Integração com o Azure AD

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 8 min. de leitura

    • Você pode integrar sua instância [ ServiceNow com o Microsoft Azure Active Directory (AD) para exibir o uso de software para todas as aplicações SSO conectadas.

    Importante:
    Minimize os riscos de segurança e proteja as informações concedendo acesso somente ao usuário ou às permissões de API necessárias.
    Tabela 1. Permissões mínimas do usuário
    Processo Função de usuário necessária na aplicação Microsoft Azure do AD Escopos de autenticação
    • Baixar usuários
    • Grupos de download
    • Baixar associações de grupo
    		 Desenvolvedor de aplicações Directory.Read.All
    Baixar aplicações Desenvolvedor de aplicações Directory.Read.All
    • Conectar aplicações
    • Atualizar aplicações conectadas
    • Leitor global
    • Leitor de relatórios
    • Segurança
    • Administrador
    • Operador de segurança
    • Leitor de segurança
    • Desenvolvedor de aplicações
    • AuditLog.Read.All
    • Directory.Read.All

    Criar uma aplicação do AD Azure

    Crie um aplicativo no portal Microsoft Azure para integrar com o Now Platform.

    Antes de Iniciar

    Azure Função do AD necessária: consulte a tabela Permissão mínima de usuários.

    Procedimento

    1. No portal Azure, acesse o Azure Active Directory.
    2. Crie uma aplicação do AD Azure.
      Consulte Criar uma aplicação do Azure Active Directory para obter instruções detalhadas sobre como registrar e configurar uma aplicação.
      1. No campo Redirecionar URI , insira https://<instance-name> .service-now.com/oauth_redirect.do , em que é o nome da sua instância ServiceNow .
      2. Registre a ID da aplicação (cliente) e a ID do diretório (locatário) para registrar a aplicação como um provedor OAuth de terceiros em sua instância ServiceNow.
      3. Crie um segredo do cliente e registre o valor para registrar o app como um provedor OAuth de terceiros em sua instância ServiceNow.
      4. Adicione permissões para acessar a API Microsoft Graph.
        Permissão Tipo
        AuditLog.Read.All Delegado
        Directory.AccessAsUser.All Delegado
        Directory.Read.All Delegado
        User.Read Delegado
        Consulte Adicionar permissões para acessar APIs da web para obter mais informações.
      5. Conceda consentimento de administrador para sua aplicação.
        Consulte Noções básicas sobre permissões de API e IU de consentimento do administrador para obter mais informações.

    Criar um Azure perfil de integração do AD

    Crie um Azure perfil de integração do AD em sua instância ServiceNow.

    Antes de Iniciar

    Para criar um Azure perfil de integração do AD, solicite o plug-in Gestão de ativos de software - Gestão de licenças de SaaS (com.sn_sam_saas_int) na ServiceNow Store.

    ServiceNow Função necessária: sam_integrator ou administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    A partir da versão 7.0.0 do Gestão de ativos de software - Gestão de licenças de SaaS e da versão 3.1.0 do spoke Microsoft Azure AD, sua instância ServiceNow cria uma conexão Azure do AD separada para cada perfil de integração do Azure AD criado. Cada conexão é executada independentemente uma da outra, permitindo que sua instância ofereça suporte a vários perfis de integração do AD independentes Azure.

    Se você estiver usando Espaço para ativos de software, a opção para criar o perfil de integração [ Microsoft Azure AD em IU principal estará inativa.

    Procedimento

    1. Navegue até o perfil de integração.
      InterfaceAção
      IU principal
      1. Navegar até Todos > Ativo de Software > Licença de SaaS > Perfis de integração SSO.
      2. Selecione Novo.
      3. Selecione Perfil de integração do Microsoft Azure AD.
      Espaço de ativo do software
      1. Navegar até Operações de licença > Assinaturas de Usuário > Perfis de Integração SSO.
      2. Selecione Novo.
      3. Selecione o perfil de integração do Microsoft Azure AD na lista suspensa.
      4. Selecione Continuar.
    2. No campo Nome de exibição, insira um nome para o perfil de integração.

      Os campos restantes são preenchidos automaticamente quando você envia o formulário.

      Nota:
      A integração do SSO é criada usando uma integração de diretório. A integração de diretório extrai aplicações SSO, usuários e dados de grupo que estão associados às suas integrações de SSO. Para obter mais informações, consulte Exibição de informações de assinatura do SSO.

      Se você já tiver uma integração de diretório Microsoft Azure AD, a integração do SSO usará a integração de diretório existente. Caso contrário, uma integração de diretório Microsoft Azure AD será criada automaticamente.

    3. Selecione Enviar.
    4. Selecione o link relacionado Criar nova conexão e credencial.
      Nota:
      Se você instalou Espaço para ativos de software, abra o registro de conexão e credencial e selecione o link relacionado Criar nova conexão e credencial.
    5. No formulário, preencha os campos.
      Tabela 2. Formulário Criar Conexão e Credencial
      Campo Valor
      URL de autenticação https://login.microsoftonline.com/directory-id>/oauth2/v2.0/authorize , em que<directory-id> é o ID do diretório (locatário) do portal Azure .
      URL de Token https://login.microsoftonline.com/<directory-id> /oauth2/v2.0/token , em que é o ID do diretório (locatário) do portal Azure .
      Revogar URL do token https://login.microsoftonline.com/<directory-id> /oauth2/v2.0/revoke , em que é o ID do diretório (locatário) do portal Azure .
      ID do cliente OAuth ID da aplicação (cliente) para a aplicação que você criou no portal Azure.
      Segredo do cliente OAuth Segredo do cliente da aplicação que você criou no portal Azure.
      URL de redirecionamento do OAuth https://<instance-name> .service-now.com/oauth_redirect.do , em que é o nome da sua instância ServiceNow . Este valor é preenchido automaticamente.
    6. Selecione Criar e obter um Token do OAuth.
      Para a função necessária para executar esta etapa, consulte a tabela Permissão mínima de usuários.
    7. Na janela pop-up, entre na sua conta com Azure credenciais de administrador do AD.
    8. Selecione Publicar.
      Trabalhos agendados e trabalhos de diretório baixam uma lista de todas as suas aplicações, usuários e grupos. Para obter mais informações, consulte Exibição de informações de assinatura do SSO. Exiba o status de seus trabalhos nas listas relacionadas Resultados de trabalhos agendados e Resultados de trabalhos do diretório do perfil de integração. Os modelos de software são criados automaticamente para aplicações com um ID de catálogo externo que corresponde a um identificador na tabela Definições de produto de assinatura [samp_sw_subscription_product_definition].

    Resultado

    Depois de publicar o perfil de integração e conectar aplicações ao perfil, você pode exibir eventos realizados por usuários individuais até 60 dias antes da data atual. Para obter mais informações, consulte Revisar uma regra de recuperação de software.

    Conectar apps SSO

    Conecte um aplicativo de Single Sign-On (SSO) para exibir todos os usuários e grupos com acesso ao aplicativo. Rastreie os dados de login do usuário e recupere licenças não utilizadas.

    Antes de Iniciar

    Função necessária: sam_integrator ou administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    Para Azure Active Directory (Azure AD), o botão de alternância Atribuição necessária na página de configuração da aplicação controla o acesso dos usuários à aplicação.
    • Se este botão de alternância estiver definido como Sim, você deverá atribuir esta aplicação aos Azure usuários do AD e aplicações e serviços relacionados. Depois de atribuir a aplicação, Azure usuários do AD, aplicações associadas e serviços podem acessá-la.
    • Se este botão de alternância estiver definido como Não, todos os usuários poderão fazer login na aplicação. As aplicações e serviços associados também podem obter um token de acesso a este serviço.

    Gestão de licenças de SaaS oferece integrações diretas com aplicações selecionadas. As integrações diretas fornecem os dados de uso mais robustos. Para obter uma lista de integrações diretas disponíveis, consulte Integrar com aplicações SaaS. Se você tiver uma integração direta para um app, conectar o mesmo app em uma integração SSO criará registros de assinatura duplicados em sua instância ServiceNow. Se você conectar um aplicativo SSO e posteriormente decidir criar uma integração direta para esse aplicativo, desconecte o aplicativo antes de criar uma integração direta.

    Procedimento

    1. Navegar até Todos > Licença de SaaS > Aplicações de SSO.
    2. Selecione a aplicação que você deseja conectar.
    3. Se o campo Modelo de software estiver vazio, adicione um modelo de software para o app.
      Um app deve ter um modelo de software antes que você possa conectá-lo. Os modelos de software são criados automaticamente para apps com um ID de catálogo externo que corresponde a um identificador na tabela Definições de produto de assinatura [samp_sw_subscription_product_definition]. Para todos os outros apps, você pode criar um modelo de software manualmente. Para obter mais informações, consulte Criar modelos de software no Gestão de ativos de software clássico.
    4. Selecione uma data para o campo Analisar última atividade de.

      Você pode optar por começar a analisar os dados de login de usuários e aplicações individuais a partir da data atual ou de até 60 dias no passado. O valor padrão é 30 dias. Escolher uma data no passado permite detectar assinaturas obsoletas sem esperar em tempo real porque você pode ver assinaturas que não foram usadas recentemente. Como escolher uma data no passado aumenta a quantidade de dados analisados, pode levar mais tempo para você conseguir exibir os resultados.

      Depois de enviar um valor no campo Analisar última atividade de, o campo se torna somente leitura.

    5. Selecione Conectar.
      Dica:
      Você também pode conectar vários aplicativos simultaneamente na lista Aplicações SSO. Selecione os apps usando a caixa de seleção no lado esquerdo da lista. Na parte inferior da lista, selecione o menu suspenso Ações nas linhas selecionadas e escolha Conectar. Se alguns apps não tiverem um modelo de software, a ação Conectar mostrará que nem todos os apps estão conectados. Por exemplo, Conectar (1 de 4) mostra que apenas 1 dos quatro apps selecionados está conectado. Adicione modelos de software para conectar os aplicativos restantes.

    Resultado

    Depois que a aplicação SSO se conecta, sua instância ServiceNow cria automaticamente usuários, grupos, assinaturas e regras de recuperação que são atualizadas diariamente.
    • Se o botão de alternância Atribuição necessária estiver definido como Sim, a assinatura será criada somente para os usuários do AD Azure associados.
    • Se o botão de alternância Atribuição necessária estiver definido como Não, a assinatura será criada para todos os Azure usuários do AD.

    O que Fazer Depois

    Revise todas as regras de recuperação geradas automaticamente para atender às suas especificações de recuperação de assinaturas de usuário. Para obter mais informações, consulte Revisar uma regra de recuperação de software.

    Crie direitos de software para os modelos de software gerados automaticamente para rastrear o software usado em relação ao software de propriedade. Para obter mais informações sobre como criar direitos de software na aplicação clássica Gestão de ativos de software, consulte Criar direitos no Gestão de ativos de software clássico. Para obter mais informações sobre como criar direitos de software no Software Asset Workspace, consulte Criar direitos no espaço. Para obter mais informações sobre como criar direitos de software usando o Gestão de ativos de software Playbook, consulte Criar direitos usando o tutorial guiado.

    A reconciliação também é executada em suas assinaturas como um trabalho agendado ou sob demanda. Você pode exibir os resultados da reconciliação no Workbench de licenças (Gestão de ativos de software aplicação clássica) ou na exibição de uso de licença (Software Asset Workspace). Use esses resultados para determinar sua posição de conformidade de licença e corrigir qualquer não conformidade. Para obter mais informações sobre como executar a reconciliação na aplicação clássica Gestão de ativos de software, consulte Executar reconciliação de software. Para obter mais informações sobre como executar a reconciliação no Software Asset Workspace, consulte Executar reconciliação de software no espaço.