Okta との統合

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:18分

    • ServiceNow インスタンスを Okta と統合して、接続されているすべての SSO アプリケーションのソフトウェア使用状況を表示できます。

    重要:
    必要なユーザーまたは API 権限のみにアクセス権を付与することで、セキュリティリスクを最小限に抑え、情報を保護します。
    表 : 1. 最小限のユーザー権限
    プロセス Okta アプリケーションで必要なユーザーロール 認証スコープ
    ダウンロードユーザー 読み取り専用アドミニストレーター okta.users.read
    • ダウンロードグループ
    • グループメンバーシップをダウンロード
    		 読み取り専用アドミニストレーター okta.groups.read
    アプリケーションのダウンロード 読み取り専用アドミニストレーター
    • okta.apps.read
    • okta.logs.read
    コネクトアプリケーション 読み取り専用アドミニストレーター okta.logs.read
    接続されたアプリケーションの更新 読み取り専用アドミニストレーター
    • okta.apps.read
    • okta.logs.read
    サブスクリプションを再利用 アプリケーションアドミニストレーター okta.apps.manage

    Oktaアプリケーションの作成

    ServiceNow AI Platformと統合できるOktaアプリケーションを作成します。

    始める前に

    Okta 必要なロール: 最小限のユーザー権限 テーブルを参照してください。

    Oktaアドミンロールの詳細については、「アドミンロールと権限」を、Okta OAuth スコープの詳細については、「スコープとサポートされているエンドポイント」を参照してください。

    手順

    1. Web ブラウザーから、 Okta アドミニストレーターコンソールにログインします。
    2. OAuth 2.0 機能を備えた Okta アプリケーションを作成します。

      詳細な手順については、「 Okta 用の OAuth 2.0 アプリを作成する 」を参照してください。

      Oktaアプリケーションを作成するときは、次の点に注意してください。
      • [ ログインリダイレクト URI ] フィールドと [ ログアウトリダイレクト URI ] フィールドに、「 https://<instance-name>.service-now.com/oauth_redirect.do を入力します。ここで、<instance-name> は ServiceNow インスタンスの名前です。
      • [ クライアント ID ] フィールドと [クライアントシークレット ] フィールドの値をコピーします。後で使用できるように安全な場所に保存してください。
      • Okta OAuth 2.0 アプリケーションに次のスコープを付与します。
        • okta.groups.read
        • okta.apps.read
        • okta.users.read
        • okta.logs.read
        • okta.apps.manage
      • Okta ポータルの [ユーザーの代理として動作するクライアント (Client acting on a user)] 権限許可タイプの下にある [トークンのリフレッシュ] チェックボックスをオンにします。

    Okta統合プロファイルの作成

    ServiceNowインスタンスにOkta統合プロファイルを作成します。

    始める前に

    Okta統合プロファイルを作成するには、ServiceNow Store から ソフトウェア資産管理 - SaaS ライセンス管理 プラグイン (sn_sam_saas_int) を要求します。

    ServiceNow 必要なロール:sam_integrator

    重要:
    [Application Manager] ページでオプションの機能をインストールする場合は、この統合の [Okta スポーク] チェックボックスをオンにする必要があります。必要な SaaS アプリケーションの選択の詳細については、「 SaaS ライセンス管理の要求」を参照してください。

    このタスクについて

    注:
    ソフトウェア資産管理 - SaaS ライセンス管理 のバージョン 7.0.0 および Okta スポークのバージョン 4.1.2 以降、ServiceNowインスタンスは、作成したOkta統合プロファイルごとに個別のOkta接続を作成します。各接続は互いに独立して実行されるため、インスタンスで複数の独立した Okta 統合プロファイルをサポートできます。

    ソフトウェア資産ワークスペース を使用している場合、コア UIOkta 統合プロファイルを作成するオプションは無効です。

    手順

    1. 統合プロファイルに移動します。
      インターフェイスアクション
      コア UI
      1. 移動先 すべて > ソフトウェア資産 > SaaS ライセンス > SSO データ連携プロファイル.
      2. [新規] を選択します。
      3. [ Okta 統合プロファイル] を選択します。
      ソフトウェア資産ワークスペース
      1. 移動先 ライセンス操作 > ユーザーサブスクリプション > SSO データ連携プロファイル.
      2. [新規] を選択します。
      3. ドロップダウンリストから [Okta ] を選択します。
      4. [Continue (続行)] を選択します。
    2. フォームで、フィールドに入力します。
      表 : 2. SSO データ連携プロファイルフォーム
      フィールド 説明
      表示名 データ連携プロファイルの名前例: Okta 統合
      ステータス 統合プロファイルのステータス。
      • 統合プロファイルを公開していない場合、このフィールドは自動的に [ドラフト] に設定されます。
      • 統合プロファイルを既に公開している場合、このフィールドは自動的に [公開済み] に設定されます。
      ディレクトリデータ統合 組織の Active Directory ユーザー、グループ、およびグループメンバーシップをプルするために使用されるディレクトリ統合プロファイルへの参照。
      • Oktaのディレクトリ統合レコードが存在する場合は、既存のレコードを選択できます。
      • Oktaのディレクトリ統合レコードが存在しない場合は、このフォームを保存または送信するときに新しいレコードが作成されます。
      プロファイルタイプ 統合プロファイルのタイプ。

      このフィールドは自動的に [Okta] に設定されます。
      接続と認証情報

      ディレクトリと SSO の統合で使用される接続および資格情報エイリアスへの参照。

      • ディレクトリ統合レコードが存在し、[ディレクトリ統合] フィールドでそれを選択すると、このフィールドは自動的にディレクトリ統合レコードの接続および資格情報エイリアスに設定されます。
      • ディレクトリ統合値が存在しない場合、このフィールドは自動的に入力されます。
      Okta のサブスクリプションを作成 この統合プロファイルが公開された後に、 Okta サブスクリプションを表示する直接統合プロファイルを作成するためのオプション。

      デフォルト値:False
    3. [プロセスの構成] セクションで、セキュリティリスクを最小限に抑え、 SaaS ライセンスを最適化するために必要なユーザーロールまたは API 権限を表示します。
      注:
      必要なロールとスコープの詳細については、「 最小限のユーザー権限 」の表を参照してください。

      • [ アプリケーション、ユーザー、およびグループをダウンロードする ] チェックボックスはデフォルトでオンになっており、オフにすることはできません。

      • [ ダウンロードアクティビティ ] チェックボックスはデフォルトでオンになっています。これをクリアすると、接続されているアプリケーションの最後のアクティビティはプルされません。

      • [ サブスクリプションを再利用] チェックボックスはデフォルトでオンになっています。サブスクリプションを再利用しない場合は、このチェックボックスをオフにします。これをクリアすると、削除候補は作成されますが、再利用サブスクリプションサブフローはトリガーされないか、再利用プロセスは開始されません。

    4. [送信] を選択します。
      [ 接続および資格情報] フィールドは自動的に sn_okta_spoke.<okta_profile_name>_apps_users_groups_activity_and_reclaim に設定されます。
      注:
      [接続と資格情報] フィールドに自動的に入力された値は、[アクティビティのダウンロード] チェック ボックスと [サブスクリプションの再利用] チェック ボックスでの選択に基づいて変更されます。
      表 : 3. 選択に基づいて自動的に入力される接続および認証情報の値
      選択 接続と認証情報の値
      [ダウンロードアクティビティ][サブスクリプションを再利用] の両方が選択されています。 sn_okta_spoke.<okta_profile_name>_apps_users_groups_activity_and_reclaim
      ダウンロードアクティビティのみが選択されています。 sn_okta_spoke.<okta_profile_name>_apps_users_groups_activity
      [サブスクリプションを再利用] のみが選択されています。 sn_okta_spoke.<okta_profile_name>_apps_users_groups_activity_and_reclaim
      [ダウンロードアクティビティ] と [サブスクリプションを再利用] の両方が選択されていません。 sn_okta_spoke.<okta_profile_name>_apps_users_groups_activity
    5. [接続と資格情報を作成] ダイアログボックスを開きます。
      インターフェイスアクション
      コア UI SSO データ連携プロファイルフォームで [新しい接続および資格情報を作成 ] 関連リンクを選択します。
      ソフトウェア資産ワークスペース
      1. [接続 & 資格情報] フィールドの横にあるプレビューアイコン選択
      2. レコードプレビューで [レコードを開く ] を選択します。
      3. [接続および資格情報エイリアス] フォームで、[ 新しい接続および資格情報の作成 ] 関連リンクを選択します。
    6. ダイアログボックスで、フィールドに入力します。
      表 : 4. [接続と資格情報を作成] ダイアログボックス
      フィールド 説明
      名前 接続の名前。例: Okta 接続
      接続 URL 接続の URL。https://<yourOktaDomain>.com を入力します。ここで、<yourOktaDomain> は組織のドメインです。
      認証 URL OAuth 認証エンドポイントの URL。「https://<yourOktaDomain>.com/oauth2/v1/authorize」と入力します。ここで、<yourOktaDomain> は組織ドメインです。
      トークン URL アクセストークンを取得して更新する OAuth エンドポイントの URL。「https://<yourOktaDomain>.com/oauth2/v1/token」と入力します。ここで、<yourOktaDomain>は組織ドメインです。
      トークン失効 URL アクセストークンを取り消す OAuth エンドポイントの URL。https://<yourOktaDomain>.com/oauth2/v1/revoke と入力します。ここで、<yourOktaDomain> は組織ドメインです。
      OAuth クライアント ID Oktaアプリケーションに割り当てられているクライアント ID
      OAuth クライアントシークレット Oktaアプリケーションに割り当てられているクライアントシークレット
      OAuth リダイレクト URL 認証後にユーザーがリダイレクトされる OAuth プロバイダーの URL。このフィールドは自動的に https://<instance-name>.service-now.com/oauth_redirect.do に設定されます。ここで、<instance-name> は ServiceNow インスタンスの名前です。
    7. [OAuth トークンを作成して取得] を選択します。
      注:
      必要なロールを持つユーザーと同じ認証情報を使用してサインインする必要があります。この手順を実行するために必要なロールについては、「 最小限のユーザー権限 」表を参照してください。
    8. 統合プロファイルフォームで、[ 接続を検証 ] を選択して、この統合の接続と資格情報の詳細を確認します。
    9. 接続が確認されたら、[ 公開] を選択します。
    10. 公開の確認 ダイアログ ボックスで、 OK を選択します。
      統合プロファイルの公開後に [ダウンロードアクティビティ] チェックボックスをオフにした場合は、次のイベントが発生するため、接続を再検証する必要があります。
      • [ 接続を検証 ] ボタンがフォームに表示されます。
      • 接続されたアプリケーションのユーザーの最後のアクティビティはプルされなくなります。

    タスクの結果

    スケジュール済みジョブとディレクトリジョブの両方で、 Okta アプリケーションに関連付けられているすべてのアプリケーション、ユーザー、グループ、およびソフトウェアサブスクリプションのリストがダウンロードされます。統合プロファイルの [スケジュール済みジョブの結果 ] タブと [ディレクトリジョブの結果 ] タブで、ジョブのステータスを表示します。 ソフトウェア資産管理 は、サブスクリプション製品定義 [samp_sw_subscription_product-definition] テーブルの 識別子 と一致する外部カタログ ID を持つアプリケーションのソフトウェアモデルを自動的に作成します。

    次のタスク

    [ Okta サブスクリプションを作成] チェックボックスをオンにしていて、この統合プロファイルが公開されている場合、 Okta の直接統合プロファイルが作成されます。情報メッセージの [ 直接統合プロファイル ] リンクを選択すると、直接統合プロファイルに移動できます。

    直接統合プロファイルに移動したら、[ソフトウェアサブスクリプション] タブを選択してOktaサブスクリプションを表示できます。詳細については、「Okta SSO 直接統合プロファイル」を参照してください。

    警告:

    OAuth トークンの有効期限が切れると、新しい OAuth トークンを取得する必要があることを示すエラーメッセージが Okta 統合プロファイルに表示されます。エラーメッセージ内のリンクを選択して、新しい OAuth トークンを取得します。

    Okta 統合プロファイルの接続レコードに関連付けられている OAuth 2.0 認証情報レコードは削除しないでください。OAuth 2.0 認証情報レコードを削除すると、現在の OAuth トークンの有効期限が切れた後は、新しい OAuth トークンを取得できなくなります。

    統合プロファイルを公開し、アプリケーションをプロファイルに接続すると、現在の日付の最大 60 日前までに個々のユーザーが実行したイベントを表示できます。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    Okta SSO 直接統合プロファイル

    OktaSSO 直接統合プロファイルは、Okta SSO 統合の設定中にOktaユーザーのサブスクリプションを作成することで、Okta ユーザーライセンスを管理するのに役立ちます。

    表 : 5. OKTA SSO 直接統合プロファイル
    フィールド 説明
    表示名 データ連携プロファイルの名前
    ステータス 統合プロファイルのステータス。

    このフィールドは自動的に [公開済み] に設定されます
    プロファイルタイプ 統合プロファイルのタイプ。

    このフィールドは自動的に [ Okta サブスクリプション] に設定されます。
    サブスクリプションサブフローをダウンロード
    サブフロー このフィールドは自動的に [ Okta サブスクリプションをダウンロード] に設定されます

    SSO アプリケーションの接続

    SSO アプリケーションを接続して、そのアプリケーションにアクセスできるすべてのユーザーとグループを監視します。SSO 統合はアプリケーションの使用状況とアクティビティのサマリーを提供しますが、直接統合はこれらのメトリクスに関する詳細なインサイトを提供します。

    始める前に

    ServiceNow 必要なロール:sam_integrator

    このタスクについて

    ServiceNow® SaaS ライセンス管理 は、一部のアプリケーションとの直接統合を提供します。直接統合では、最も包括的な使用状況データが提供されます。利用可能な直接統合のリストについては、「 SaaS アプリケーションとの統合」を参照してください。

    アプリケーションの直接統合を既に作成している場合、SSO 統合で同じアプリケーションを接続すると、 ServiceNow インスタンスに重複するサブスクリプションレコードが作成されます。直接統合のみを使用してください。SSO 統合でアプリケーションを接続し、後でそのアプリケーションの直接統合を作成する場合は、直接統合を作成する前にアプリケーションを切断します。

    手順

    1. 移動先 すべて > SaaS ライセンス > SSO アプリケーション.
    2. 接続するアプリケーションを選択します。
    3. [ ソフトウェアモデル ] フィールドが空の場合は、アプリケーションのソフトウェアモデルを追加します。
      アプリケーションを接続するには、そのアプリケーションをソフトウェアモデルに関連付ける必要があります。 ServiceNow® ソフトウェア資産管理 は、サブスクリプション製品定義 [samp_sw_subscription_product_definition] テーブルの 識別子 と一致する外部カタログ ID を持つアプリケーションのソフトウェアモデルを自動的に作成します。他のすべてのアプリケーションでは、ソフトウェアモデルを手動で作成できます。詳細な手順については、「ソフトウェア資産管理クラシック版でのソフトウェアモデルの作成」を参照してください。
    4. オプション: SSO グループをアプリケーションの特定のソフトウェアモデルにマッピングするには、[ グループベースのソフトウェアモデルを有効にする ] チェックボックスをオンにします。

      たとえば、アプリケーションに特定のグループにリンクされている複数のライセンスモデルがある場合、グループをソフトウェアモデルにマッピングしてライセンス使用を最適化できます。

      重要:
      このオプションを選択する場合は、アプリケーションを接続する前に SSO グループのマッピングを作成する必要があります。マッピングが完了すると、マッピングされたソフトウェアモデルに従って SSO サブスクリプションが自動的に作成または更新されます。詳細については、「SSO グループのソフトウェアモデルマッピングの作成」を参照してください。
    5. [ 最後のアクティビティを分析] フィールドで、最後のアクティビティを分析する日付を選択します。

      個々のユーザーおよびアプリケーションのログインデータの分析は、現在の日付から、または最大 60 日前から開始できます。デフォルト値は 30 日です。現在の日付より前の日付を選択した場合、分析するデータの量が多いため、結果が表示されるまでに時間がかかる場合があります。

      [ 前回のアクティビティを分析] フィールドに値を送信すると、そのフィールドは読み取り専用になります。

    6. [Connect (接続)] を選択します。
      ヒント:
      複数のアプリケーションを同時に接続するには、[SSO アプリケーション] リストで接続する各アプリケーションのチェックボックスをオンにします。選択した行メニューで [アクション] を選択し、[ 接続] を選択します。ソフトウェアモデルに関連付けられていないアプリケーションがある場合は、[ 接続 ] メニューアイテムの名前が更新され、一部のアプリケーションのみが接続されていることが示されます。たとえば、[ 接続 (1/4)] メニュー項目は、選択した 4 つのアプリのうち 1 つだけが接続されていることを示します。残りのアプリケーションにソフトウェアモデルを追加して、接続を続行します。

    次のタスク

    SSO アプリケーションが接続されると、 ServiceNow インスタンスは、毎日更新されるユーザー、グループ、サブスクリプション、および再利用ルールを自動的に作成します。Okta 開発者コンソールからユーザー、アプリケーション、グループ、またはグループメンバーシップを削除すると、変更がServiceNowインスタンスに反映されます。

    自動的に生成されたすべての再利用ルールをレビューし、ユーザーサブスクリプションを再利用するための仕様を満たしていることを確認します。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    SSO アプリケーションを接続した後、 ソフトウェア資産ワークスペース に移動して SSO プロファイルに関する情報を表示します ライセンス操作 > ユーザーサブスクリプション > SSO データ連携プロファイル. 統合プロファイルを選択すると、次の関連リストを表示できます。
    • SSO アプリケーション
    • ディレクトリユーザー
    • スケジュール済みジョブ
    • スケジュール済みジョブの結果
    • ディレクトのリジョブ
    • ディレクトのリジョブ結果
    • サブスクリプションユーザー除外ルール

    統合プロファイルを作成した後、サブスクリプション除外ルールを定義して、特定のサブスクリプションをライセンスコストの計算対象にしないようにすることができます。詳細については、「SaaS および SSO アプリケーションのサブスクリプション除外」を参照してください。

    自動生成されたソフトウェアモデルのソフトウェアエンタイトルメントを作成し、所有するソフトウェアに対して使用済みソフトウェアを追跡します。ソフトウェア資産管理 クラシックアプリケーションでのソフトウェアエンタイトルメントの作成の詳細については、「クラシック版でエンタイトルメントを作成するソフトウェア資産管理」を参照してください。ソフトウェア資産ワークスペースでのソフトウェアエンタイトルメントの作成の詳細については、「 ワークスペースでのエンタイトルメントの作成」を参照してください。ソフトウェア資産管理 プレイブックを使用したソフトウェアエンタイトルメントの作成の詳細については、「ガイド付きウォークスルーを使用したエンタイトルメントの作成」を参照してください。

    調整は、サブスクリプションでスケジュール済みジョブとして、またはオンデマンドで実行されます。調整結果は、 ライセンスワークベンチ (クラシックアプリケーションソフトウェア資産管理 ) または ライセンス使用状況ビュー (ソフトウェア資産ワークスペース) で表示できます。これらの結果を使用して、ライセンスコンプライアンスの状況を判断し、非準拠を修正します。ソフトウェア資産管理 クラシックアプリケーションでの調整の実行の詳細については、「クラシック版でソフトウェア調整を実行するソフトウェア資産管理」を参照してください。ソフトウェア資産ワークスペースでの調整の実行の詳細については、「 ワークスペースでのソフトウェア調整の実行」を参照してください。