Intégration à Azure AD

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 8 minutes de lecture

    • Vous pouvez intégrer votre ServiceNow instance à Microsoft Azure Active Directory (AD) pour afficher l’utilisation du logiciel pour toutes les applications SSO connectées.

    Important :
    Minimisez les risques de sécurité et protégez les informations en n’accordant l’accès qu’aux utilisateurs ou aux autorisations d’API nécessaires.
    Tableau 1. Autorisations utilisateur minimales
    Processus Rôle d’utilisateur requis dans l’application Microsoft Azure AD Périmètres d’authentification
    • Télécharger les utilisateurs
    • Télécharger les groupes
    • Télécharger les appartenances au groupe
    		 Développeur d'application Répertoire.Lecture.Tout
    Télécharger les applications Développeur d'application Répertoire.Lecture.Tout
    • Connecter les applications
    • Mettre à jour les applications connectées
    • Lecteur global
    • Lecteur de rapports
    • Sécurité
    • Administrateur
    • Opérateur de sécurité
    • Lecteur de sécurité
    • Développeur d'application
    • Journal d’audit.Lecture.Tout
    • Répertoire.Lecture.Tout

    Créer une Azure application AD

    Créez une application dans le Microsoft Azure portail à intégrer au Now Platform.

    Avant de commencer

    Azure Rôle AD requis : reportez-vous à la table Autorisation minimale des utilisateurs .

    Procédure

    1. À partir du Azure portail, accédez à Azure Active Directory.
    2. Créez une Azure application AD.
      Consultez Créer une application Azure Active Directory pour obtenir des instructions détaillées sur l’inscription et la configuration d’une application.
      1. Dans le champ URI de redirection , saisissez https://<nom-instance>.service-now.com/oauth_redirect.do, où <nom-instance> est le nom de votre ServiceNow instance.
      2. Enregistrez l’ID (client) de l’application et l’ID (locataire) du répertoire pour enregistrer l’application en tant que fournisseur OAuth tiers sur votre ServiceNow instance.
      3. Créez un secret client et enregistrez la valeur pour enregistrer l’application en tant que fournisseur OAuth tiers sur votre ServiceNow instance.
      4. Ajoutez des autorisations pour accéder à l’API Microsoft Graph .
        Autorisation Type
        Journal d’audit.Lecture.Tout Délégué
        Répertoire.AccèsCommeUtilisateur.Tout Délégué
        Répertoire.Lecture.Tout Délégué
        Utilisateur.Lecture Délégué
        Pour plus d’informations, consultez Ajouter des autorisations pour accéder aux API Web .
      5. Accorder le consentement de l’administrateur à votre application.
        Pour plus d’informations, consultez Présentation des autorisations d’API et de l’interface utilisateur du consentement de l’administrateur .

    Créer un profil d’intégration Azure AD

    Créez un profil d’intégration Azure AD dans votre ServiceNow instance.

    Avant de commencer

    Pour créer un profil d’intégration Azure AD, demandez le module d’extension Gestion des actifs logiciels - Gestion des licences SaaS (com.sn_sam_saas_int) auprès du ServiceNow Store.

    ServiceNow Rôle requis : sam_integrator ou admin

    Pourquoi et quand exécuter cette tâche

    Remarque :
    À partir de la version 7.0.0 de - Gestion des licences SaaS et de Gestion des actifs logiciels la Microsoft Azure AD version 3.1.0 du spoke, votre ServiceNow instance crée une connexion AD distincte Azure pour chaque Azure profil d’intégration AD que vous créez. Chaque connexion s’exécute indépendamment l’une de l’autre, ce qui permet à votre instance de prendre en charge plusieurs profils d’intégration AD indépendants Azure .

    Si vous utilisez Software Asset Workspace, l’option permettant de créer le profil d’intégration Microsoft Azure AD dans Interface utilisateur principale est inactive.

    Procédure

    1. Accédez au profil d’intégration.
      InterfaceAction
      Interface utilisateur principale
      1. Accédez à la Tout > Actifs Logiciels > Licence SaaS > Profils d'intégration SSO.
      2. Sélectionnez Nouveau.
      3. Sélectionnez Profil d’intégration Microsoft Azure AD.
      Espace de travail des ressources logicielles
      1. Accédez à la Opérations de licence > Abonnements de l'utilisateur > Profils d'intégration SSO.
      2. Sélectionnez Nouveau.
      3. Sélectionnez Profil d’intégration Microsoft Azure AD dans la liste déroulante.
      4. Sélectionnez Continuer.
    2. Dans le champ Nom d’affichage , saisissez un nom pour le profil d’intégration.

      Les champs restants sont automatiquement renseignés lorsque vous envoyez le formulaire.

      Remarque :
      L’intégration SSO est créée à l’aide d’une intégration d’annuaire. L’intégration de répertoire extrait les applications SSO, les utilisateurs et les données de groupe associés à vos intégrations SSO. Pour plus d'informations, consultez Affichage des informations sur l’abonnement SSO.

      Si vous disposez déjà d’une Microsoft Azure AD intégration d’annuaire, l’intégration SSO utilise votre intégration d’annuaire existante. Sinon, une intégration d’annuaire Microsoft Azure AD est automatiquement créée.

    3. Sélectionnez Soumettre.
    4. Sélectionnez le lien connexe Créer une nouvelle connexion et de nouvelles informations d’identification .
      Remarque :
      Si vous avez installé Software Asset Workspace, ouvrez l’enregistrement de connexion et d’informations d’identification et sélectionnez le lien connexe Créer une nouvelle connexion et informations d’identification .
    5. Renseignez les champs du formulaire.
      Tableau 2. Formulaire Créer une connexion et des informations d'identification
      Champ Valeur
      URL d'authentification https://login.microsoftonline.com/directory-id>/oauth2/v2.0/authorize, où<directory-id> est l’ID (locataire) du Azure répertoire du portail.
      URL de jeton https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/token, où<directory-id> est l’ID (locataire) du Azure répertoire du portail.
      Révoquer l’URL du jeton https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/revoke, où<directory-id> est l’ID (locataire) du répertoire provenant du Azure portail.
      ID client OAuth ID de l’application (client) pour l’application que vous avez créée dans le Azure portail.
      Secret client OAuth Clé secrète du client pour l’application que vous avez créée dans le Azure portail.
      URL de redirection OAuth https://<instance-name>.service-now.com/oauth_redirect.do, où <instance-name> est le nom de votre ServiceNow instance. Cette valeur est automatiquement renseignée.
    6. Sélectionnez Créer et obtenir un jeton OAuth.
      Pour connaître le rôle requis pour effectuer cette étape, consultez la table Autorisations minimales des utilisateurs .
    7. Dans la fenêtre contextuelle, connectez-vous à votre compte à l’aide Azure des informations d’identification d’administrateur AD.
    8. Sélectionnez Publier.
      Les travaux planifiés et les travaux de répertoire téléchargent une liste de vos applications, utilisateurs et groupes. Pour plus d'informations, consultez Affichage des informations sur l’abonnement SSO. Affichez l’état de vos tâches dans les listes connexes Résultats des travaux planifiés et Résultats des tâches de répertoire du profil d’intégration. Les modèles logiciels sont automatiquement créés pour les applications avec un ID de catalogue externe qui correspond à un identificateur dans la table Définitions de produit d’abonnement [samp_sw_subscription_product_definition].

    Résultats

    Une fois que vous avez publié le profil d’intégration et connecté les applications au profil, vous pouvez afficher les événements effectués par des utilisateurs individuels jusqu’à 60 jours avant la date actuelle. Pour plus d'informations, consultez Réviser une règle de réclamation de logiciel.

    Connecter les applications SSO

    Connectez une application Single Sign-On (SSO) pour afficher tous les utilisateurs et groupes ayant accès à l’application. Suivez les données de connexion des utilisateurs et récupérez les licences inutilisées.

    Avant de commencer

    Rôle requis : sam_integrator ou admin

    Pourquoi et quand exécuter cette tâche

    Remarque :
    Pour Azure Active Directory (Azure AD), le bouton bascule Affectation requise de la page de configuration de l’application contrôle l’accès de l’application par les utilisateurs.
    • Si ce bouton bascule est défini sur Oui, vous devez affecter cette application aux utilisateurs AD et aux Azure applications et services associés. Une fois l’application affectée, Azure les utilisateurs AD, les applications associées et les services peuvent y accéder.
    • Si ce bouton bascule est défini sur Non, tous les utilisateurs peuvent se connecter à l’application. Les applications et services associés peuvent également obtenir un jeton d’accès à ce service.

    Gestion des licences SaaS offre des intégrations directes avec certaines applications. Les intégrations directes fournissent les données d’utilisation les plus robustes. Pour obtenir la liste des intégrations directes disponibles, reportez-vous à la section Intégration aux applications SaaS. Si vous disposez d’une intégration directe pour une application, la connexion de la même application dans une intégration SSO crée des enregistrements d’abonnement en double dans votre ServiceNow instance. Si vous connectez une application SSO et décidez ultérieurement de créer une intégration directe pour cette application, déconnectez l’application avant de créer une intégration directe.

    Procédure

    1. Accédez à la Tout > Licence SaaS > Applications SSO.
    2. Sélectionnez l’application que vous souhaitez connecter.
    3. Si le champ Modèle logiciel est vide, ajoutez un modèle logiciel pour l’application.
      Une application doit disposer d’un modèle logiciel avant de pouvoir la connecter. Les modèles logiciels sont automatiquement créés pour les applications avec un ID de catalogue externe qui correspond à un identificateur dans la table Définitions de produit d’abonnement [samp_sw_subscription_product_definition]. Pour toutes les autres applications, vous pouvez créer un modèle logiciel manuellement. Pour plus d'informations, consultez Créer des modèles logiciels au format Gestion des actifs logiciels classique.
    4. Sélectionnez une date pour le champ Analyser la dernière activité à partir de .

      Vous pouvez choisir de commencer à analyser les données de connexion pour des utilisateurs individuels et des applications à partir de la date actuelle ou jusqu’à 60 jours dans le passé. La valeur par défaut est de 30 jours. Le choix d’une date dans le passé vous permet de détecter les abonnements périmés sans attendre en temps réel, car vous pouvez voir les abonnements qui n’ont pas été utilisés récemment. Étant donné que le choix d’une date dans le passé augmente la quantité de données analysées, l’affichage des résultats peut prendre plus de temps.

      Une fois que vous avez soumis une valeur dans le champ Analyser la dernière activité à partir de , le champ passe en lecture seule.

    5. Sélectionnez Connexion.
      Conseil :
      Vous pouvez également connecter plusieurs applications simultanément à partir de la liste Applications SSO . Sélectionnez les applications à l’aide de la case à cocher située sur le côté gauche de la liste. En bas de la liste, sélectionnez le menu déroulant Actions sur les lignes sélectionnées , puis sélectionnez Se connecter. Si certaines applications n’ont pas de modèle logiciel, l’action Connexion indique que toutes les applications ne sont pas connectées. Par exemple, Connect (1 sur 4) indique qu’une seule des quatre applications que vous avez sélectionnées est connectée. Ajoutez des modèles logiciels pour connecter les applications restantes.

    Résultats

    Une fois l’application SSO connectée, votre ServiceNow instance crée automatiquement des utilisateurs, des groupes, des abonnements et des règles de réclamation qui sont actualisés quotidiennement.
    • Si le bouton bascule Affectation requise est défini sur Oui, l’abonnement est créé uniquement pour les utilisateurs AD associés Azure .
    • Si le bouton bascule Affectation requise est défini sur Non, l’abonnement est créé pour tous les Azure utilisateurs AD.

    Que faire ensuite

    Passez en revue toutes les règles de réclamation générées automatiquement pour répondre à vos spécifications de récupération des abonnements utilisateur. Pour plus d'informations, consultez Réviser une règle de réclamation de logiciel.

    Créez des autorisations logicielles pour les modèles logiciels générés automatiquement afin de suivre les logiciels utilisés par rapport aux logiciels possédés. Pour plus d’informations sur la création d’autorisations d’utilisation du logiciel dans l’application classique, reportez-vous à la Gestion des actifs logiciels section Créer des autorisations dans Gestion des actifs logiciels classique. Pour plus d’informations sur la création d’autorisations d’utilisation du logiciel dans Software Asset Workspace, reportez-vous à la section Créer des autorisations dans l’espace de travail. Pour plus d’informations sur la création d’autorisations d’utilisation du logiciel à l’aide du Gestion des actifs logiciels Playbook, reportez-vous à la section Créer des autorisations à l’aide de la procédure guidée.

    Le rapprochement s’exécute également sur vos abonnements en tant que tâche planifiée ou à la demande. Vous pouvez afficher les résultats de votre rapprochement dans la console de licence (Gestion des actifs logiciels application classique) ou dans la vue Utilisation de la licence (Software Asset Workspace). Utilisez ces résultats pour déterminer votre position de conformité de licence et pour remédier à toute non-conformité. Pour plus d’informations sur l’exécution du rapprochement dans l’application classique, reportez-vous à la Gestion des actifs logiciels section Exécuter le rapprochement de logiciel. Pour plus d’informations sur l’exécution du rapprochement dans Software Asset Workspace, reportez-vous à la section Exécuter le rapprochement de logiciel dans l’espace de travail.