Como integrar com Okta

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 10 min. de leitura

    • Você pode integrar sua instância [ ServiceNow com Okta para exibir o uso de software para todas as aplicações SSO conectadas.

    Importante:
    Minimize os riscos de segurança e proteja as informações concedendo acesso somente ao usuário ou às permissões de API necessárias.
    Tabela 1. Permissões mínimas do usuário
    Processo Função do usuário necessária na aplicação Okta Escopos de autenticação
    Baixar usuários Administrador somente leitura okta.users.read
    • Grupos de download
    • Baixar associações de grupo
    		 Administrador somente leitura okta.groups.read
    Baixar aplicações Administrador somente leitura
    • okta.apps.read
    • okta.logs.read
    Conectar aplicações Administrador somente leitura okta.logs.ler
    Atualizar aplicações conectadas Administrador somente leitura
    • okta.apps.read
    • okta.logs.ler
    Recuperar assinaturas Administrador de aplicações okta.apps.manage

    Criar uma aplicação Okta

    Crie uma aplicação Okta que você possa integrar com o Now Platform.

    Antes de Iniciar

    Okta Função necessária: consulte a tabela Permissões mínimas do usuário.

    Consulte Funções e permissões de administrador para obter mais detalhes sobre Okta funções de administrador e escopos e endpoints compatíveis para obter mais detalhes sobre Okta escopos do OAuth.

    Procedimento

    1. Em um navegador da Web, faça login no console do administrador do Okta.
    2. Crie uma aplicação Okta com a funcionalidade OAuth 2.0.

      Consulte Criação de um app OAuth 2.0 para Okta para obter instruções detalhadas.

      Lembre-se dos seguintes pontos ao criar sua aplicação Okta :
      • Nos campos URI de redirecionamento de login e URI de redirecionamento de logout, insira https://<instance-name> .service-now.com/oauth_redirect.do , em que <instance-name> é o nome da sua instância ServiceNow.
      • Copie os valores nos campos ID do cliente e Segredo do cliente. Salve-os em um local seguro para uso posterior.
      • Conceda os seguintes escopos à sua aplicação Okta OAuth 2.0:
        • okta.groups.read
        • okta.grupos.manage
        • okta.apps.read
        • okta.usuários.manage
        • okta.users.read
        • okta.logs.read
        • okta.apps.manage
      • Marque a caixa de seleção Atualizar token no tipo de concessão do cliente que atua em nome de um usuário no portal do Okta.

    Criar um perfil de integração Okta

    Crie um perfil de integração Okta em sua instância ServiceNow.

    Antes de Iniciar

    Para criar um perfil de integração Okta, solicite o plug-in Gestão de ativos de software - Gestão de licenças de SaaS (com.sn_sam_saas_int) na ServiceNow Store.

    ServiceNow Função necessária: sam_integrator ou administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    A partir da versão 7.0.0 do Gestão de ativos de software - Gestão de licenças de SaaS e da versão 4.1.2 do spoke Okta, sua instância ServiceNow cria uma conexão Okta separada para cada perfil de integração Okta criado. Cada conexão é executada independentemente uma da outra, o que permite que sua instância seja compatível com vários perfis de integração Okta independentes.

    Se você estiver usando Espaço para ativos de software, a opção para criar o perfil de integração [ Okta em IU principal estará inativa.

    Procedimento

    1. Navegue até o perfil de integração.
      InterfaceAção
      IU principal
      1. Navegar até Todos > Ativo de Software > Licença de SaaS > Perfis de integração SSO.
      2. Selecione Novo.
      3. Selecione Perfil de integração do Okta.
      Espaço de ativo do software
      1. Navegar até Operações de licença > Assinaturas de Usuário > Perfis de Integração SSO.
      2. Selecione Novo.
      3. Selecione Okta na lista suspensa.
      4. Selecione Continuar.
    2. No formulário, preencha os campos.
      Tabela 2. Formulário Perfil de integração do SSO
      Campo Descrição
      Nome de visualização Nome do perfil de integração. Por exemplo, Okta Integration.
      Status Status do perfil de integração.
      • Se você não publicou o perfil de integração, este campo será definido automaticamente como Rascunho.
      • Se você já publicou o perfil de integração, este campo será definido automaticamente como Publicado.
      Integração de diretórios Uma referência ao perfil de integração de diretório, que é usada para extrair usuários, grupos e associações de grupo do Active Directory de uma organização.
      • Se houver um registro de integração de diretório para Okta, você poderá selecionar o registro existente.
      • Se não existir um registro de integração de diretório para Okta, um novo registro será criado quando você salvar ou enviar este formulário.
      Tipo de perfil Tipo do perfil de integração.

      Este campo é definido automaticamente como Okta.
      Conexão e Credencial

      Referência ao alias de conexão e credencial usado no diretório e na integração do SSO.

      • Se houver um registro de integração de diretório e você selecioná-lo no campo de integração de diretório, este campo será definido automaticamente para o alias de conexão e credencial do registro de integração de diretório.
      • Se não existir um valor de integração de diretório, este campo será preenchido automaticamente.
      Criar assinaturas do Okta Opção para criar um perfil de integração direta para exibir assinaturas Okta após a publicação deste perfil de integração.

      Valor padrão: falso
    3. Selecione Enviar.
    4. Abra a caixa de diálogo Criar conexão e credencial.
      InterfaceAção
      IU principal Selecione o link relacionado Criar nova conexão e credencial no formulário de perfil de integração do SSO.
      Espaço de ativo do software
      1. Selecionar o ícone de visualização (ícone de visualização) ao lado do campo Conexão e credencial
      2. Selecione Abrir registro na visualização do registro.
      3. No formulário Aliases de conexão e credencial, selecione o link relacionado Criar nova conexão e credencial.
    5. Na caixa de diálogo, preencha os campos.
      Tabela 3. Caixa de diálogo Criar conexão e credencial
      Campo Descrição
      Nome O nome da conexão. Por exemplo, Okta Connection.
      URL de Conexão URL da conexão. Insira https://<yourOktaDomain>.com, em que <yourOktaDomain> é o domínio da sua organização.
      URL de Autorização URL do endpoint de autorização do OAuth. Insira https://<yourOktaDomain>.com/oauth2/v1/authorize, em que <yourOktaDomain> é o domínio da sua organização.
      URL de Token URL do endpoint OAuth que recupera e atualiza os tokens de acesso. Insira https://<yourOktaDomain>.com/oauth2/v1/token, em que <yourOktaDomain> é o domínio da sua organização.
      URL de revogação do token URL do endpoint OAuth que revoga tokens de acesso. Insira https://<yourOktaDomain>.com/oauth2/v1/revoke, em que <yourOktaDomain> é o domínio da sua organização.
      ID do cliente OAuth ID de cliente atribuído à sua aplicação Okta.
      Segredo do cliente OAuth Segredo do cliente atribuído à sua aplicação Okta.
      URL de redirecionamento do OAuth URL do provedor OAuth para o qual os usuários são redirecionados após a autenticação. Este campo é definido automaticamente como https://<instance-name> .service-now.com/oauth_redirect.do , em que <instance-name> é o nome da sua instância ServiceNow.
    6. Selecione Criar e obter um Token do OAuth.
      A caixa de diálogo de login do portal Okta é aberta.
    7. Na caixa de diálogo, insira suas Okta credenciais e selecione Entrar.
      Nota:
      Você deve entrar usando as mesmas credenciais das funções de Superadministrador, Administrador de aplicações ou Administrador de gestão de acesso de API.
      A caixa de diálogo é fechada e você retorna automaticamente ao formulário Perfil de integração do SSO.
    8. Selecione Publicar.

    Resultado

    Os trabalhos agendados e os trabalhos de diretório baixam uma lista de todas as aplicações, usuários, grupos e assinaturas de software associadas à sua aplicação Okta. Exiba o status do seu trabalho nas guias Resultados de trabalhos agendados e Resultados de trabalho do diretório do seu perfil de integração. Gestão de ativos de software cria automaticamente modelos de software para aplicações com um ID de catálogo externo que corresponde a um Identificador na tabela Definições de produto de assinatura [samp_sw_subscription_product-definition].

    O que Fazer Depois

    Se você marcou a caixa de seleção Criar assinaturas do Okta e este perfil de integração for publicado, um perfil de integração direta para Okta será criado. Você pode navegar até o perfil de integração direta selecionando o link Perfil de integração direta na mensagem informativa.

    Depois de navegar até o perfil de integração direta, você pode exibir Okta assinaturas selecionando a guia Assinaturas de software. Para obter mais informações, consulte Okta Perfil de integração direta do SSO.

    Aviso:

    Quando o token OAuth expira, o perfil de integração Okta exibe uma mensagem de erro indicando que você deve obter um novo token OAuth. Selecione o link na mensagem de erro para obter o novo token OAuth.

    Não exclua o registro de credencial do OAuth 2.0 que está associado ao registro de conexão do seu perfil de integração Okta. Se você excluir o registro de credencial do OAuth 2.0, não poderá obter um novo token OAuth depois que o token OAuth atual expirar.

    Depois de publicar o perfil de integração e conectar aplicações ao perfil, você pode exibir eventos realizados por usuários individuais até 60 dias antes da data atual. Para obter mais informações, consulte Revisar uma regra de recuperação de software.

    Okta Perfil de integração direta do SSO

    Okta O perfil de integração direta do SSO ajuda a gerenciar Okta licenças de usuário criando assinaturas para Okta usuários enquanto configura uma integração Okta do SSO.

    Tabela 4. Perfil de integração direta do OKTA SSO
    Campo Descrição
    Nome de visualização Nome do perfil de integração.
    Status Status do perfil de integração.

    Este campo é definido automaticamente como Publicado.
    Tipo de perfil Tipo de perfil de integração.

    Este campo é definido automaticamente como Assinatura do Okta.
    Baixar Subfluxo de Assinatura
    Subfluxo Este campo é definido automaticamente como Assinaturas de download do Okta.

    Conectar aplicações SSO

    Conecte uma aplicação SSO para monitorar todos os usuários e grupos que têm acesso a essa aplicação. Você também pode rastrear os dados de login do usuário e recuperar licenças não utilizadas.

    Antes de Iniciar

    ServiceNow Função necessária: sam_integrator ou administrador

    Por Que e Quando Desempenhar Esta Tarefa

    ServiceNow® Gestão de licenças de SaaS oferece integrações diretas com algumas aplicações. As integrações diretas fornecem os dados de uso mais abrangentes. Para obter uma lista de integrações diretas disponíveis, consulte Integrar com aplicações SaaS.

    Se você já criou uma integração direta para uma aplicação, conectar a mesma aplicação em uma integração SSO criará registros de assinatura duplicados em sua instância ServiceNow. Você só deve usar a integração direta. Se você conectar uma aplicação em uma integração SSO, mas posteriormente quiser criar uma integração direta para essa aplicação, desconecte a aplicação antes de criar a integração direta.

    Procedimento

    1. Navegar até Todos > Licença de SaaS > Aplicações de SSO.
    2. Selecione a aplicação que você deseja conectar.
    3. Se o campo Modelo de software estiver vazio, adicione um modelo de software para a aplicação.
      Antes de conectar uma aplicação, ela deve ser associada a um modelo de software. ServiceNow® Gestão de ativos de software cria automaticamente modelos de software para aplicações com um ID de catálogo externo que corresponde a um Identificador na tabela Definições de produto de assinatura [samp_sw_subscription_product_definition]. Para todas as outras aplicações, você pode criar um modelo de software manualmente. Para obter instruções detalhadas, consulte Criar modelos de software no Gestão de ativos de software clássico.
    4. Selecione a data a partir da qual você deseja analisar a última atividade no campo Analisar última atividade de.

      Você pode começar a analisar os dados de login de usuários e aplicações individuais a partir da data atual ou até 60 dias antes. O valor padrão é 30 dias. Se você selecionar uma data anterior à data atual, os resultados poderão demorar mais para aparecer devido à quantidade de dados que você deseja analisar.

      Depois de enviar um valor no campo Analisar última atividade de, o campo se torna somente leitura.

    5. Selecione Conectar.
      Dica:
      Para conectar várias aplicações simultaneamente, marque a caixa de seleção de cada aplicação que você deseja conectar na lista Aplicações SSO. Selecione as Ações no menu de linhas selecionadas e escolha Conectar. Se alguma aplicação não estiver associada a um modelo de software, o nome do item de menu Conectar será atualizado para indicar que somente algumas das aplicações serão conectadas. Por exemplo, um item de menu Conectar (1 de 4) indica que somente 1 dos quatro aplicativos selecionados será conectado. Adicione modelos de software às aplicações restantes para prosseguir com as conexões.

    O que Fazer Depois

    Depois que a aplicação SSO se conecta, sua instância ServiceNow cria automaticamente usuários, grupos, assinaturas e regras de recuperação que são atualizadas diariamente. Se você excluir um usuário, aplicação, grupo ou associação de grupo do Okta Developer Console, as mudanças serão refletidas em sua instância ServiceNow.

    Revise todas as regras de recuperação geradas automaticamente para garantir que elas atendam às especificações de recuperação de assinaturas de usuário. Para obter mais informações, consulte Revisar uma regra de recuperação de software.

    Crie direitos de software para os modelos de software gerados automaticamente para rastrear o software usado em relação ao software de propriedade. Para obter mais informações sobre como criar direitos de software na aplicação clássica Gestão de ativos de software, consulte Criar direitos no Gestão de ativos de software clássico. Para obter mais informações sobre como criar direitos de software no Software Asset Workspace, consulte Criar direitos no espaço. Para obter mais informações sobre como criar direitos de software usando o Gestão de ativos de software Playbook, consulte Criar direitos usando o tutorial guiado.

    A reconciliação também é executada em suas assinaturas como um trabalho agendado ou sob demanda. Você pode exibir os resultados da reconciliação no Workbench de licenças (Gestão de ativos de software aplicação clássica) ou na exibição de uso de licença (Software Asset Workspace). Use esses resultados para determinar sua posição de conformidade de licença e corrigir qualquer não conformidade. Para obter mais informações sobre como executar a reconciliação na aplicação clássica Gestão de ativos de software, consulte Executar reconciliação de software. Para obter mais informações sobre como executar a reconciliação no Software Asset Workspace, consulte Executar reconciliação de software no espaço.