Azure AD との統合

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:12分

    • ServiceNow インスタンスMicrosoft Azure Active Directory (AD) と統合して、接続されているすべての SSO アプリケーションのソフトウェア使用状況を表示できます。

    重要:
    必要なユーザーまたは API 権限のみにアクセス権を付与することで、セキュリティリスクを最小限に抑え、情報を保護します。
    表 : 1. 最小限のユーザー権限
    プロセス Microsoft Azure AD アプリケーションに必要なユーザーロール 認証スコープ
    • ユーザーをダウンロード
    • ダウンロードグループ
    • グループメンバーシップをダウンロード
    		 アプリケーション開発者 Directory.Read.All
    アプリケーションのダウンロード アプリケーション開発者 Directory.Read.All
    • コネクトアプリケーション
    • 接続されているアプリケーションの更新
    • グローバルリーダー
    • レポートリーダー
    • セキュリティ
    • アドミニストレータ―
    • セキュリティオペレーター
    • セキュリティリーダー
    • アプリケーション開発者
    • AuditLog.Read.All
    • Directory.Read.All

    Azure AD アプリケーションの作成

    Microsoft Azure ポータルでアプリを作成して、Now Platformと統合します。

    始める前に

    Azure AD 必要なロール: 最小ユーザー権限 の表を参照してください。

    手順

    1. Azure ポータルから、Azure Active Directory にアクセスします。
    2. Azure AD アプリケーションを作成します。
      アプリケーションの登録と構成の詳細については、「 Azure Active Directory アプリケーションの作成 」を参照してください。
      1. [リダイレクト URI] フィールドに「https://<instance-name>.service-now.com/oauth_redirect.do」と入力します。ここで、<instance-name> は<c3/>インスタンスの名前です。ServiceNow
      2. アプリケーション (クライアント) ID とディレクトリ (テナント) ID を記録して、サードパーティ OAuth プロバイダーとして ServiceNow インスタンスでアプリを登録します。
      3. クライアントシークレットを作成し、値を記録して、サードパーティ OAuth プロバイダーとして ServiceNow インスタンスでアプリを登録します。
      4. Microsoft Graph API にアクセスするための権限を追加します。
        権限 タイプ
        AuditLog.Read.All 委任
        Directory.AccessAsUser.All 委任
        Directory.Read.All 委任
        User.Read 委任
        詳細については、「Web API にアクセスするための権限の追加」を参照してください。
      5. アプリケーションに管理者の同意を付与します。
        詳細については 、「API 権限と管理者の同意 UI について」を参照してください。

    Azure AD 統合プロファイルの作成

    ServiceNow インスタンスに Azure AD 統合プロファイルを作成します。

    始める前に

    Azure AD 統合プロファイルを作成するには、ServiceNow Store から ソフトウェア資産管理 - SaaS ライセンス管理 プラグイン (com.sn_sam_saas_int) を要求します。

    ServiceNow 必要なロール:sam_integrator または admin

    このタスクについて

    注:
    ソフトウェア資産管理 - SaaS ライセンス管理 バージョン 7.0.0 および Microsoft Azure AD スポークバージョン 3.1.0 以降、ServiceNow インスタンスは、作成する Azure AD 統合プロファイルごとに個別の Azure AD 接続を作成します。各接続は互いに独立して実行されるため、インスタンスは複数の独立した Azure AD 統合プロファイルをサポートできます。

    ソフトウェア資産ワークスペースを使用している場合、コア UIMicrosoft Azure AD統合プロファイルを作成するオプションは無効です。

    手順

    1. 統合プロファイルに移動します。
      インターフェイスアクション
      コア UI
      1. 移動先 すべて > ソフトウェア資産 > SaaS ライセンス > SSO 統合プロファイル.
      2. [新規] を選択します。
      3. [Microsoft Azure AD 統合プロファイル] を選択します。
      Software Asset Workspace
      1. 移動先 ライセンス操作 > ユーザー登録 > SSO データ連携プロファイル.
      2. [新規] を選択します。
      3. ドロップダウンリストから [Microsoft Azure AD 統合プロファイル ] を選択します。
      4. [続行] を選択します。
    2. [ 表示名 ] フィールドに、統合プロファイルの名前を入力します。

      残りのフィールドは、フォームを送信すると自動的に入力されます。

      注:
      SSO 統合は、ディレクトリ統合を使用して作成されます。ディレクトリ統合は、SSO 統合に関連付けられている SSO アプリケーション、ユーザー、およびグループデータをプルします。詳細については、「SSO サブスクリプション情報の表示」を参照してください。

      すでに Microsoft Azure AD ディレクトリ統合がある場合、SSO 統合は既存のディレクトリ統合を使用します。それ以外の場合は、 Microsoft Azure AD ディレクトリ統合が自動的に作成されます。

    3. [Submit (送信)] を選択します。
    4. [新しい接続および資格情報の作成] 関連リンクを選択します。
      注:
      ソフトウェア資産ワークスペース をインストールしている場合は、[接続と資格情報] レコードを開き、[新しい接続と資格情報の作成] 関連リンクを選択します。
    5. フォームのフィールドに入力します。
      表 : 2. 接続と資格情報フォームを作成
      フィールド
      認証 URL https://login.microsoftonline.com/directory-id>/oauth2/v2.0/authorize、ここで<directory-id>は<c2/>ポータルのディレクトリ (テナント) ID です。Azure
      トークン URL https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/token、ここで<directory-id>は<c2/>ポータルのディレクトリ (テナント) ID です。Azure
      トークン URL の取り消し (Revoke token URL) https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/revoke、ここで<directory-id>は<c2/>ポータルのディレクトリ (テナント) ID です。Azure
      OAuth クライアント ID Azureポータルで作成したアプリケーションのアプリケーション (クライアント) ID。
      OAuth クライアントシークレット Azureポータルで作成したアプリケーションのクライアントシークレット。
      OAuth リダイレクト URL https://<instance-name>.service-now.com/oauth_redirect.do<instance-name> は <c2/> インスタンスの名前です。ServiceNowこの値は、自動的に入力されます。
    6. [OAuth トークンを作成して取得] を選択します。
      この手順を実行するために必要なロールについては、「 最小ユーザー権限 」の表を参照してください。
    7. ポップアップウィンドウで、 Azure AD アドミン認証情報を使用してアカウントにサインインします。
    8. [Publish (公開)] を選択します。
      スケジュール済みジョブとディレクトリジョブは、すべてのアプリケーション、ユーザー、およびグループのリストをダウンロードします。詳細については、「SSO サブスクリプション情報の表示」を参照してください。統合プロファイルの [スケジュール済みジョブの結果] および [ディレクトリジョブの結果] 関連リストで、ジョブのステータスを表示します。ソフトウェアモデルは、サブスクリプション製品定義 [samp_sw_subscription_product_definition] テーブルの識別子と一致する外部カタログ ID を持つアプリケーションに対して自動的に作成されます。

    タスクの結果

    統合プロファイルを公開し、アプリケーションをプロファイルに接続すると、現在の日付の 60 日前まで個々のユーザーが実行したイベントを表示できます。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    SSO アプリを接続

    シングルサインオン (SSO) アプリを接続して、アプリへのアクセス権を持つすべてのユーザーとグループを表示します。ユーザーのログインデータを追跡し、未使用のライセンスを再利用します。

    始める前に

    必要なロール:sam_integrator または admin

    このタスクについて

    注:
    Azure Active Directory (Azure AD) の場合、アプリケーション構成ページの [アサインが必要] トグルボタンによって、ユーザーによるアプリケーションへのアクセスが制御されます。
    • このトグルボタンが [はい] に設定されている場合は、このアプリケーションを Azure AD ユーザーおよび関連するアプリケーションおよびサービスに割り当てる必要があります。アプリケーションをアサインすると、 Azure AD ユーザー、関連するアプリケーション、およびサービスがそのアプリケーションにアクセスできるようになります。
    • このトグルボタンを [いいえ] に設定すると、すべてのユーザーがアプリケーションにログインできます。関連付けられているアプリケーションやサービスも、このサービスへのアクセストークンを取得できます。

    SaaS ライセンス管理 は、特定のアプリケーションとの直接統合を提供します。直接統合は、最も堅牢な使用状況データを提供します。利用可能な直接統合のリストについては、「 SaaS アプリケーションとの統合」を参照してください。アプリの直接統合がある場合、SSO 統合で同じアプリを接続すると、 ServiceNow インスタンスに重複するサブスクリプションレコードが作成されます。SSO アプリを接続した後、そのアプリの直接統合を作成する場合は、直接統合を作成する前にアプリを切断します。

    手順

    1. 移動先 すべて > SaaS ライセンス > SSO アプリケーション.
    2. 接続するアプリケーションを選択します。
    3. [ ソフトウェアモデル ] フィールドが空の場合は、アプリのソフトウェアモデルを追加します。
      アプリを接続するには、アプリにソフトウェアモデルが必要です。ソフトウェアモデルは、サブスクリプション製品定義 [samp_sw_subscription_product_definition] テーブルの識別子と一致する外部カタログ ID を持つアプリに対して自動的に作成されます。他のすべてのアプリについては、ソフトウェアモデルを手動で作成できます。詳細については、「ソフトウェア資産管理クラシック版でのソフトウェアモデルの作成」を参照してください。
    4. [ 前回のアクティビティの分析元 (Analyze last activity from )] フィールドの日付を選択します。

      個々のユーザーとアプリケーションのログインデータの分析を、現在の日付から開始するか、過去最大 60 日間から開始するかを選択できます。デフォルト値は 30 日です。過去の日付を選択すると、最近使用されていないサブスクリプションを表示できるため、リアルタイムで待機することなく古いサブスクリプションを検出できます。過去の日付を選択すると、分析されるデータ量が増えるため、結果が表示されるまでに時間がかかる場合があります。

      [ 前回のアクティビティの分析元] フィールドに値を送信すると、このフィールドは読み取り専用になります。

    5. [接続] を選択します。
      ヒント:
      SSO アプリケーションリストから複数のアプリを同時に接続することもできます。リストの左側にあるチェックボックスを使用してアプリを選択します。一覧の下部にある [選択した行のアクション ] ドロップダウン メニューを選択し、 [ 接続] を選択します。一部のアプリにソフトウェアモデルがない場合、[ 接続 ] アクションには、すべてのアプリが接続されていないことが示されます。たとえば、[ 接続 (1/4)] は、選択した 4 つのアプリのうち 1 つだけが接続されていることを示します。ソフトウェアモデルを追加して、残りのアプリを接続します。

    タスクの結果

    SSO アプリケーションが接続されると、 ServiceNow インスタンスによって、毎日更新されるユーザー、グループ、サブスクリプション、および再利用ルールが自動的に作成されます。
    • [ アサインが必要 ] トグルボタンが [はい] に設定されている場合、サブスクリプションは関連付けられた Azure AD ユーザーに対してのみ作成されます。
    • [ アサインが必要 ] トグルボタンが [いいえ] に設定されている場合、すべての Azure AD ユーザーに対してサブスクリプションが作成されます。

    次のタスク

    ユーザーサブスクリプションを再利用するための仕様を満たすように、自動的に生成されたすべての再利用ルールを確認します。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    自動的に生成されたソフトウェアモデルのソフトウェアエンタイトルメントを作成して、所有ソフトウェアに対して使用されたソフトウェアを追跡します。ソフトウェア資産管理クラシックアプリケーションでのソフトウェアエンタイトルメントの作成の詳細については、「ソフトウェア資産管理クラシックでのエンタイトルメントの作成」を参照してください。ソフトウェア資産ワークスペースでのソフトウェアエンタイトルメントの作成の詳細については、「 ワークスペースでエンタイトルメントを作成する」を参照してください。ソフトウェア資産管理 プレイブックを使用したソフトウェアエンタイトルメントの作成の詳細については、「ガイド付きウォークスルーを使用してエンタイトルメントを作成する」を参照してください。

    調整は、スケジュール済みジョブとして、またはオンデマンドでサブスクリプションに対して実行することもできます。調整結果は、ライセンスワークベンチ (クラシックアプリケーション) またはライセンス使用状況ビュー (ソフトウェア資産ワークスペース) ソフトウェア資産管理表示できます。これらの結果を使用して、ライセンスのコンプライアンス状況を判断し、コンプライアンス違反を修正します。ソフトウェア資産管理クラシックアプリケーションでの調整の実行の詳細については、「ソフトウェア調整の実行」を参照してください。ソフトウェア資産ワークスペースでの調整の実行の詳細については、「 ワークスペースでソフトウェア調整を実行」を参照してください。