Azure AD との統合

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む11読むのに数分

    • インスタンスを ServiceNow Active Directory (AD) と Microsoft Azure 統合して、接続されているすべての SSO アプリケーションのソフトウェア使用状況を表示できます。

    Azure AD アプリケーションの作成

    と統合Now PlatformするアプリをポータルでMicrosoft Azure作成します。

    始める前に

    Azure AD 必要なロール:admin

    手順

    1. ポータルから Active Directory にアクセスしAzureますAzure
    2. Azure AD アプリケーションを作成します。
      アプリケーションの登録と構成の詳細な手順については、「 Azure Active Directory アプリケーションの作成 」を参照してください。
      1. [ リダイレクト URI ] フィールドに「 https://<instance-name>.service-now.com/oauth_redirect.do」と入力します。ここで <instance-name> はインスタンスの名前 ServiceNow です。
      2. サードパーティ OAuth プロバイダーとしてインスタンスでアプリを登録するには、アプリケーション (クライアント) ID とディレクトリ (テナント) ID を記録します ServiceNow
      3. サードパーティ OAuth プロバイダーとしてインスタンスでアプリを登録するため、クライアントシークレットを作成して値を記録します ServiceNow
      4. API にアクセスする Microsoft Graph ための権限を追加します。
        権限 タイプ
        AuditLog.Read.All 委任
        Directory.AccessAsUser.All 委任
        Directory.Read.All 委任
        User.Read 委任
        詳細については、「Web API にアクセスするための権限の追加」を参照してください。
      5. アプリケーションに管理者の同意を付与します。
        詳細については 、「API 権限と管理者の同意 UI について」を参照してください。

    Azure AD 統合プロファイルの作成

    Azureインスタンスに ServiceNow AD 統合プロファイルを作成します。

    始める前に

    AD 統合プロファイルを作成するにはAzureServiceNow Store から - SaaS ライセンス管理 プラグイン (com.sn_sam_saas_int) を要求しソフトウェア資産管理ます。

    ServiceNow 必要なロール:sam_integrator または admin

    このタスクについて

    注:
    統合のバージョン 7.0.0 ソフトウェア資産管理SaaS ライセンス管理 およびスポークのバージョン 3.1.0 Microsoft Azure AD 以降、ServiceNowインスタンスは作成する AD 統合プロファイルごとにAzure個別の Azure AD 接続を作成します。各接続は互いに独立して実行されるため、インスタンスは複数の独立した Azure AD 統合プロファイルをサポートできます。

    を使用しているSoftware Asset ワークスペース場合、統合コア UIプロファイルを作成するMicrosoft Azure ADオプションは無効です。

    手順

    1. 統合プロファイルに移動します。
      インターフェイスアクション
      コア UI
      1. 移動先 すべて > ソフトウェア資産 > SaaS ライセンス > SSO 統合プロファイル.
      2. [New (新規)] を選択します。
      3. [Microsoft Azure AD 統合プロファイル] を選択します。
      Software Asset Workspace
      1. 移動先 ライセンス操作 > ユーザー登録 > SSO 統合プロファイル.
      2. [New (新規)] を選択します。
      3. ドロップダウンリストから [Microsoft Azure AD 統合プロファイル ] を選択します。
      4. [続行] を選択します。
    2. [ 表示名 ] フィールドに、統合プロファイルの名前を入力します。

      残りのフィールドは、フォームを送信すると自動的に入力されます。

      注:
      SSO 統合は、ディレクトリ統合を使用して作成されます。ディレクトリ統合は、SSO ユーザーとグループのデータをプルします。既にディレクトリ統合を行っ Microsoft Azure AD ている場合、SSO 統合では既存のディレクトリ統合が使用されます。それ以外の場合は、 Microsoft Azure AD ディレクトリ統合が自動的に作成されます。
    3. [送信] をクリックします。
    4. [新しい接続 & 資格情報の作成] 関連リンクをクリックします。
      注:
      をインストールし Software Asset ワークスペースている場合は、[接続と資格情報] レコードを開き、[ 新しい接続と資格情報の作成 ] 関連リンクを選択します。
    5. フォームのフィールドに入力します。
      表 : 1. 接続と資格情報フォームを作成
      フィールド
      認証 URL https://login.microsoftonline.com/directory-id>/oauth2/v2.0/authorize、ここで<directory-id> はポータルの Azure ディレクトリ (テナント) ID です。
      トークン URL https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/token (ここで<directory-id> はポータルの Azure ディレクトリ (テナント) ID です。
      トークン URL の取り消し (Revoke token URL) https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/revoke、ここで<directory-id> はポータルの Azure ディレクトリ (テナント) ID です。
      OAuth クライアント ID ポータルで Azure 作成したアプリケーションのアプリケーション (クライアント) ID。
      OAuth クライアントシークレット ポータルで作成したアプリケーションのクライアントシークレット。Azure
      OAuth リダイレクト URL https://<instance-name>.service-now.com/oauth_redirect.do<instance-name> はインスタンスの名前 ServiceNow です。この値は、自動的に入力されます。
    6. [OAuth トークンを作成して取得] をクリックします。
    7. ポップアップ ウィンドウで、AD 管理者の資格情報を使用して Azure アカウントにサインインします。
    8. [公開] をクリックします。
      ジョブスケジュールとディレクトリジョブは、すべてのアプリケーション、ユーザー、およびグループのリストをダウンロードします。統合プロファイルの [ジョブスケジュールの結果] 関連リストと [ディレクトリジョブの結果] 関連リストで、ジョブのステータスを表示します。サブスクリプション製品定義 [samp_sw_subscription_product_definition] テーブルの識別子と一致する外部カタログ ID を持つアプリケーションに対して、ソフトウェアモデルが自動的に作成されます。

    タスクの結果

    統合プロファイルを公開してアプリケーションをプロファイルに接続すると、現在の日付の 60 日前まで個々のユーザーが実行したイベントを表示できます。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    SSO アプリを接続

    Single Sign-on (SSO) アプリを接続して、アプリへのアクセス権を持つすべてのユーザーとグループを表示します。ユーザーログインデータを追跡し、未使用のライセンスを再利用します。

    始める前に

    必要なロール:sam_integrator または admin

    このタスクについて

    注:
    Active Directory (Azure AD) の場合 Azure 、アプリケーション構成ページの [ アサインが必要 ] トグルボタンが、ユーザーによるアプリケーションのアクセスを制御します。
    • このトグル ボタンが [はい] に設定されている場合は、このアプリケーションを AD ユーザーおよび関連するアプリケーションとサービスに割り当てる Azure 必要があります。アプリケーションをアサインすると、 Azure AD ユーザー、関連付けられたアプリケーション、およびサービスがそのアプリケーションにアクセスできるようになります。
    • このトグル ボタンを いいえ に設定すると、すべてのユーザーがアプリケーションにログインできます。関連するアプリケーションやサービスも、このサービスへのアクセストークンを取得できます。

    SaaS ライセンス管理 は、一部のアプリケーションと直接統合できます。直接統合は、最も堅牢な使用状況データを提供します。利用可能な直接統合のリストについては、「」を参照してください SaaS アプリケーションとの統合。アプリの直接統合がある場合、SSO 統合で同じアプリを接続すると、インスタンスに ServiceNow 重複するサブスクリプションレコードが作成されます。SSO アプリを接続した後でそのアプリの直接統合を作成する場合は、直接統合を作成する前にアプリを切断します。

    手順

    1. 移動先 すべて > SaaS ライセンス > SSO アプリケーション.
    2. 接続するアプリケーションを選択します。
    3. [ソフトウェアモデル] フィールドが空の場合は、アプリのソフトウェアモデルを追加します。
      アプリを接続するには、その前にアプリにソフトウェアモデルが必要です。サブスクリプション製品定義 [samp_sw_subscription_product_definition] テーブルの識別子と一致する外部カタログ ID を持つアプリに対して、ソフトウェアモデルが自動的に作成されます。他のすべてのアプリについては、ソフトウェア モデルを手動で作成できます。詳細については、「クラシック版の ソフトウェア資産管理 ソフトウェアモデルの作成」を参照してください。
    4. [ 前回のアクティビティの分析元] フィールドの日付を選択します。

      個々のユーザーおよびアプリケーションのログインデータの分析を、現在の日付から開始するか、過去最大 60 日間から開始するかを選択できます。デフォルト値は 30 日です。過去の日付を選択すると、最近使用されていないサブスクリプションを表示できるため、リアルタイムで待機せずに古いサブスクリプションを検出できます。過去の日付を選択すると、分析されるデータ量が増えるため、結果を表示できるようになるまでに時間がかかる場合があります。

      [ 前回のアクティビティの分析元] フィールドに値を送信すると、フィールドは読み取り専用になります。

    5. [接続] を選択します。
      ヒント:
      SSO アプリケーションリストから複数のアプリを同時に接続することもできます。リストの左側にあるチェックボックスを使用してアプリを選択します。一覧の下部にある [ 選択した行のアクション ] ドロップダウン メニューを選択し、 [ 接続] を選択します。一部のアプリにソフトウェアモデルがない場合、[ 接続 ] アクションには、すべてのアプリが接続されていないことが示されます。たとえば、 Connect (1/4) は、選択した 4 つのアプリのうち 1 つだけが接続されていることを示します。残りのアプリを接続するためのソフトウェアモデルを追加します。

    タスクの結果

    SSO アプリケーションが接続されると、 ServiceNow インスタンスは毎日更新されるユーザー、グループ、サブスクリプション、および再利用ルールを自動的に作成します。
    • [ アサインが必要] トグルボタンが [はい] に設定されている場合、サブスクリプションは関連付けられ Azure た AD ユーザーに対してのみ作成されます。
    • [ 割り当てが必要] トグル ボタンが [いいえ] に設定されている場合、サブスクリプションはすべての Azure AD ユーザーに対して作成されます。

    次のタスク

    自動的に生成されたすべての再利用ルールをレビューして、ユーザーサブスクリプションを再利用するための仕様を満たします。詳細については、「ソフトウェア再利用ルールのレビュー」を参照してください。

    自動生成されたソフトウェアモデルのソフトウェアエンタイトルメントを作成して、使用されているソフトウェアと所有ソフトウェアの照合を追跡します。クラシック アプリケーションでの ソフトウェア資産管理 ソフトウェアエンタイトルメントの作成については、次を参照してください クラシック版での ソフトウェア資産管理 エンタイトルメントの作成。ソフトウェア資産ワークスペースでのソフトウェアエンタイトルメントの作成の詳細については、「」を参照してください ワークスペースでのエンタイトルメントの作成。Playbook を使用した ソフトウェア資産管理 ソフトウェアエンタイトルメントの作成の詳細については、「」を参照してください ガイド付きウォークスルーを使用してエンタイトルメントを作成します

    調整は、ジョブスケジュールとして、またはオンデマンドでサブスクリプションに対して実行することもできます。調整結果は、 ライセンスワークベンチ (ソフトウェア資産管理 クラシックアプリケーション) または ライセンス使用状況ビュー (ソフトウェア資産ワークスペース) で表示できます。これらの結果を使用して、ライセンスコンプライアンスの状況を判断し、コンプライアンス違反を修正します。クラシック・アプリケーションでの ソフトウェア資産管理 調整の実行の詳細については、「」を参照してください ソフトウェア調整の実行。ソフトウェア資産ワークスペースでの調整の実行の詳細については、次を参照してください ワークスペースでソフトウェアの調整を実行する