Okta との統合

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:16分

    • ServiceNow インスタンスを Okta と統合して、接続されているすべての SSO アプリケーションのソフトウェア使用状況を表示できます。

    重要:
    必要なユーザーまたは API 権限のみにアクセス権を付与することで、セキュリティリスクを最小限に抑え、情報を保護します。
    表 : 1. 最小限のユーザー権限
    責任を担います。 Okta アプリケーションで必要なユーザーロール 認証スコープ
    ユーザーのダウンロード 読み取り専用アドミニストレーター okta.users.read
    • ダウンロードグループ
    • グループメンバーシップのダウンロード
    		 読み取り専用アドミニストレーター okta.groups.read
    アプリケーションのダウンロード 読み取り専用アドミニストレーター
    • okta.apps.read
    • okta.logs.read
    コネクトアプリケーション 読み取り専用アドミニストレーター okta.logs.read
    接続されているアプリケーションを更新 読み取り専用アドミニストレーター
    • okta.apps.read
    • okta.logs.read
    サブスクリプションを再利用 アプリケーションアドミニストレーター okta.apps.manage

    Okta アプリケーションの作成

    Now Platformと統合できるOktaアプリケーションを作成します。

    始める前に

    Okta 必要なロール: 「最小限のユーザー権限 」表を参照してください。

    Okta OAuth スコープの詳細については、「Okta admin ロールとスコープとサポートされているエンドポイントの詳細については、「管理者ロールと権限」を参照してください。

    手順

    1. Web ブラウザーから、 Okta 管理コンソールにログインします。
    2. OAuth 2.0 機能を備えた Okta アプリケーションを作成します。

      詳細な手順については、「 Okta 用の OAuth 2.0 アプリを作成する 」を参照してください。

      Oktaアプリケーションを作成するときは、次の点に注意してください。
      • [ログインリダイレクト URI] フィールドと [ログアウトリダイレクト URI] フィールドに「https://<instance-name>.service-now.com/oauth_redirect.do」と入力します。<instance-name> はServiceNowインスタンスの名前です。
      • [クライアント ID] フィールドと [クライアントシークレット] フィールドの値をコピーします。後で使用できるように安全な場所に保存してください。
      • Okta OAuth 2.0 アプリケーションに次のスコープを付与します。
        • okta.groups.read
        • okta.apps.read
        • okta.users.read
        • okta.logs.read
        • okta.apps.manage
      • Okta ポータルの [ユーザーの代理として動作するクライアント (Client acting on behalf of a user)] 権限許可タイプの下にある [トークンをリフレッシュ (Refresh Token)] チェックボックスをオンにします。

    Okta統合プロファイルの作成

    ServiceNow インスタンスに Okta 統合プロファイルを作成します。

    始める前に

    Okta 統合プロファイルを作成するには、ServiceNow Store から ソフトウェア資産管理 - SaaS ライセンス管理 プラグイン (sn_sam_saas_int) を要求します。

    ServiceNow 必要なロール:sam_integrator または admin

    重要:
    [Application Manager] ページでオプション機能をインストールするときは、この統合の [Okta スポーク] チェックボックスをオンにする必要があります。必要な SaaS アプリケーションの選択の詳細については、「 SaaS ライセンス管理の要求」を参照してください。

    このタスクについて

    注:
    ソフトウェア資産管理 - SaaS ライセンス管理 のバージョン 7.0.0 および Okta スポークのバージョン 4.1.2 以降では、ServiceNow インスタンスは、作成する Okta 統合プロファイルごとに個別のOkta接続を作成します。各接続は互いに独立して実行されるため、インスタンスで複数の独立した Okta 統合プロファイルをサポートできます。

    ソフトウェア資産ワークスペースを使用している場合、コア UIOkta統合プロファイルを作成するオプションは非アクティブです。

    手順

    1. 統合プロファイルに移動します。
      インターフェイスアクション
      Core UI (コア UI)
      1. 次のように移動する。 All (すべて) > ソフトウェア資産 > SaaS ライセンス > SSO データ連携プロファイル.
      2. [New (新規)] を選択します。
      3. Okta 統合プロファイルを選択します。
      ソフトウェア資産ワークスペース
      1. 次のように移動する。 ライセンス操作 > ユーザー登録 > SSO データ連携プロファイル.
      2. [New (新規)] を選択します。
      3. ドロップダウンリストから [Okta ] を選択します。
      4. [Continue (続行)] を選択します。
    2. フォームのフィールドに入力します。
      表 : 2. SSO 統合プロファイルフォーム
      フィールド 説明
      表示名 データ連携プロファイルの名前例:Okta 統合
      ステータス 統合プロファイルのステータス。
      • 統合プロファイルを公開していない場合、このフィールドは自動的に [ドラフト] に設定されます。
      • 統合プロファイルを既に公開している場合、このフィールドは自動的に [公開済み] に設定されます。
      ディレクトリデータ統合 組織の Active Directory ユーザー、グループ、およびグループメンバーシップをプルするために使用されるディレクトリ統合プロファイルへの参照。
      • Oktaのディレクトリ統合レコードが存在する場合は、既存のレコードを選択できます。
      • Oktaのディレクトリ統合レコードが存在しない場合、このフォームを保存または送信すると新しいレコードが作成されます。
      プロファイルタイプ 統合プロファイルのタイプ。

      このフィールドは自動的に Okta に設定されます。
      接続と認証情報

      ディレクトリと SSO の統合で使用される接続および資格情報エイリアスへの参照。

      • ディレクトリ統合レコードが存在し、それをディレクトリ統合フィールドで選択した場合、このフィールドは自動的にディレクトリ統合レコードの接続および資格情報エイリアスに設定されます。
      • ディレクトリ統合値が存在しない場合、このフィールドは自動的に入力されます。
      Okta のサブスクリプションを作成 直接統合プロファイルを作成して、この統合プロファイルの公開後に Okta サブスクリプションを表示するオプション。

      デフォルト値:False
    3. [プロセスの構成] セクションで、セキュリティリスクを最小限に抑え、 SaaS ライセンスを最適化するために必要なユーザーロールまたは API 権限を表示します。
      注:
      必要なロールとスコープの詳細については、「 最小限のユーザー権限 」テーブルを参照してください。

      • [ アプリケーション、ユーザー、およびグループをダウンロード ] チェックボックスはデフォルトでオンになっており、オフにすることはできません。

      • [ ダウンロードアクティビティ ] チェックボックスはデフォルトでオンになっています。オフにすると、接続されたアプリケーションの最後のアクティビティはプルされません。

      • [ サブスクリプションを再利用 ] チェックボックスはデフォルトでオンになっています。サブスクリプションを再利用しない場合は、このチェックボックスをオフにします。これをクリアすると、削除候補は作成されますが、サブスクリプションの再利用サブフローがトリガーされないか、再利用プロセスが開始されません。

    4. [Submit (送信)] を選択します。
      [接続と資格情報] フィールドは自動的に sn_okta_spoke.okta_apps_users_groups_activity_and_reclaim に設定されます。
    5. [接続と資格情報を作成] ダイアログボックスを開きます。
      インターフェイスアクション
      Core UI (コア UI) SSO 統合プロファイルフォームで [ 新しい接続および資格情報を作成 ] 関連リンクを選択します。
      ソフトウェア資産ワークスペース
      1. [接続と資格情報] フィールドの横にあるプレビューアイコン (プレビューアイコン)を選択する
      2. レコードプレビューで [ レコードを開く ] を選択します。
      3. [接続および資格情報エイリアス] フォームで、[ 新しい接続および資格情報を作成 ] 関連リンクを選択します。
    6. ダイアログボックスで、フィールドに入力します。
      表 : 3. [接続と資格情報を作成] ダイアログボックス
      フィールド 説明
      名前 接続の名前。例:Okta 接続
      接続 URL 接続の URL。https://<yourOktaDomain>.comを入力します。ここで<yourOktaDomain>は組織のドメインです。
      認証 URL OAuth 認証エンドポイントの URL。「https://<yourOktaDomain>.com/oauth2/v1/authorize」と入力します。ここで<yourOktaDomain>は組織のドメインです。
      トークン URL アクセストークンを取得して更新する OAuth エンドポイントの URL。「https://<yourOktaDomain>.com/oauth2/v1/token」と入力します。ここで<yourOktaDomain>は組織のドメインです。
      トークン失効 URL アクセストークンを取り消す OAuth エンドポイントの URL。「https://<yourOktaDomain>.com/oauth2/v1/revoke」と入力します。ここで<yourOktaDomain>は組織のドメインです。
      OAuth クライアント ID Oktaアプリケーションに割り当てられているクライアント ID
      OAuth クライアントシークレット Oktaアプリケーションに割り当てられているクライアントシークレット
      OAuth リダイレクト URL 認証後にユーザーがリダイレクトされる OAuth プロバイダーの URL。このフィールドは自動的に https://<instance-name>.service-now.com/oauth_redirect.do に設定されます。ここで <instance-name> は ServiceNow インスタンスの名前です。
    7. [OAuth トークンを作成して取得] を選択します。
      注:
      この手順を実行するために必要なロールについては、「 最小限のユーザー権限 」表を参照してください。
    8. Okta ポータルのログイン ダイアログ ボックスで、Okta資格情報を入力し、サインイン を選択します。
      注:
      スーパーアドミン、アプリケーションアドミニストレーター、API アクセス管理アドミニストレーターのロールと同じ認証情報を使用してサインインする必要があります。
      ダイアログボックスが閉じ、自動的に SSO 統合プロファイルフォームに戻ります。
    9. [Save (保存)] をクリックする。
    10. 統合プロファイルフォームで、[ 接続を検証 ] を選択して、この統合の接続と資格情報の詳細を確認します。
    11. 接続を確認したら、[ 公開] を選択します。
    12. 公開の確認 ダイアログ ボックスで、 OK を選択します。
      統合プロファイルの公開後に [ ダウンロードアクティビティ ] チェックボックスをオフにすると、次のイベントが発生するため、接続を再検証する必要があります。
      • [ 接続を検証] ボタンがフォームに表示されます。
      • 接続されたアプリケーションのユーザーの最後のアクティビティはプルされなくなりました。

    タスクの結果

    スケジュール済みジョブとディレクトリジョブの両方で、 Okta アプリケーションに関連付けられているすべてのアプリケーション、ユーザー、グループ、およびソフトウェアサブスクリプションのリストがダウンロードされます。統合プロファイルの [スケジュール済みジョブの結果 ] タブと [ディレクトリジョブの結果 ] タブでジョブのステータスを表示します。 ソフトウェア資産管理 は、サブスクリプション製品定義 [samp_sw_subscription_product定義] テーブルの 識別子 と一致する外部カタログ ID を持つアプリケーションのソフトウェアモデルを自動的に作成します。

    次のタスク

    [ Okta サブスクリプションを作成 ] チェックボックスをオンにし、この統合プロファイルが公開されると、 Okta の直接統合プロファイルが作成されます。情報メッセージの [直接統合プロファイル ] リンクを選択すると、直接統合プロファイルに移動できます。

    直接統合プロファイルに移動した後、[ソフトウェアサブスクリプション] タブを選択してOktaサブスクリプションを表示できます。詳細については、「Okta SSO 直接統合プロファイル」を参照してください。

    警告:

    OAuth トークンの有効期限が切れると、 Okta 統合プロファイルに、新しい OAuth トークンを取得する必要があることを示すエラーメッセージが表示されます。エラーメッセージ内のリンクを選択して、新しい OAuth トークンを取得します。

    Okta 統合プロファイルの接続レコードに関連付けられている OAuth 2.0 認証情報レコードは削除しないでください。OAuth 2.0 認証情報レコードを削除すると、現在の OAuth トークンの有効期限が切れた後は、新しい OAuth トークンを取得できなくなります。

    統合プロファイルを公開してアプリケーションをプロファイルに接続すると、現在の日付の 60 日前までに個々のユーザーが実行したイベントを表示できます。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    Okta SSO 直接統合プロファイル

    OktaSSO 直接統合プロファイルは、Okta SSO 統合の設定中にOktaユーザーのサブスクリプションを作成することで、Oktaユーザーライセンスを管理するのに役立ちます。

    表 : 4. OKTA SSO 直接統合プロファイル
    フィールド 説明
    表示名 データ連携プロファイルの名前
    ステータス 統合プロファイルのステータス。

    このフィールドは自動的に [ 公開済み] に設定されます。
    プロファイルタイプ 統合プロファイルのタイプ。

    このフィールドは自動的に Okta サブスクリプションに設定されます。
    サブスクリプションサブフローをダウンロード
    サブフロー このフィールドは自動的に [Okta Download Subscriptions] に設定されます。

    SSO アプリケーションの接続

    SSO アプリケーションを接続して、そのアプリケーションにアクセスできるすべてのユーザーとグループを監視します。ユーザーのログインデータを追跡し、未使用のライセンスを再利用することもできます。

    始める前に

    ServiceNow 必要なロール:sam_integrator または admin

    このタスクについて

    ServiceNow® SaaS ライセンス管理 は、一部のアプリケーションとの直接統合を提供します。直接統合は、最も包括的な使用状況データを提供します。利用可能な直接統合のリストについては、「 SaaS アプリケーションとの統合」を参照してください。

    アプリケーションの直接統合を既に作成している場合、SSO 統合で同じアプリケーションを接続すると、 ServiceNow インスタンスに重複するサブスクリプションレコードが作成されます。直接統合のみを使用してください。SSO 統合でアプリケーションを接続した後でそのアプリケーションの直接統合を作成する場合は、直接統合を作成する前にアプリケーションを切断します。

    手順

    1. 次のように移動する。 All (すべて) > SaaS ライセンス > SSO アプリケーション.
    2. 接続するアプリケーションを選択します。
    3. [ ソフトウェアモデル ] フィールドが空の場合、アプリケーションのソフトウェアモデルを追加します。
      アプリケーションを接続するには、そのアプリケーションをソフトウェアモデルに関連付ける必要があります。 ServiceNow® ソフトウェア資産管理 は、サブスクリプション製品定義 [samp_sw_subscription_product_definition] テーブルの 識別子 と一致する外部カタログ ID を持つアプリケーションのソフトウェアモデルを自動的に作成します。他のすべてのアプリケーションでは、ソフトウェアモデルを手動で作成できます。詳細な手順については、「クラシック ソフトウェア資産管理 でのソフトウェアモデルの作成」を参照してください。
    4. [ 最後のアクティビティを分析] フィールドで、最後のアクティビティを分析する日付を選択します。

      個々のユーザーとアプリケーションのログインデータの分析は、現在の日付から、または最大 60 日前から開始できます。デフォルト値は 30 日です。現在の日付より前の日付を選択した場合、分析するデータの量が多いため、結果が表示されるまでに時間がかかる場合があります。

      [ 前回のアクティビティを分析] フィールドに値を送信すると、そのフィールドは読み取り専用になります。

    5. [Connect (接続)] を選択します。
      ヒント:
      複数のアプリケーションを同時に接続するには、接続する各アプリケーションのチェックボックスを SSO アプリケーションリストでオンにします。選択した行メニューで [アクション] を選択し、[ 接続] を選択します。ソフトウェア モデルに関連付けられていないアプリケーションがある場合、[ 接続 ] メニュー項目の名前が更新され、一部のアプリケーションのみが接続されることを示します。たとえば、[ コネクト (1/4)] メニュー項目は、選択した 4 つのアプリのうち 1 つだけが接続されることを示します。残りのアプリケーションにソフトウェアモデルを追加して、接続を続行します。

    次のタスク

    SSO アプリケーションが接続すると、 ServiceNow インスタンスによってユーザー、グループ、サブスクリプション、および再利用ルールが自動的に作成され、毎日更新されます。Okta 開発者コンソールからユーザー、アプリケーション、グループ、またはグループメンバーシップを削除すると、変更がServiceNowインスタンスに反映されます。

    自動的に生成されたすべての再利用ルールをレビューし、ユーザーサブスクリプションを再利用するための仕様を満たしていることを確認します。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    自動生成されたソフトウェアモデルのソフトウェアエンタイトルメントを作成して、使用済みソフトウェアを所有ソフトウェアに対して追跡します。ソフトウェア資産管理クラシックアプリケーションでのソフトウェアエンタイトルメントの作成の詳細については、「クラシック ソフトウェア資産管理 エンタイトルメントの作成」を参照してください。ソフトウェア資産ワークスペースでのソフトウェアエンタイトルメントの作成の詳細については、「 ワークスペースでのエンタイトルメントの作成」を参照してください。ソフトウェア資産管理 プレイブックを使用したソフトウェアエンタイトルメントの作成の詳細については、「ガイド付きウォークスルーを使用してエンタイトルメントを作成します」を参照してください。

    調整は、サブスクリプションでもスケジュール済みジョブとして、またはオンデマンドで実行されます。調整結果は、 ライセンスワークベンチ (クラシックアプリケーションソフトウェア資産管理 ) または ライセンス使用状況ビュー (ソフトウェア資産ワークスペース) で表示できます。これらの結果を使用して、ライセンスコンプライアンスの状況を判断し、コンプライアンス違反を修正します。ソフトウェア資産管理クラシックアプリケーションでの調整の実行の詳細については、「ソフトウェア資産管理 クラシック版でソフトウェア調整を実行する」を参照してください。ソフトウェア資産ワークスペースでの調整の実行の詳細については、「 ワークスペースでのソフトウェア調整の実行」を参照してください。