Okta との統合

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む14読むのに数分

    • インスタンスOktaを統合しServiceNowて、接続されているすべての SSO アプリケーションのソフトウェア使用状況を表示できます。

    Okta アプリケーションの作成

    OktaNow Platform統合できるアプリケーションを作成します。

    始める前に

    Okta 必要なロール:スーパー管理者、アプリケーション管理者、または API アクセス管理管理者
    注:
    スーパー管理者、アプリケーション管理者、または API アクセス管理管理者ロールは、OAuth 2.0 アプリケーションを作成する Okta 場合にのみ必要です。OAuth アプリケーションとの間のOktaServiceNow接続は、すべてのアプリケーションにアクセスできる管理者が行う必要があります。Okta OAuth 2.0 アプリケーションが作成された後、統合が持つOktaアクセス権SaaS ライセンス管理 Oktaは、OAuth 2.0 アプリケーションに対してOkta有効になっているスコープによって決定されます。管理者ロールの詳細については「管理者の役割と権限Okta」を、OAuthスコープの詳細についてはOkta「スコープとサポートされているエンドポイント」を参照してください。

    手順

    1. WebブラウザーからOkta管理 コンソールにログインします。
    2. Okta OAuth 2.0 機能を備えたアプリケーションを作成します。

      詳細な手順については、「 Okta用のOAuth 2.0アプリを作成する 」を参照してください。

      アプリケーションを作成する Okta ときは、次の点に注意してください。
      • [ ログインリダイレクト URI ] フィールドと [ ログアウトリダイレクト URI ] フィールドに「 https://<instance-name>.service-now.com/oauth_redirect.do」と入力します (<instance-name> はインスタンスの名前 ServiceNow です。
      • [ クライアント ID ] フィールドと [クライアントシークレット ] フィールドの値をコピーします。後で使用できるように安全な場所に保存してください。
      • OAuth 2.0 アプリケーションに次のスコープを付与します Okta
        • okta.groups.read
        • okta.eventHooks.read
        • okta.groups.manage
        • okta.eventHooks.manage
        • okta.apps.read
        • okta.users.manage
        • okta.users.read
        • okta.logs.read
        • okta.apps.manage
      • Okta ポータルの [Client acting on behalf of a user (ユーザーに代わって機能するクライアント)] 権限許可タイプの下にある [Refresh Token (リフレッシュトークン)] チェックボックスをオンにします。

    Okta統合プロファイルの作成

    OktaインスタンスにServiceNow統合プロファイルを作成します。

    始める前に

    統合プロファイルを作成するにはOktaServiceNow Store からプラグイン SaaS ライセンス管理 (com.sn_sam_saas_int) を要求しソフトウェア資産管理ます。

    ServiceNow 必要なロール:sam_integrator または admin

    このタスクについて

    注:
    スポークのバージョン 7.0.0 ソフトウェア資産管理SaaS ライセンス管理 以降およびバージョン 4.1.2 Okta 以降、ServiceNowインスタンスは作成する統合プロファイルごとにOkta個別のOkta接続を作成します。各接続は互いに独立して実行されるため、インスタンスは複数の独立した Okta 統合プロファイルをサポートできます。

    を使用しているSoftware Asset ワークスペース場合、統合コア UIプロファイルを作成するOktaオプションは無効になっています。

    手順

    1. 統合プロファイルに移動します。
      インターフェイスアクション
      コア UI
      1. 移動先 すべて > ソフトウェア資産 > SaaS ライセンス > SSO 統合プロファイル.
      2. [New (新規)] を選択します。
      3. [ Okta Integration Profile(Okta統合プロファイル)]を選択します。
      Software Asset Workspace
      1. 移動先 ライセンス操作 > ユーザー登録 > SSO 統合プロファイル.
      2. [New (新規)] を選択します。
      3. ドロップダウンリストから[ Okta(Okta )]を選択します。
      4. [続行] を選択します。
    2. フォームのフィールドに入力します。
      表 : 1. SSO 統合プロファイルフォーム
      フィールド 説明
      表示名 データ連携プロファイルの名前たとえば、Okta 統合などです。
      ステータス 統合プロファイルのステータス。
      • 統合プロファイルを公開していない場合、このフィールドは自動的に [ドラフト] に設定されます。
      • 統合プロファイルを既に公開している場合、このフィールドは自動的に [公開済み] に設定されます。
      ディレクトリデータ統合 組織の Active Directory ユーザー、グループ、およびグループメンバーシップをプルするために使用されるディレクトリ統合プロファイルへの参照。
      • ディレクトリ Okta 統合レコードが存在する場合は、既存のレコードを選択できます。
      • ディレクトリ統合レコードが Okta 存在しない場合は、このフォームを保存または送信すると新しいレコードが作成されます。
      プロファイルタイプ 統合プロファイルのタイプ。

      このフィールドは自動的に Oktaに設定されます。
      接続と資格情報

      ディレクトリーと SSO の統合で使用される接続および資格情報エイリアスへの参照。

      • ディレクトリ統合レコードが存在し、それを [ディレクトリ統合] フィールドで選択した場合、このフィールドはディレクトリ統合レコードの接続および資格情報エイリアスに自動的に設定されます。
      • ディレクトリ統合値が存在しない場合、このフィールドは自動的に入力されます。
      Okta サブスクリプションを作成 この統合プロファイルが公開された後にサブスクリプションを表示する Okta ための直接統合プロファイルを作成するためのオプション。

      デフォルト値:False
    3. [送信] を選択します。
    4. [接続と資格情報を作成] ダイアログボックスを開きます。
      インターフェイスアクション
      コア UI SSO 統合プロファイルフォームで [ 新しい接続 & 資格情報の作成 ] 関連リンクを選択します。
      Software Asset Workspace
      1. [Connection & Credential] フィールドの横にあるプレビューアイコン (プレビューアイコン)を選択
      2. レコードのプレビューで [ レコードを開く ] を選択します。
      3. [接続 & 資格情報エイリアス] フォームで、[ 新しい接続 & 資格情報の作成 ] 関連リンクを選択します。
    5. ダイアログボックスで、フィールドに入力します。
      表 : 2. [接続と資格情報を作成] ダイアログボックス
      フィールド 説明
      名前 接続の名前。例:「 Okta 接続」。
      接続 URL 接続の URL。https://<yourOktaDomain>.comと入力します。ここで<yourOktaDomain>は組織のドメインです。
      認証 URL OAuth 認証エンドポイントの URL。「https://<yourOktaDomain>.com/oauth2/v1/authorize」と入力します。ここで<yourOktaDomain>は組織のドメインです。
      トークン URL アクセストークンを取得および更新する OAuth エンドポイントの URL。https://<yourOktaDomain>.com/oauth2/v1/token」と入力します。ここで<yourOktaDomain>は組織のドメインです。
      トークン失効 URL アクセストークンを取り消す OAuth エンドポイントの URL。「https://<yourOktaDomain>.com/oauth2/v1/revoke」と入力します。ここで<yourOktaDomain>は組織のドメインです。
      OAuth クライアント ID Oktaアプリケーションに割り当てられているクライアント ID
      OAuth クライアントシークレット Oktaアプリケーションに割り当てられているクライアントシークレット
      OAuth リダイレクト URL 認証後にユーザーがリダイレクトされる OAuth プロバイダーの URL。このフィールドは自動的に https://<instance-name>.service-now.com/oauth_redirect.do に設定されます。ここで<instance-name> はインスタンスの名前 ServiceNow です。
    6. [OAuth トークンを作成して取得] を選択します。
      Oktaポータルログインダイアログボックスが開きます。
    7. ダイアログ ボックスで、資格情報を入力し Okta 、[ サインイン] を選択します。
      注:
      スーパー管理者、アプリケーション管理者、または API アクセス管理管理者のロールと同じ資格情報を使用してサインインする必要があります。
      ダイアログボックスが閉じ、自動的に [SSO 統合プロファイル] フォームに戻ります。
    8. [公開] を選択します。

    タスクの結果

    ジョブスケジュールとディレクトリージョブの両方で、アプリケーションに関連付けられているすべてのアプリケーション、ユーザー、グループ、およびソフトウェアサブスクリプションのリストがダウンロードされます Okta 。統合プロファイルの [ジョブスケジュールの結果] タブと [ ディレクトリジョブの結果 ] タブで、ジョブのステータスを表示します。 ソフトウェア資産管理 は、サブスクリプション製品定義 [samp_sw_subscription_product-definition] テーブルの 識別子 と一致する外部カタログ ID を持つアプリケーションのソフトウェアモデルを自動的に作成します。

    次のタスク

    [ Okta サブスクリプションを作成 (Create Okta subscriptions )] チェックボックスをオンにし、この統合プロファイルが公開されている場合は、次の Okta 直接統合プロファイルが作成されます。情報メッセージ内の [直接統合プロファイル ] リンクを選択すると、直接統合プロファイルに移動できます。

    直接統合プロファイルに移動した後、[ソフトウェアサブスクリプション] タブを選択してサブスクリプションを表示できますOkta。詳細については、「Okta SSO 直接統合プロファイル」を参照してください。

    警告:

    OAuth トークンの有効期限が切れると、 Okta 新しい OAuth トークンを取得する必要があることを示すエラーメッセージが統合プロファイルに表示されます。エラーメッセージ内のリンクを選択して、新しい OAuth トークンを取得します。

    統合プロファイルの接続レコード Okta に関連付けられている OAuth 2.0 資格情報レコードは削除しないでください。OAuth 2.0 資格情報レコードを削除すると、現在の OAuth トークンの有効期限が切れた後は、新しい OAuth トークンを取得できなくなります。

    統合プロファイルを公開してアプリケーションをプロファイルに接続すると、現在の日付の 60 日前まで個々のユーザーが実行したイベントを表示できます。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    Okta SSO 直接統合プロファイル

    OktaSSO 直接統合プロファイルは、SSO 統合の設定Okta中にユーザーのサブスクリプションを作成することで、Oktaユーザーライセンスを管理するOktaのに役立ちます。

    表 : 3. OKTA SSO 直接統合プロファイル
    フィールド 説明
    表示名 データ連携プロファイルの名前
    ステータス 統合プロファイルのステータス。

    このフィールドは自動的に [公開済み] に設定されます。
    プロファイルタイプ 統合プロファイルのタイプ。

    このフィールドは自動的に[ Okta Subscription(Oktaサブスクリプション)]に設定されます。
    サブスクリプションサブフローをダウンロード
    サブフロー このフィールドは自動的に[ Okta Download Subscriptions(Oktaダウンロードサブスクリプション)]に設定されます

    SSO アプリケーションを接続する

    SSO アプリケーションを接続して、そのアプリケーションにアクセスできるすべてのユーザーとグループを監視します。また、ユーザーのログインデータを追跡し、未使用のライセンスを再利用することもできます。

    始める前に

    ServiceNow 必要なロール:sam_integrator または admin

    このタスクについて

    ServiceNow® SaaS ライセンス管理 では、一部のアプリケーションと直接統合できます。直接統合は、最も包括的な使用状況データを提供します。利用可能な直接統合のリストについては、「」を参照してください SaaS アプリケーションとの統合

    アプリケーションの直接統合をすでに作成している場合、SSO 統合で同じアプリケーションに接続すると、インスタンスに ServiceNow 重複するサブスクリプションレコードが作成されます。直接統合のみを使用してください。SSO 統合でアプリケーションを接続したが、後でそのアプリケーションの直接統合を作成する場合は、直接統合を作成する前にアプリケーションを切断します。

    手順

    1. 移動先 すべて > SaaS ライセンス > SSO アプリケーション.
    2. 接続するアプリケーションを選択します。
    3. [ソフトウェアモデル] フィールドが空の場合は、アプリケーションのソフトウェアモデルを追加します。
      アプリケーションを接続するには、そのアプリケーションをソフトウェアモデルに関連付ける必要があります。 ServiceNow® ソフトウェア資産管理 は、サブスクリプション製品定義 [samp_sw_subscription_product_definition] テーブルの 識別子 と一致する外部カタログ ID を使用して、アプリケーションのソフトウェアモデルを自動的に作成します。他のすべてのアプリケーションでは、ソフトウェア モデルを手動で作成できます。詳細な手順については、「クラシック版の ソフトウェア資産管理 ソフトウェアモデルの作成」を参照してください。
    4. 最後のアクティビティを分析する日付を [最終アクティビティの分析元] フィールドで選択します。

      個々のユーザーとアプリケーションのログインデータの分析は、現在の日付から、または最大 60 日前から開始できます。デフォルト値は 30 日です。現在の日付より前の日付を選択すると、分析するデータの量によっては、結果が表示されるまでに時間がかかる場合があります。

      [ 前回のアクティビティの分析元] フィールドに値を送信すると、フィールドは読み取り専用になります。

    5. [接続] を選択します。
      ヒント:
      複数のアプリケーションを同時に接続するには、[SSO アプリケーション] リストで接続する各アプリケーションのチェックボックスをオンにします。選択した行メニューの アクション を選択し、 接続 を選択します。ソフトウェアモデルに関連付けられていないアプリケーションがある場合は、[ Connect ] メニュー項目の名前が更新され、一部のアプリケーションのみが接続されることを示します。たとえば、[ 接続 (1/4)] メニュー項目は、選択した 4 つのアプリのうち 1 つだけが接続されることを示します。残りのアプリケーションにソフトウェアモデルを追加して、接続を続行します。

    次のタスク

    SSO アプリケーションが接続されると、 ServiceNow インスタンスは毎日更新されるユーザー、グループ、サブスクリプション、および再利用ルールを自動的に作成します。開発者コンソールから Okta ユーザー、アプリケーション、グループ、またはグループメンバーシップを削除すると、その変更はインスタンスに反映されます ServiceNow

    自動的に生成されたすべての再利用ルールをレビューし、ユーザーサブスクリプションを再利用するための仕様を満たしていることを確認します。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    自動生成されたソフトウェアモデルのソフトウェアエンタイトルメントを作成して、使用されているソフトウェアと所有ソフトウェアの照合を追跡します。クラシック アプリケーションでの ソフトウェア資産管理 ソフトウェアエンタイトルメントの作成については、次を参照してください クラシック版での ソフトウェア資産管理 エンタイトルメントの作成。ソフトウェア資産ワークスペースでのソフトウェアエンタイトルメントの作成の詳細については、「」を参照してください ワークスペースでのエンタイトルメントの作成。Playbook を使用した ソフトウェア資産管理 ソフトウェアエンタイトルメントの作成の詳細については、「」を参照してください ガイド付きウォークスルーを使用してエンタイトルメントを作成します

    調整は、ジョブスケジュールとして、またはオンデマンドでサブスクリプションに対して実行することもできます。調整結果は、 ライセンスワークベンチ (ソフトウェア資産管理 クラシックアプリケーション) または ライセンス使用状況ビュー (ソフトウェア資産ワークスペース) で表示できます。これらの結果を使用して、ライセンスコンプライアンスの状況を判断し、コンプライアンス違反を修正します。クラシック・アプリケーションでの ソフトウェア資産管理 調整の実行の詳細については、「」を参照してください ソフトウェア調整の実行。ソフトウェア資産ワークスペースでの調整の実行の詳細については、次を参照してください ワークスペースでソフトウェアの調整を実行する