, reportez-vous à la section Rôles et autorisations d’administrateur, ainsi qu’aux Okta points de Oktaterminaison pris en charge.

    Procédure

    1. À partir d’un navigateur Web, connectez-vous à la console d’administration Okta.
    2. Créez une application avec la Okta fonctionnalité OAuth 2.0.

      Pour obtenir des instructions détaillées, consultez Créer une application OAuth 2.0 pour Okta .

      Gardez les points suivants à l’esprit lorsque vous créez votre Okta application :
      • Dans les champs URI de redirection de connexion et URI de redirection de déconnexion , saisissez https://<nom-instance>.service-now.com/oauth_redirect.do, où <nom-instance> est le nom de votre ServiceNow instance.
      • Copiez les valeurs des champs ID client et Secret client . Conservez-les dans un endroit sûr pour une utilisation ultérieure.
      • Accordez les champs d’application suivants à votre Okta application OAuth 2.0 :
        • okta.groups.read
        • okta.groups.manage
        • okta.apps.read
        • okta.utilisateurs.gérer
        • okta.users.read
        • okta.logs.read
        • okta.apps.manage
      • Cochez la case Jeton d’actualisation sous le type d’accord Client agissant au nom d’un utilisateur sur le portail Okta.

    Créer un profil d’intégration Okta

    Créez un profil d’intégration Okta dans votre ServiceNow instance.

    Avant de commencer

    Pour créer un profil d’intégration Okta , demandez le module d’extension Gestion des actifs logiciels - Gestion des licences SaaS (com.sn_sam_saas_int) auprès du ServiceNow Store.

    ServiceNow Rôle requis : sam_integrator ou admin

    Pourquoi et quand exécuter cette tâche

    Remarque :
    À partir de la version 7.0.0 de - Gestion des licences SaaS et de Gestion des actifs logiciels la Okta version 4.1.2 du spoke, votre ServiceNow instance crée une connexion distincte Okta pour chaque Okta profil d’intégration que vous créez. Chaque connexion s’exécute indépendamment l’une de l’autre, ce qui permet à votre instance de prendre en charge plusieurs profils d’intégration indépendants Okta .

    Si vous utilisez Software Asset Workspace, l’option permettant de créer le profil d’intégration Okta dans Interface utilisateur principale est inactive.

    Procédure

    1. Accédez au profil d’intégration.
      InterfaceAction
      Interface utilisateur principale
      1. Accédez à la Tout > Actifs Logiciels > Licence SaaS > Profils d'intégration SSO.
      2. Sélectionnez Nouveau.
      3. Sélectionnez Profil d’intégration Okta.
      Espace de travail des ressources logicielles
      1. Accédez à la Opérations de licence > Abonnements de l'utilisateur > Profils d'intégration SSO.
      2. Sélectionnez Nouveau.
      3. Sélectionnez Okta dans la liste déroulante.
      4. Sélectionnez Continuer.
    2. Renseignez les champs du formulaire.
      Tableau 2. Formulaire Profil d’intégration SSO
      Champ Description
      Nom d'affichage Nom du profil d’intégration. Par exemple, Intégration Okta.
      Statut État du profil d'intégration.
      • Si vous n’avez pas publié le profil d’intégration, ce champ est automatiquement défini sur Brouillon.
      • Si vous avez déjà publié le profil d’intégration, ce champ est automatiquement défini sur Publié.
      Intégration de répertoire Référence au profil d’intégration d’annuaire, qui est utilisé pour extraire les utilisateurs Active Directory, les groupes et les appartenances à des groupes d’une organisation.
      • S’il existe un enregistrement Okta d’intégration d’annuaire, vous pouvez sélectionner l’enregistrement existant.
      • S’il Okta n’existe aucun enregistrement d’intégration de répertoire, un nouvel enregistrement est créé lorsque vous enregistrez ou soumettez ce formulaire.
      Type de profil Type du profil d’intégration.

      Ce champ est automatiquement défini sur Okta.
      Connexion et information d'identification

      Référence à l’alias de connexion et d’informations d’identification utilisé dans l’intégration de l’annuaire et de l’authentification unique.

      • Si un enregistrement d’intégration d’annuaire existe et que vous le sélectionnez dans le champ d’intégration d’annuaire, ce champ est automatiquement défini sur l’alias de connexion et d’informations d’identification de l’enregistrement d’intégration d’annuaire.
      • Si aucune valeur d’intégration de répertoire n’existe, ce champ est automatiquement renseigné.
      Créer des abonnements Okta Option de création d’un profil d’intégration direct pour afficher Okta les abonnements après la publication de ce profil d’intégration.

      Valeur par défaut : faux
    3. Sélectionnez Soumettre.
    4. Ouvrez la boîte de dialogue Créer une connexion et des informations d’identification.
      InterfaceAction
      Interface utilisateur principale Sélectionnez le lien connexe Créer une nouvelle connexion et de nouvelles informations d’identification sur le formulaire de profil d’intégration SSO.
      Espace de travail des ressources logicielles
      1. Sélection de l’icône d’aperçu (icône Aperçu.)en regard du champ Connexion et informations d’identification
      2. Sélectionnez Ouvrir l’enregistrement dans l’aperçu de l’enregistrement.
      3. Dans le formulaire Alias de connexion et d’informations d’identification, sélectionnez le lien connexe Créer une nouvelle connexion et informations d’identification .
    5. Renseignez les champs de la boîte de dialogue.
      Tableau 3. Boîte de dialogue Créer une connexion et des informations d’identification
      Champ Description
      Nom Nom de la connexion. Par exemple, Connexion Okta.
      URL de connexion URL de connexion. Saisissez https://<votredomaineOkta>.com où <votredomaineOkta> est le domaine de votre organisation.
      URL d'autorisation URL du point de terminaison d’autorisation OAuth. Saisissez https://<votredomaineOkta>.com/oauth2/v1/authorize, où <votredomaineOkta> est le domaine de votre organisation.
      URL de jeton URL du point de terminaison OAuth qui récupère et actualise les jetons d’accès. Saisissez https://<votreOktaDomain>.com/oauth2/v1/token où <votreOktaDomain> est le domaine de votre organisation.
      URL de révocation du jeton URL du point de terminaison OAuth qui révoque les jetons d’accès. Saisissez https://<votredomaineOkta>.com/oauth2/v1/revoke, où <votredomaineOktaDomain> est le domaine de votre organisation.
      ID client OAuth ID client affecté à l’application Okta .
      Secret client OAuth Clé secrète du client qui est affectée à votre Okta application.
      URL de redirection OAuth URL du fournisseur OAuth vers lequel les utilisateurs sont redirigés après authentification. Ce champ est automatiquement défini sur https://<nom-instance>.service-now.com/oauth_redirect.do, où <nom-instance> est le nom de votre ServiceNow instance.
    6. Sélectionnez Créer et obtenir un jeton OAuth.
      La Okta boîte de dialogue de connexion au portail s’ouvre.
    7. Dans la boîte de dialogue, entrez vos Okta informations d’identification, puis sélectionnez Se connecter.
      Remarque :
      Vous devez vous connecter à l’aide des mêmes informations d’identification que dans les rôles de super administrateur, d’administrateur d’application ou d’administrateur de Gestion de l’accès aux API.
      La boîte de dialogue se ferme et vous revenez automatiquement au formulaire Profil d’intégration SSO.
    8. Sélectionnez Publier.

    Résultats

    Les travaux planifiés et les travaux d’annuaire téléchargent une liste de toutes les applications, utilisateurs, groupes et abonnements logiciels associés à votre Okta application. Affichez l’état de votre tâche dans les onglets Résultats des travaux planifiés et Résultats des travaux de répertoire de votre profil d’intégration. Gestion des actifs logiciels crée automatiquement des modèles logiciels pour les applications avec un ID de catalogue externe qui correspond à un identificateur dans la table Définitions de produit d’abonnement [samp_sw_subscription_product-définition].

    Que faire ensuite

    Si vous avez coché la case Créer des abonnements Okta et que ce profil d’intégration est publié, un profil d’intégration direct est Okta créé. Vous pouvez accéder au profil d’intégration directe en sélectionnant le lien Profil d’intégration directe dans le message d’information.

    Une fois que vous avez accédé au profil d’intégration directe, vous pouvez afficher Okta les abonnements en sélectionnant l’onglet Abonnements logiciels . Pour plus d'informations, consultez Okta Profil d’intégration directe SSO.

    Avertissement :

    Lorsque votre jeton OAuth expire, votre Okta profil d’intégration affiche un message d’erreur indiquant que vous devez obtenir un nouveau jeton OAuth. Sélectionnez le lien dans le message d’erreur pour obtenir le nouveau jeton OAuth.

    Pour votre Okta profil d’intégration, ne supprimez pas l’enregistrement d’informations d’identification OAuth 2.0 associé à l’enregistrement de connexion. Si vous supprimez l’enregistrement des informations d’identification OAuth 2.0, vous ne pourrez pas obtenir de nouveau jeton OAuth après l’expiration de votre jeton OAuth actuel.

    Une fois que vous avez publié le profil d’intégration et connecté les applications au profil, vous pouvez afficher les événements effectués par des utilisateurs individuels jusqu’à 60 jours avant la date actuelle. Pour plus d'informations, consultez Réviser une règle de réclamation de logiciel.

    Okta Profil d’intégration directe SSO

    Okta Le profil d’intégration directe SSO vous aide à gérer Okta les licences utilisateur en créant des abonnements pour Okta les utilisateurs lors de la configuration d’une Okta intégration SSO.

    Tableau 4. Profil d’intégration OKTA SSO Direct
    Champ Description
    Nom d'affichage Nom du profil d’intégration.
    Statut État du profil d'intégration.

    Ce champ est automatiquement défini sur Publié.
    Type de profil Type de profil d'intégration.

    Ce champ est automatiquement défini sur Abonnement Okta.
    Télécharger le flux secondaire d'abonnement
    Flux secondaire Ce champ est automatiquement défini sur Abonnements au téléchargement Okta.

    Connecter les applications SSO

    Connectez une application SSO pour surveiller tous les utilisateurs et groupes qui ont accès à cette application. Vous pouvez également suivre les données de connexion des utilisateurs et récupérer les licences inutilisées.

    Avant de commencer

    ServiceNow Rôle requis : sam_integrator ou admin

    Pourquoi et quand exécuter cette tâche

    ServiceNow® Gestion des licences SaaS offre des intégrations directes avec certaines applications. Les intégrations directes fournissent les données d’utilisation les plus complètes. Pour obtenir la liste des intégrations directes disponibles, reportez-vous à la section Intégration aux applications SaaS.

    Si vous avez déjà créé une intégration directe pour une application, la connexion de la même application dans une intégration SSO crée des enregistrements d’abonnement en double dans votre ServiceNow instance. Vous ne devez utiliser que l’intégration directe. Si vous connectez une application dans une intégration SSO, mais que vous souhaitez créer ultérieurement une intégration directe pour cette application, déconnectez l’application avant de créer l’intégration directe.

    Procédure

    1. Accédez à la Tout > Licence SaaS > Applications SSO.
    2. Sélectionnez l’application que vous souhaitez connecter.
    3. Si le champ Modèle logiciel est vide, ajoutez un modèle logiciel pour l’application.
      Avant de pouvoir connecter une application, celle-ci doit être associée à un modèle logiciel. ServiceNow® Gestion des actifs logiciels crée automatiquement des modèles logiciels pour les applications avec un ID de catalogue externe qui correspond à un identificateur dans la table Définitions de produit d’abonnement [samp_sw_subscription_product_definition]. Pour toutes les autres applications, vous pouvez créer un modèle logiciel manuellement. Pour obtenir des instructions, consultez Créer des modèles logiciels au format Gestion des actifs logiciels classique.
    4. Sélectionnez la date à partir de laquelle vous souhaitez analyser la dernière activité dans le champ Analyser la dernière activité à partir de .

      Vous pouvez commencer à analyser les données de connexion d’utilisateurs et d’applications individuels à partir de la date actuelle ou jusqu’à 60 jours avant. La valeur par défaut est de 30 jours. Si vous sélectionnez une date antérieure à la date actuelle, l’affichage des résultats peut prendre plus de temps en raison de la quantité de données que vous souhaitez analyser.

      Une fois que vous avez soumis une valeur dans le champ Analyser la dernière activité à partir de , le champ passe en lecture seule.

    5. Sélectionnez Connexion.
      Conseil :
      Pour connecter plusieurs applications simultanément, cochez la case en regard de chaque application que vous souhaitez connecter dans la liste Applications SSO. Sélectionnez les actions dans le menu de ligne sélectionné, puis sélectionnez Connecter. Si des applications ne sont pas associées à un modèle logiciel, le nom de l’élément de menu Connexion est mis à jour pour indiquer que seules certaines des applications seront connectées. Par exemple, un élément de menu Connexion (1 sur 4) indique qu’une seule des quatre applications que vous avez sélectionnées sera connectée. Ajoutez des modèles logiciels aux applications restantes pour procéder aux connexions.

    Que faire ensuite

    Une fois l’application SSO connectée, votre ServiceNow instance crée automatiquement des utilisateurs, des groupes, des abonnements et des règles de réclamation qui sont actualisés quotidiennement. Si vous supprimez un utilisateur, une application, un groupe ou une appartenance à un groupe de la Okta console développeur, les modifications sont répercutées sur votre ServiceNow instance.

    Passez en revue toutes les règles de réclamation générées automatiquement pour vous assurer qu’elles répondent à vos spécifications de récupération des abonnements utilisateur. Pour plus d'informations, consultez Réviser une règle de réclamation de logiciel.

    Créez des autorisations logicielles pour les modèles logiciels générés automatiquement afin de suivre les logiciels utilisés par rapport aux logiciels possédés. Pour plus d’informations sur la création d’autorisations d’utilisation du logiciel dans l’application classique, reportez-vous à la Gestion des actifs logiciels section Créer des autorisations dans Gestion des actifs logiciels classique. Pour plus d’informations sur la création d’autorisations d’utilisation du logiciel dans Software Asset Workspace, reportez-vous à la section Créer des autorisations dans l’espace de travail. Pour plus d’informations sur la création d’autorisations d’utilisation du logiciel à l’aide du Gestion des actifs logiciels Playbook, reportez-vous à la section Créer des autorisations à l’aide de la procédure guidée.

    Le rapprochement s’exécute également sur vos abonnements en tant que tâche planifiée ou à la demande. Vous pouvez afficher les résultats de votre rapprochement dans la console de licence (Gestion des actifs logiciels application classique) ou dans la vue Utilisation de la licence (Software Asset Workspace). Utilisez ces résultats pour déterminer votre position de conformité de licence et pour remédier à toute non-conformité. Pour plus d’informations sur l’exécution du rapprochement dans l’application classique, reportez-vous à la Gestion des actifs logiciels section Exécuter le rapprochement de logiciel. Pour plus d’informations sur l’exécution du rapprochement dans Software Asset Workspace, reportez-vous à la section Exécuter le rapprochement de logiciel dans l’espace de travail.