Okta との統合

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:14分

    • ServiceNow インスタンスを Okta と統合して、接続されているすべての SSO アプリケーションのソフトウェア使用状況を表示できます。

    重要:
    必要なユーザーまたは API 権限のみにアクセス権を付与することで、セキュリティリスクを最小限に抑え、情報を保護します。
    表 : 1. 最小限のユーザー権限
    プロセス Okta アプリケーションで必要なユーザーロール 認証スコープ
    ユーザーをダウンロード 読み取り専用アドミニストレーター okta.users.read
    • ダウンロードグループ
    • グループメンバーシップをダウンロード
    		 読み取り専用アドミニストレーター okta.groups.read
    アプリケーションのダウンロード 読み取り専用アドミニストレーター
    • okta.apps.read
    • okta.logs.read
    コネクトアプリケーション 読み取り専用アドミニストレーター okta.logs.read
    接続されているアプリケーションの更新 読み取り専用アドミニストレーター
    • okta.apps.read
    • okta.logs.read
    サブスクリプションの再利用 アプリケーションアドミニストレーター okta.apps.manage

    Okta アプリケーションの作成

    Now Platform と統合できる Okta アプリケーションを作成します。

    始める前に

    Okta 必要なロール: 「最小ユーザー権限 」の表を参照してください。

    Okta admin ロールの詳細については「アドミニストレーターロールと権限」を、Okta OAuth スコープの詳細については「スコープとサポートされているエンドポイント」を参照してください。

    手順

    1. Webブラウザーから、 Okta管理コンソールにログインします。
    2. OAuth 2.0 機能を備えた Okta アプリケーションを作成します。

      詳細な手順については、「 Okta用のOAuth 2.0アプリを作成する 」を参照してください。

      Oktaアプリケーションを作成するときは、次の点に注意してください。
      • [ログインリダイレクト URI] フィールドと [ログアウトリダイレクト URI] フィールドに「https://<instance-name>.service-now.com/oauth_redirect.do」と入力します。ここで、<instance-name> は<c4/>インスタンスの名前です。ServiceNow
      • [ クライアント ID ] フィールドと [クライアントシークレット ] フィールドの値をコピーします。後で使用できるように安全な場所に保存してください。
      • Okta OAuth 2.0 アプリケーションに次のスコープを付与します。
        • okta.groups.read
        • okta.groups.manage
        • okta.apps.read
        • okta.users.manage
        • okta.users.read
        • okta.logs.read
        • okta.apps.manage
      • Oktaポータルの権限許可タイプで、[Client acting on behalf of a user(ユーザーの代理で動作するクライアント)]権限許可タイプの下にある[Refresh Token(トークンのリフレッシュ)]チェックボックスをオンにします。

    Okta統合プロファイルの作成

    ServiceNow インスタンスに Okta 統合プロファイルを作成します。

    始める前に

    Okta統合プロファイルを作成するには、ServiceNow Store から ソフトウェア資産管理SaaS ライセンス管理 プラグイン (com.sn_sam_saas_int) を要求します。

    ServiceNow 必要なロール:sam_integrator または admin

    このタスクについて

    注:
    ソフトウェア資産管理 - SaaS ライセンス管理 バージョン 7.0.0 および Okta スポークバージョン 4.1.2 以降、ServiceNow インスタンスは、作成する Okta 統合プロファイルごとに個別の Okta 接続を作成します。各接続は互いに独立して実行されるため、インスタンスは複数の独立した Okta 統合プロファイルをサポートできます。

    ソフトウェア資産ワークスペースを使用している場合、コア UIOkta統合プロファイルを作成するオプションは無効です。

    手順

    1. 統合プロファイルに移動します。
      インターフェイスアクション
      コア UI
      1. 移動先 すべて > ソフトウェア資産 > SaaS ライセンス > SSO 統合プロファイル.
      2. [新規] を選択します。
      3. [Okta Integration Profile (Okta 統合プロファイル)] を選択します。
      Software Asset Workspace
      1. 移動先 ライセンス操作 > ユーザー登録 > SSO データ連携プロファイル.
      2. [新規] を選択します。
      3. ドロップダウンリストから [Okta ] を選択します。
      4. [続行] を選択します。
    2. フォームのフィールドに入力します。
      表 : 2. SSO 統合プロファイルフォーム
      フィールド 説明
      表示名 データ連携プロファイルの名前例: Okta 統合
      ステータス 統合プロファイルのステータス。
      • 統合プロファイルを公開していない場合、このフィールドは自動的に [ドラフト] に設定されます。
      • 統合プロファイルを既に公開している場合、このフィールドは自動的に [公開済み] に設定されます。
      ディレクトリデータ統合 組織の Active Directory ユーザー、グループ、およびグループメンバーシップをプルするために使用されるディレクトリ統合プロファイルへの参照。
      • Oktaのディレクトリ統合レコードが存在する場合は、既存のレコードを選択できます。
      • Oktaのディレクトリ統合レコードが存在しない場合は、このフォームを保存または送信すると新しいレコードが作成されます。
      プロファイルタイプ 統合プロファイルのタイプ。

      このフィールドは自動的に Okta に設定されます。
      接続と認証情報

      ディレクトリーと SSO の統合で使用される接続および資格情報エイリアスへの参照。

      • ディレクトリ統合レコードが存在し、[ディレクトリ統合] フィールドでそれを選択すると、このフィールドはディレクトリ統合レコードの接続および資格情報エイリアスに自動的に設定されます。
      • ディレクトリ統合値が存在しない場合、このフィールドは自動的に入力されます。
      Okta サブスクリプションを作成 直接統合プロファイルを作成して、この統合プロファイルが公開された後に Okta サブスクリプションを表示するためのオプション。

      デフォルト値:False
    3. [Submit (送信)] を選択します。
    4. [接続と資格情報を作成] ダイアログボックスを開きます。
      インターフェイスアクション
      コア UI SSO 統合プロファイルフォームで [ 新しい接続および資格情報の作成 ] 関連リンクを選択します。
      Software Asset Workspace
      1. [接続と資格情報] フィールドの横にあるプレビューアイコン (プレビューアイコン)を選択
      2. レコードプレビューで [ レコードを開く ] を選択します。
      3. [接続および資格情報エイリアス] フォームで、[ 新しい接続および資格情報の作成 ] 関連リンクを選択します。
    5. ダイアログボックスで、フィールドに入力します。
      表 : 3. [接続と資格情報を作成] ダイアログボックス
      フィールド 説明
      名前 接続の名前。例: Okta 接続
      接続 URL 接続の URL。https://<yourOktaDomain>.comと入力します。ここで<yourOktaDomain>は組織のドメインです。
      認証 URL OAuth 認証エンドポイントの URL。https://<yourOktaDomain>.com/oauth2/v1/authorize」と入力します。ここで<yourOktaDomain>は組織のドメインです。
      トークン URL アクセストークンを取得および更新する OAuth エンドポイントの URL。「https://<yourOktaDomain>.com/oauth2/v1/token」と入力します。ここで<yourOktaDomain>は組織のドメインです。
      トークン失効 URL アクセストークンを取り消す OAuth エンドポイントの URL。「https://<yourOktaDomain>.com/oauth2/v1/revoke」と入力します。ここで<yourOktaDomain>は組織のドメインです。
      OAuth クライアント ID Oktaアプリケーションに割り当てられているクライアント ID
      OAuth クライアントシークレット Oktaアプリケーションに割り当てられているクライアントシークレット
      OAuth リダイレクト URL 認証後にユーザーがリダイレクトされる OAuth プロバイダーの URL。このフィールドは自動的に https://<instance-name>.service-now.com/oauth_redirect.do に設定されます。ここで <instance-name> は<c2/>インスタンスの名前です。ServiceNow
    6. [OAuth トークンを作成して取得] を選択します。
      [ Okta ポータルログイン] ダイアログボックスが開きます。
    7. ダイアログボックスで、 Okta 認証情報を入力し、[ サインイン] を選択します。
      注:
      スーパーアドミン、アプリケーションアドミニストレーター、または API アクセス管理アドミニストレーターロールと同じ認証情報を使用してサインインする必要があります。
      ダイアログボックスが閉じ、自動的に [SSO 統合プロファイル] フォームに戻ります。
    8. [Publish (公開)] を選択します。

    タスクの結果

    スケジュール済みジョブとディレクトリージョブはどちらも、 Okta アプリケーションに関連付けられているすべてのアプリケーション、ユーザー、グループ、およびソフトウェアサブスクリプションのリストをダウンロードします。統合プロファイルの [スケジュール済みジョブの結果 ] タブと [ディレクトリジョブの結果 ] タブで、ジョブのステータスを確認します。 ソフトウェア資産管理 は、サブスクリプション製品定義 [samp_sw_subscription_product定義] テーブルの 識別子 と一致する外部カタログ ID を持つアプリケーションのソフトウェアモデルを自動的に作成します。

    次のタスク

    [ Okta サブスクリプションを作成 (Create Okta subscriptions)] チェックボックスをオンにし、この統合プロファイルが公開されている場合、 Okta の直接統合プロファイルが作成されます。情報メッセージ内の [直接統合プロファイル ] リンクを選択すると、直接統合プロファイルに移動できます。

    直接統合プロファイルに移動した後、 [ソフトウェアサブスクリプション] タブを選択してOktaサブスクリプションを表示できます。詳細については、「Okta SSO 直接統合プロファイル」を参照してください。

    警告:

    OAuth トークンの有効期限が切れると、 Okta 統合プロファイルに、新しい OAuth トークンを取得する必要があることを示すエラーメッセージが表示されます。エラーメッセージ内のリンクを選択して、新しい OAuth トークンを取得します。

    Okta 統合プロファイルの接続レコードに関連付けられている OAuth 2.0 認証情報レコードは削除しないでください。OAuth 2.0 認証情報レコードを削除すると、現在の OAuth トークンの有効期限が切れた後は、新しい OAuth トークンを取得できなくなります。

    統合プロファイルを公開し、アプリケーションをプロファイルに接続すると、現在の日付の 60 日前まで個々のユーザーが実行したイベントを表示できます。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    Okta SSO 直接統合プロファイル

    OktaSSO 直接統合プロファイルは、Okta SSO 統合を設定するときにOktaユーザーのサブスクリプションを作成することで、Oktaユーザーライセンスを管理するのに役立ちます。

    表 : 4. OKTA SSO 直接統合プロファイル
    Field (フィールド) 説明
    表示名 データ連携プロファイルの名前
    ステータス 統合プロファイルのステータス。

    このフィールドは自動的に [公開済み] に設定されます。
    プロファイルタイプ 統合プロファイルのタイプ。

    このフィールドは自動的に [Okta サブスクリプション] に設定されます。
    サブスクリプションサブフローをダウンロード
    サブフロー このフィールドは自動的に [Okta Download Subscriptions] に設定されます

    SSO アプリケーションの接続

    SSO アプリケーションを接続して、そのアプリケーションにアクセスできるすべてのユーザーとグループを監視します。また、ユーザーのログインデータを追跡し、未使用のライセンスを再利用することもできます。

    始める前に

    ServiceNow 必要なロール:sam_integrator または admin

    このタスクについて

    ServiceNow® SaaS ライセンス管理 は、一部のアプリケーションとの直接統合を提供します。直接統合は、最も包括的な使用状況データを提供します。利用可能な直接統合のリストについては、「 SaaS アプリケーションとの統合」を参照してください。

    アプリケーションの直接統合をすでに作成している場合、SSO 統合で同じアプリケーションを接続すると、 ServiceNow インスタンスに重複するサブスクリプションレコードが作成されます。直接統合のみを使用してください。SSO 統合でアプリケーションを接続した後でそのアプリケーションの直接統合を作成する場合は、直接統合を作成する前にアプリケーションを切断します。

    手順

    1. 移動先 すべて > SaaS ライセンス > SSO アプリケーション.
    2. 接続するアプリケーションを選択します。
    3. [ソフトウェアモデル] フィールドが空の場合は、アプリケーションのソフトウェアモデルを追加します。
      アプリケーションを接続する前に、ソフトウェアモデルに関連付ける必要があります。 ServiceNow® ソフトウェア資産管理 は、サブスクリプション製品定義 [samp_sw_subscription_product_definition] テーブルの 識別子 と一致する外部カタログ ID を持つアプリケーションのソフトウェアモデルを自動的に作成します。その他のすべてのアプリケーションについては、ソフトウェアモデルを手動で作成できます。詳細な手順については、「ソフトウェア資産管理クラシック版でのソフトウェアモデルの作成」を参照してください。
    4. [ 前回のアクティビティの分析元 (Analyze last activity from)] フィールドで、最後のアクティビティを分析する日付を選択します。

      個々のユーザーとアプリケーションのログインデータの分析は、現在の日付から、または最大 60 日前から開始できます。デフォルト値は 30 日です。現在の日付より前の日付を選択すると、分析するデータの量によって、結果が表示されるまでに時間がかかる場合があります。

      [ 前回のアクティビティの分析元 ] フィールドに値を送信すると、このフィールドは読み取り専用になります。

    5. [接続] を選択します。
      ヒント:
      複数のアプリケーションを同時に接続するには、[SSO アプリケーション] リストで接続する各アプリケーションのチェックボックスをオンにします。選択した行の [アクション] メニューを選択し、 [ 接続] を選択します。ソフトウェアモデルに関連付けられていないアプリケーションがある場合、[ コネクト ] メニュー項目の名前が更新され、一部のアプリケーションのみが接続されることを示します。たとえば、[ 接続 (1/4)] メニュー項目は、選択した 4 つのアプリのうち 1 つだけが接続されることを示します。残りのアプリケーションにソフトウェアモデルを追加して、接続を続行します。

    次のタスク

    SSO アプリケーションが接続されると、 ServiceNow インスタンスによって、毎日更新されるユーザー、グループ、サブスクリプション、および再利用ルールが自動的に作成されます。Okta 開発者コンソールからユーザー、アプリケーション、グループ、またはグループメンバーシップを削除すると、その変更は ServiceNow インスタンスに反映されます。

    自動的に生成されたすべての再利用ルールをレビューし、ユーザーサブスクリプションを再利用するための仕様を満たしていることを確認します。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    自動的に生成されたソフトウェアモデルのソフトウェアエンタイトルメントを作成して、所有ソフトウェアに対して使用されたソフトウェアを追跡します。ソフトウェア資産管理クラシックアプリケーションでのソフトウェアエンタイトルメントの作成の詳細については、「ソフトウェア資産管理クラシックでのエンタイトルメントの作成」を参照してください。ソフトウェア資産ワークスペースでのソフトウェアエンタイトルメントの作成の詳細については、「 ワークスペースでエンタイトルメントを作成する」を参照してください。ソフトウェア資産管理 プレイブックを使用したソフトウェアエンタイトルメントの作成の詳細については、「ガイド付きウォークスルーを使用してエンタイトルメントを作成する」を参照してください。

    調整は、スケジュール済みジョブとして、またはオンデマンドでサブスクリプションに対して実行することもできます。調整結果は、ライセンスワークベンチ (クラシックアプリケーション) またはライセンス使用状況ビュー (ソフトウェア資産ワークスペース) ソフトウェア資産管理表示できます。これらの結果を使用して、ライセンスのコンプライアンス状況を判断し、コンプライアンス違反を修正します。ソフトウェア資産管理クラシックアプリケーションでの調整の実行の詳細については、「ソフトウェア調整の実行」を参照してください。ソフトウェア資産ワークスペースでの調整の実行の詳細については、「 ワークスペースでソフトウェア調整を実行」を参照してください。