Integração com Microsoft Entra ID

  • Versão de lançamento: Yokohama
  • Atualizado 18 de fev. de 2025
  • 10 min. de leitura

    • Você pode integrar sua instância ServiceNow com Microsoft Entra ID para exibir o uso de software para todas as aplicações SSO conectadas.

    Importante:
    Minimize os riscos de segurança e proteja as informações concedendo acesso somente ao usuário ou às permissões de API necessárias.
    Tabela 1. Permissões mínimas do usuário
    Processo Função do usuário necessária na aplicação Microsoft Entra ID Escopos de autenticação
    • Baixar usuários
    • Grupos de download
    • Baixar associações de grupo
    		 Desenvolvedor de aplicações
    • User.Read.All
    • MembroDoGrupo.Leitura.Todos
    • Aplicação.Ler.Todos
    Baixar aplicações Desenvolvedor de aplicações
    • User.Read.All
    • MembroDoGrupo.Leitura.Todos
    • Aplicação.Ler.Todos
    • Conectar aplicações
    • Atualizar aplicações conectadas
    • Leitor global/Leitor de relatórios/Segurança/Administrador/Operador de segurança/Leitor de segurança
    • Desenvolvedor de aplicações
    • AuditLog.Read.All
    • User.Read.All
    • MembroDoGrupo.Leitura.Todos
    • Aplicação.Ler.Todos
    Recuperar assinaturas Administrador de usuário Usuário.LeituraGravação.Todos

    Criar uma aplicação Microsoft Entra ID

    Crie um aplicativo no portal Microsoft Entra ID para integrar com o Now Platform.

    Antes de Iniciar

    Microsoft Entra ID Função necessária: consulte a tabela Permissão mínima de usuários.

    Procedimento

    1. No portal Azure, acesse Microsoft Entra ID.
    2. Crie uma aplicação Microsoft Entra ID.
      Confira Crie um Microsoft Entra ID aplicação para obter instruções detalhadas sobre como registrar e configurar uma aplicação.
      1. No campo Redirecionar URI , insira https://<instance-name> .service-now.com/oauth_redirect.do , em que é o nome da sua instância ServiceNow .
      2. Registre a ID da aplicação (cliente) e a ID do diretório (locatário) para registrar a aplicação como um provedor OAuth de terceiros em sua instância ServiceNow.
      3. Crie um segredo do cliente e registre o valor para registrar o app como um provedor OAuth de terceiros em sua instância ServiceNow.
      4. Adicione permissões para acessar a API Microsoft Graph.
        Permissão Tipo
        AuditLog.Read.All Delegado
        User.Read.All Delegado
        Usuário.LeituraGravação.Todos Delegado
        MembroDoGrupo.Leitura.Todos Delegado
        Aplicação.Ler.Todos Delegado
        Consulte Adicionar permissões para acessar APIs da web para obter mais informações.
      5. Conceda consentimento de administrador para sua aplicação.
        Consulte Noções básicas sobre permissões de API e IU de consentimento do administrador para obter mais informações.

    Criação do perfil de Integração Microsoft Entra ID

    Crie um perfil de integração Microsoft Entra ID em sua instância ServiceNow.

    Antes de Iniciar

    Para criar um perfil de integração Microsoft Entra ID, solicite o plug-in Gestão de ativos de software - Gestão de licenças de SaaS (sn_sam_saas_int) na ServiceNow Store.

    ServiceNow Função necessária: sam_integrator ou administrador

    Importante:
    Você deve marcar a caixa de seleção Spoke do Microsoft Entra ID para esta integração ao instalar recursos opcionais na página Application Manager. Para obter mais informações sobre como escolher as aplicações SaaS necessárias, consulte Solicitação Gestão de licenças de SaaS.

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    A partir da versão 7.0.0 do Gestão de ativos de software - Gestão de licenças de SaaS e da versão 3.1.0 do spoke Microsoft Entra ID, sua instância ServiceNow cria uma conexão separada do Entra ID para cada perfil de integração Microsoft Entra ID que você cria. Cada conexão é executada independentemente uma da outra, permitindo que sua instância seja compatível com vários perfis de integração Microsoft Entra ID independentes.

    Se você estiver usando Espaço para ativos de software, a opção para criar o perfil de integração Microsoft Entra ID em IU principal estará inativa.

    Procedimento

    1. Navegue até o perfil de integração.
      InterfaceAção
      IU principal
      1. Navegar até Tudo > Ativo de Software > Licença de SaaS > Perfis de integração SSO.
      2. Selecione Novo.
      3. Selecione Perfil de integração do Microsoft Entra ID.
      Espaço de ativo do software
      1. Navegar até Operações de licença > Assinaturas de Usuário > Perfis de Integração SSO.
      2. Selecione Novo.
      3. Selecione Perfil de integração do Microsoft Entra ID na lista suspensa.
      4. Selecione Continuar.
    2. No campo Nome de exibição, insira um nome para o perfil de integração.

      Os campos restantes são preenchidos automaticamente quando você envia o formulário.

      Nota:
      A integração do SSO é criada usando uma integração de diretório. A integração de diretório extrai aplicações SSO, usuários e dados de grupo que estão associados às suas integrações de SSO. Para obter mais informações, consulte Exibição de informações de assinatura do SSO.

      Se você já tiver uma integração de diretório Microsoft Entra ID, a integração do SSO usará a integração de diretório existente. Caso contrário, uma integração de diretório Microsoft Entra ID será criada automaticamente.

    3. Na seção Configuração de processo, exiba as funções de usuário necessárias ou as permissões de API para minimizar os riscos de segurança e otimizar SaaS licenças.
      Nota:
      Para obter mais informações sobre as funções e os escopos necessários, consulte Tabela de permissões mínimas do usuário.

      • A caixa de seleção Baixar aplicações, usuários e grupos está marcada por padrão e você não pode desmarcá-la.

      • A caixa de seleção Baixar atividade está marcada por padrão. Se você desmarcar,a última atividade das aplicações conectadas não será extraída.

      • A caixa de seleção Recuperar assinaturas está marcada por padrão. Se você não quiser recuperar assinaturas, poderá desmarcar esta caixa de seleção. Se você desmarcar, os candidatos a remoção serão criados, mas o subfluxo de assinatura de recuperação não será acionado ou o processo de recuperação não será iniciado.

    4. Selecione Enviar.
      O campo Conexão e credencial é exibido.
    5. Selecione o link relacionado Criar nova conexão e credencial.
      Nota:
      Se você instalou Espaço para ativos de software, abra o registro de conexão e credencial e selecione o link relacionado Criar nova conexão e credencial.
    6. No formulário, preencha os campos.
      Tabela 2. Formulário Criar Conexão e Credencial
      Campo Valor
      URL de autenticação https://login.microsoftonline.com/<directory-id> /oauth2/v2.0/authorize , em que é o ID do diretório (locatário) do portal Azure .
      URL de Token https://login.microsoftonline.com/<directory-id> /oauth2/v2.0/token , em que é o ID do diretório (locatário) do portal Azure .
      Revogar URL do token https://login.microsoftonline.com/<directory-id> /oauth2/v2.0/revoke , em que é o ID do diretório (locatário) do portal Azure .
      ID do cliente do OAuth ID da aplicação (cliente) para a aplicação que você criou no portal Azure.
      Segredo do cliente do OAuth Segredo do cliente da aplicação que você criou no portal Azure.
      URL de redirecionamento do OAuth https://<instance-name> .service-now.com/oauth_redirect.do , em que é o nome da sua instância ServiceNow . Este valor é preenchido automaticamente.
    7. Selecione Criar e obter um Token do OAuth.
      Você será redirecionado para o portal Azure. Para a função necessária para executar esta etapa, consulte a tabela Permissão mínima de usuários.
    8. Na janela pop-up, entre na sua conta com Microsoft Entra ID credenciais de administrador.
    9. No formulário de perfil de integração, selecione Validar conexão para verificar os detalhes de conexão e credencial desta integração.
    10. Depois que a conexão for verificada, selecione Publicar.
    11. Na caixa de diálogo Confirmação de publicação, selecione OK.
      Se você desmarcar a caixa de seleção Atividade de download após a publicação do perfil de integração, deverá revalidar as conexões porque os seguintes eventos ocorrem:
      • O botão Validar conexão aparece no formulário.
      • A última atividade dos usuários das aplicações conectadas não é mais extraída.
      Trabalhos agendados e trabalhos de diretório baixam uma lista de todas as suas aplicações, usuários e grupos. Para obter mais informações, consulte Exibição de informações de assinatura do SSO. Exiba o status de seus trabalhos nas listas relacionadas Resultados de trabalhos agendados e Resultados de trabalhos do diretório do perfil de integração. Os modelos de software são criados automaticamente para aplicações com um ID de catálogo externo que corresponde a um identificador na tabela Definições de produto de assinatura [samp_sw_subscription_product_definition].

    Resultado

    Depois de publicar o perfil de integração e conectar aplicações ao perfil, você pode exibir eventos realizados por usuários individuais até 60 dias antes da data atual. Para obter mais informações, consulte Revisar uma regra de recuperação de software.

    Conectar apps SSO

    Conecte um aplicativo de Single Sign-On (SSO) para exibir todos os usuários e grupos com acesso ao aplicativo. Rastreie os dados de login do usuário e recupere licenças não utilizadas.

    Antes de Iniciar

    Função necessária: sam_integrator ou administrador

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    Para Microsoft Entra ID, o botão de alternância Atribuição necessária na página de configuração da aplicação controla o acesso dos usuários à aplicação.
    • Se este botão de alternância estiver definido como Sim, você deverá atribuir esta aplicação aos Microsoft Entra ID usuários e aplicações e serviços relacionados. Depois de atribuir a aplicação, Microsoft Entra ID usuários, aplicações associadas e serviços podem acessá-la.
    • Se este botão de alternância estiver definido como Não, todos os usuários poderão fazer login na aplicação. As aplicações e serviços associados também podem obter um token de acesso a este serviço.

    Gestão de licenças de SaaS oferece integrações diretas com aplicações selecionadas. As integrações diretas fornecem os dados de uso mais robustos. Para obter uma lista de integrações diretas disponíveis, consulte Integrar com aplicações SaaS. Se você tiver uma integração direta para um app, conectar o mesmo app em uma integração SSO criará registros de assinatura duplicados em sua instância ServiceNow. Se você conectar um aplicativo SSO e posteriormente decidir criar uma integração direta para esse aplicativo, desconecte o aplicativo antes de criar uma integração direta.

    Nota:
    Se você estiver usando Espaço para ativos de software, a opção para navegar até a aplicação SSO no IU principal estará inativa.

    Procedimento

    1. Navegue até a aplicação.
      InterfaceAção
      IU principal Navegar até Tudo > Ativo de Software > Licença de SaaS > Aplicações de SSO.
      Espaço de ativo do software Navegar até Operações de licença > Assinaturas de Usuário > Perfis de Integração SSO.
    2. Selecione a aplicação que você deseja conectar.
      Para Espaço para ativos de software, selecione a guia Aplicações SSO.
    3. Se o campo Modelo de software estiver vazio, adicione um modelo de software para o aplicativo.
      Um app deve ter um modelo de software antes que você possa conectá-lo. Os modelos de software são criados automaticamente para apps com um ID de catálogo externo que corresponde a um identificador na tabela Definições de produto de assinatura [samp_sw_subscription_product_definition]. Para todos os outros apps, você pode criar um modelo de software manualmente. Para obter mais informações, consulte Criar modelos de software no Gestão de ativos de software clássico.
    4. Selecione uma data para o campo Analisar última atividade de.

      Você pode optar por começar a analisar os dados de login de usuários e aplicações individuais a partir da data atual ou de até 60 dias no passado. O valor padrão é 30 dias. Escolher uma data no passado permite detectar assinaturas obsoletas sem esperar em tempo real porque você pode ver assinaturas que não foram usadas recentemente. Como escolher uma data no passado aumenta a quantidade de dados analisados, pode levar mais tempo para você conseguir exibir os resultados.

    5. Selecione Save (Salvar).
    6. Selecione Conectar.
      Dica:
      Você também pode conectar vários aplicativos simultaneamente na lista Aplicações SSO.

      Na interface IU principal, selecione os aplicativos usando a caixa de seleção no lado esquerdo da lista. Na parte inferior da lista, selecione o menu suspenso Ações nas linhas selecionadas e escolha Conectar. Se alguns apps não tiverem um modelo de software, a ação Conectar mostrará que nem todos os apps estão conectados. Por exemplo, Conectar (1 de 4) mostra que apenas 1 dos quatro apps selecionados está conectado. Adicione modelos de software para conectar os aplicativos restantes.

    Resultado

    Depois que a aplicação SSO se conecta, sua instância ServiceNow cria automaticamente usuários, grupos, assinaturas e regras de recuperação que são atualizadas diariamente.
    • Se o botão de alternância Atribuição necessária estiver definido como Sim, a assinatura será criada somente para os usuários Microsoft Entra ID associados.
    • Se o botão de alternância Atribuição necessária estiver definido como Não, a assinatura será criada para todos os usuários Microsoft Entra ID.

    O que Fazer Depois

    Revise todas as regras de recuperação geradas automaticamente para atender às suas especificações de recuperação de assinaturas de usuário. Para obter mais informações, consulte Revisar uma regra de recuperação de software.

    Crie direitos de software para os modelos de software gerados automaticamente para rastrear o software usado em relação ao software de propriedade. Para obter mais informações sobre como criar direitos de software na aplicação clássica Gestão de ativos de software, consulte Criar direitos no Gestão de ativos de software clássico. Para obter mais informações sobre como criar direitos de software no Software Asset Workspace, consulte Criar direitos no espaço. Para obter mais informações sobre como criar direitos de software usando o Gestão de ativos de software Playbook, consulte Criar direitos usando o tutorial guiado.

    A reconciliação também é executada em suas assinaturas como um trabalho agendado ou sob demanda. Você pode exibir os resultados da reconciliação no Workbench de licenças (Gestão de ativos de software aplicação clássica) ou na exibição de uso de licença (Software Asset Workspace). Use esses resultados para determinar sua posição de conformidade de licença e corrigir qualquer não conformidade. Para obter mais informações sobre como executar a reconciliação na aplicação clássica Gestão de ativos de software, consulte Executar reconciliação de software no Gestão de ativos de software clássico. Para obter mais informações sobre como executar a reconciliação no Software Asset Workspace, consulte Executar reconciliação de software no espaço.