Integração com o Azure AD

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 8 min. de leitura

    • Você pode integrar sua instância [ ServiceNow com Microsoft Azure Active Directory (AD) para exibir o uso de software para todas as aplicações de SSO conectadas.

    Criar uma aplicação do AD Azure

    Crie um app no portal Microsoft Azure para integrar com o Now Platform.

    Antes de Iniciar

    Azure Função do AD necessária: administrador

    Procedimento

    1. No portal Azure, acesse o Azure Active Directory.
    2. Crie uma aplicação do AD Azure.
      Consulte Criar uma aplicação do Azure Active Directory para obter instruções detalhadas sobre como registrar e configurar uma aplicação.
      1. No campo Redirecionar URI , insira https://<instance-name> .service-now.com/oauth_redirect.do , em que é o nome da sua instância ServiceNow .
      2. Registre o ID da aplicação (cliente) e o ID do diretório (locatário) para registrar o app como um provedor OAuth de terceiros em sua instância ServiceNow.
      3. Crie um segredo do cliente e registre o valor para registrar o app como um provedor OAuth de terceiros em sua instância ServiceNow.
      4. Adicione permissões para acessar a API Microsoft Graph.
        Permissão Tipo
        LogDeAuditoria.Leitura.Todos Delegado
        Diretório.AcessarComoUsuário.Todos Delegado
        Directory.Read.All Delegado
        User.Read Delegado
        Consulte Adicionar permissões para acessar APIs da Web para obter mais informações.
      5. Conceda consentimento de administrador à sua aplicação.
        Consulte Noções básicas sobre permissões de API e IU de consentimento do administrador para obter mais informações.

    Criar um perfil de integração do AD Azure

    Crie um perfil de integração do AD Azure em sua instância ServiceNow.

    Antes de Iniciar

    Para criar um perfil de integração do AD Azure, solicite o plug-in Gestão de ativos de software - Gestão de licenças de SaaS (com.sn_sam_saas_int) na ServiceNow Store.

    ServiceNow Função necessária: sam_integrator ou admin

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    Começando com a versão 7.0.0 de Gestão de ativos de software - Gestão de licenças de SaaS Integrations e a versão 3.1.0 do Microsoft Azure AD spoke, sua instância ServiceNow cria uma conexão Azure AD separada para cada Azure perfil de integração AD que você cria. Cada conexão é executada independentemente uma da outra, permitindo que sua instância ofereça suporte a vários perfis de integração do AD independentes Azure.

    Se você estiver usando Espaço para ativos de software, a opção para criar o perfil de integração [ Microsoft Azure AD em IU principal ficará inativa.

    Procedimento

    1. Navegue até o perfil de integração.
      InterfaceAção
      IU principal
      1. Navegar até Todos > Ativo de Software > Licença de SaaS > Perfis de integração SSO.
      2. Selecione Novo.
      3. Selecione Perfil de integração do Microsoft Azure AD.
      Espaço de ativo do software
      1. Navegar até Operações de licença > Assinaturas de Usuário > Perfis de integração SSO.
      2. Selecione Novo.
      3. Selecione Perfil de integração do Microsoft Azure AD na lista suspensa.
      4. Selecione Continuar.
    2. No campo Nome de exibição, insira um nome para o perfil de integração.

      Os campos restantes são preenchidos automaticamente quando você envia o formulário.

      Nota:
      A integração de SSO é criada usando uma integração de diretório. A integração de diretório extrai dados de usuário e grupo do SSO. Se você já tiver uma integração de diretório Microsoft Azure AD, a integração de SSO usará sua integração de diretório existente. Caso contrário, uma integração de diretório Microsoft Azure AD será criada automaticamente.
    3. Clique em Enviar.
    4. Clique no link relacionado Criar nova conexão e credencial.
      Nota:
      Se você instalou Espaço para ativos de software, abra o registro de conexão e credencial e selecione o link relacionado Criar nova conexão e credencial.
    5. No formulário, preencha os campos.
      Tabela 1. Formulário Criar Conexão e Credencial
      Campo Valor
      URL de autenticação https://login.microsoftonline.com/directory-id>/oauth2/v2.0/authorize , em que<directory-id> é o ID do diretório (locatário) do portal Azure .
      URL de Token https://login.microsoftonline.com/<directory-id> /oauth2/v2.0/token , em que é o ID do diretório (locatário) do portal Azure .
      Revogar URL do token https://login.microsoftonline.com/<directory-id> /oauth2/v2.0/revoke , em que é o ID do diretório (locatário) do portal Azure .
      ID do cliente OAuth ID da aplicação (cliente) para a aplicação que você criou no portal Azure.
      Segredo do cliente OAuth Segredo do cliente para a aplicação que você criou no portal Azure.
      URL de redirecionamento do OAuth https://<instance-name> .service-now.com/oauth_redirect.do , em que é o nome da sua instância ServiceNow . Este valor é preenchido automaticamente.
    6. Clique em Criar e obter token do OAuth.
    7. Na janela pop-up, entre na sua conta com Azure credenciais de administrador do AD.
    8. Clique em Publicar.
      Trabalhos programados e trabalhos de diretório baixam uma lista de todos os seus aplicativos, usuários e grupos. Exiba o status dos seus trabalhos nas listas relacionadas Resultados de trabalhos programados e Resultados de trabalhos do diretório do perfil de integração. Os modelos de software são criados automaticamente para aplicações com um ID de catálogo externo que corresponde a um Identificador na tabela Definições de produto de assinatura [samp_sw_subscription_product_definition].

    Resultado

    Depois de publicar o perfil de integração e conectar aplicações ao perfil, você pode exibir eventos realizados por usuários individuais até 60 dias antes da data atual. Para obter mais informações, consulte Revisar uma regra de recuperação de software.

    Conectar apps de SSO

    Conecte um aplicativo de Single Sign-On (SSO) para exibir todos os usuários e grupos com acesso ao aplicativo. Rastreie os dados de login do usuário e recupere licenças não utilizadas.

    Antes de Iniciar

    Função necessária: sam_integrator ou admin

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    Para o Azure Active Directory (Azure AD), o botão de alternância Atribuição necessária na página de configuração da aplicação controla o acesso dos usuários à aplicação.
    • Se este botão de alternância estiver definido como Sim, você deverá atribuir esta aplicação aos usuários do AD Azure e aplicações e serviços relacionados. Depois de atribuir a aplicação, Azure usuários do AD, aplicações associadas e serviços podem acessá-lo.
    • Se este botão de alternância estiver definido como Não, todos os usuários poderão fazer login na aplicação. As aplicações e serviços associados também podem obter um token de acesso a este serviço.

    Gestão de licenças de SaaS oferece integrações diretas com aplicações selecionadas. As integrações diretas fornecem os dados de uso mais robustos. Para obter uma lista de integrações diretas disponíveis, consulte Integre com aplicações SaaS. Se você tiver uma integração direta para um app, conectar o mesmo app em uma integração de SSO criará registros de assinatura duplicados em sua instância ServiceNow. Se você conectar um aplicativo de SSO e, posteriormente, decidir criar uma integração direta para esse aplicativo, desconecte o aplicativo antes de criar uma integração direta.

    Procedimento

    1. Navegar até Todos > Licença de SaaS > Aplicações de SSO.
    2. Selecione a aplicação que você deseja conectar.
    3. Se o campo Modelo de software estiver vazio, adicione um modelo de software para o app.
      Um app deve ter um modelo de software antes que você possa conectá-lo. Os modelos de software são criados automaticamente para aplicativos com um ID de catálogo externo que corresponde a um Identificador na tabela Definições de produto de assinatura [samp_sw_subscription_product_definition]. Para todos os outros aplicativos, você pode criar um modelo de software manualmente. Para obter mais informações, consulte Criar modelos de software no clássico Gestão de ativos de software.
    4. Selecione uma data para o campo Analisar última atividade de.

      Você pode optar por começar a analisar os dados de login de usuários individuais e aplicações a partir da data atual ou de até 60 dias no passado. O valor padrão é 30 dias. Escolher uma data no passado permite detectar assinaturas obsoletas sem esperar em tempo real porque você pode ver assinaturas que não foram usadas recentemente. Como escolher uma data no passado aumenta a quantidade de dados analisados, pode levar mais tempo para você exibir os resultados.

      Depois de enviar um valor no campo Analisar última atividade de, o campo se torna somente leitura.

    5. Selecione Conectar.
      Dica:
      Você também pode conectar vários aplicativos simultaneamente na lista Aplicativos de SSO. Selecione os aplicativos usando a caixa de seleção no lado esquerdo da lista. Na parte inferior da lista, selecione o menu suspenso Ações nas linhas selecionadas e selecione Conectar. Se alguns aplicativos não tiverem um modelo de software, a ação Conectar mostrará que nem todos os aplicativos estão conectados. Por exemplo, Conectar (1 de 4) mostra que apenas um dos quatro apps selecionados está conectado. Adicione modelos de software para conectar os apps restantes.

    Resultado

    Depois que a aplicação SSO se conecta, sua instância ServiceNow cria automaticamente usuários, grupos, assinaturas e regras de recuperação que são atualizadas diariamente.
    • Se o botão de alternância Atribuição necessária estiver definido como Sim, a assinatura será criada somente para os usuários do AD associados Azure.
    • Se o botão de alternância Atribuição obrigatória estiver definido como Não, a assinatura será criada para todos os usuários do AD Azure.

    O que Fazer Depois

    Revise todas as regras de recuperação geradas automaticamente para atender às suas especificações para recuperar assinaturas de usuário. Para obter mais informações, consulte Revisar uma regra de recuperação de software.

    Crie direitos de software para os modelos de software gerados automaticamente para rastrear o software usado em relação ao software de sua propriedade. Para obter mais informações sobre como criar direitos de software na aplicação clássica Gestão de ativos de software, consulte Criar direitos no clássico Gestão de ativos de software. Para obter mais informações sobre como criar direitos de software no Software Asset Workspace, consulte Criar direitos no espaço. Para obter mais informações sobre como criar direitos de software usando o Gestão de ativos de software Playbook, consulte Criar direitos usando o tutorial guiado.

    A reconciliação também é executada em suas assinaturas como um trabalho programado ou sob demanda. Você pode exibir os resultados da reconciliação no Workbench de licença (Gestão de ativos de software aplicação clássica) ou na exibição de uso de licença (Software Asset Workspace). Use esses resultados para determinar sua posição de conformidade de licença e para corrigir qualquer não conformidade. Para obter mais informações sobre como executar a reconciliação na aplicação clássica Gestão de ativos de software, consulte Executar reconciliação de software. Para obter mais informações sobre como executar a reconciliação no Software Asset Workspace, consulte Executar reconciliação de software no espaço de trabalho.