Integration in Azure AD

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 7 Minuten Lesedauer

    • Sie können Ihre Instanz [ ServiceNow mit Microsoft Azure Active Directory (AD) integrieren, um die Softwarenutzung für alle verbundenen SSO-Anwendungen anzuzeigen.

    Wichtig:
    Minimieren Sie Sicherheitsrisiken und schützen Sie Informationen, indem Sie nur den erforderlichen Anwender- oder API-Berechtigungen Zugriff gewähren.
    Tabelle : 1. Minimale Benutzerberechtigungen
    Prozess Erforderliche Anwenderrolle in der Anwendung Microsoft Azure AD Authentifizierungsbereiche
    • Anwender herunterladen
    • Gruppen herunterladen
    • Laden Sie Gruppenmitgliedschaften herunter
    		 Anwendungsentwickler Verzeichnis.Lesen.Alle
    Laden Sie Anwendungen herunter Anwendungsentwickler Verzeichnis.Lesen.Alle
    • Connect-Anwendungen
    • Aktualisieren Sie verbundene Anwendungen
    • Globaler Leser
    • Berichtleser
    • Sicherheit
    • Administrator
    • Sicherheitsoperator
    • Sicherheitsleser
    • Anwendungsentwickler
    • Audit-Protokoll.Lesen.Alle
    • Verzeichnis.Lesen.Alle

    Erstellen Sie eine Azure AD-Anwendung

    Erstellen Sie im -Portal Microsoft Azure eine App zur Integration mit Now Platform.

    Vorbereitungen

    Azure Erforderliche AD-Rolle: Weitere Informationen finden Sie in der Tabelle mit den minimalen Anwenderberechtigungen.

    Prozedur

    1. Greifen Sie im Portal [ Azure auf Azure Active Directory zu.
    2. Erstellen Sie eine Azure AD-Anwendung.
      Ausführliche Anweisungen zum Registrieren und Konfigurieren einer Anwendung finden Sie unter Azure Active Directory-Anwendung erstellen.
      1. Geben Sie im Feld Umleitungs-URIhttps:// ein.<instance-name> .service-now.com/oauth_redirect.do , wobei ist der Name Ihrer Instanz ServiceNow .
      2. Notieren Sie sich die Anwendungs-ID (Client) und die Verzeichnis-ID (Mandant), um die App als OAuth-Drittanbieter in Ihrer Instanz ServiceNow zu registrieren.
      3. Erstellen Sie einen geheimen Clientschlüssel, und zeichnen Sie den Wert auf, um die App als OAuth-Drittpartei in Ihrer Instanz ServiceNow zu registrieren.
      4. Fügen Sie Berechtigungen für den Zugriff auf die Microsoft Graph -API hinzu.
        Berechtigung Typ
        Audit-Protokoll.Lesen.Alle Delegiert
        Verzeichnis.ZugriffAlAnwender.Alle Delegiert
        Verzeichnis.Lesen.Alle Delegiert
        Anwender.Lesen Delegiert
        Weitere Informationen finden Sie unter Berechtigungen für den Zugriff auf Web-APIs hinzufügen.
      5. Erteilen Sie der Administratorzustimmung für Ihre Anwendung.
        Weitere Informationen finden Sie unter API-Berechtigungen und UI zur Administratoreinwilligung.

    Erstellen Sie ein Azure AD-Integrationsprofil

    Erstellen Sie ein Azure AD-Integrationsprofil in Ihrer Instanz ServiceNow.

    Vorbereitungen

    Um ein Azure AD-Integrationsprofil zu erstellen, fordern Sie das Plugin Software Asset Management - SaaS-Lizenzmanagement (com.sn_sam_saas_int) im ServiceNow Storean.

    ServiceNow Erforderliche Rolle: sam_integrator oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Ab Version 7.0.0 von Software Asset Management - SaaS-Lizenzmanagement und Version 3.1.0 der Microsoft Azure AD -Spoke erstellt Ihre Instanz ServiceNow eine separate Azure AD-Verbindung für jedes von Ihnen erstellte Azure AD-Integrationsprofil. Jede Verbindung wird unabhängig voneinander ausgeführt, sodass Ihre Instanz mehrere unabhängige Azure AD-Integrationsprofile unterstützen kann.

    Wenn Sie Software-Asset-Arbeitsbereichverwenden, ist die Option zum Erstellen des Integrationsprofils [ Microsoft Azure AD in Core-UI inaktiv.

    Prozedur

    1. Navigieren Sie zum -Integrationsprofil.
      SchnittstelleAktion
      Core-UI
      1. Navigieren zu Alle > Software Asset > SaaS-Lizenz > SSO-Integrationsprofile.
      2. Wählen Sie Neu.
      3. Wählen Sie Microsoft Azure AD-Integrationsprofil aus.
      Software-Asset-Arbeitsbereich
      1. Navigieren zu Lizenzvorgänge > Anwenderabonnements > SSO-Integrationsprofile.
      2. Wählen Sie Neu.
      3. Wählen Sie in der Dropdown-Liste Microsoft Azure AD-Integrationsprofil aus.
      4. Wählen Sie Fortsetzen aus.
    2. Geben Sie im Feld Anzeigename einen Namen für das Integrationsprofil ein.

      Die übrigen Felder werden automatisch ausgefüllt, wenn Sie das Formular absenden.

      Hinweis:
      Die SSO-Integration wird mithilfe einer Verzeichnisintegration erstellt. Die -Verzeichnisintegration ruft SSO-Anwendungen, -Benutzer und -Gruppendaten ab, die Ihren SSO-Integrationen zugeordnet sind. Weitere Informationen finden Sie unter SSO-Abonnementinformationen werden angezeigt.

      Wenn Sie bereits eine Verzeichnisintegration Microsoft Azure AD haben, verwendet die SSO-Integration Ihre vorhandene Verzeichnisintegration. Andernfalls wird automatisch eine Verzeichnisintegration Microsoft Azure AD erstellt.

    3. Wählen Sie Absenden.
    4. Wählen Sie den zugehörigen Link Neue Verbindung und Anmeldeinformationen erstellen aus.
      Hinweis:
      Wenn Sie Software-Asset-Arbeitsbereichinstalliert haben, öffnen Sie den Datensatz für Verbindungen und Anmeldeinformationen, und wählen Sie den zugehörigen Link Neue Verbindung und Anmeldeinformationen erstellen aus.
    5. Füllen Sie die Felder des Formulars aus.
      Tabelle : 2. Formular zum Erstellen von Verbindungen und Anmeldeinformationen
      Feld Wert
      Auth-URL https://login.microsoftonline.com/directory-id>/oauth2/v2.0/authorize , wobei<directory-id> ist die Verzeichnis-ID (Mandant) aus dem Portal Azure .
      Token-URL https://login.microsoftonline.com/<directory-id> /oauth2/v2.0/token , wobei ist die Verzeichnis-ID (Mandant) aus dem Portal Azure .
      Token-URL widerrufen https://login.microsoftonline.com/<directory-id> /oauth2/v2.0/revoke , wobei ist die Verzeichnis-ID (Mandant) aus dem Portal Azure .
      OAuth-Client-ID Anwendungs-ID (Client) für die Anwendung, die Sie im -Portal Azure erstellt haben.
      Geheimer OAuth-Schlüssel Geheimer Clientschlüssel für die Anwendung, die Sie im Portal Azure erstellt haben.
      OAuth-Umleitungs-URL https://<instance-name> .service-now.com/oauth_redirect.do , wobei ist der Name Ihrer Instanz ServiceNow . Dieser Wert wird automatisch ausgefüllt.
    6. Wählen Sie OAuth-Token erstellen und abrufen aus.
      Informationen zur Rolle, die zum Ausführen dieses Schritts erforderlich ist, finden Sie in der Tabelle mit minimalen Anwenderberechtigungen.
    7. Melden Sie sich im Popup-Fenster mit Azure AD-Administratoranmeldeinformationen an.
    8. Wählen Sie Veröffentlichen aus.
      Geplante Aufgaben und Verzeichnisaufgaben laden eine Liste aller Anwendungen, Benutzer und Gruppen herunter. Weitere Informationen finden Sie unter SSO-Abonnementinformationen werden angezeigt. Zeigen Sie den Status Ihrer Aufgaben in den zugehörigen Listen „Ergebnisse für geplante Aufgaben“ und „Ergebnisse für Verzeichnisaufträge“ des Integrationsprofils an. Softwaremodelle werden automatisch für Anwendungen mit einer externen Katalog-ID erstellt, die einem Bezeichner in der Tabelle „Abonnementproduktdefinitionen“ [samp_sw_subscription_product_definition] entspricht.

    Ergebnisse

    Nachdem Sie das Integrationsprofil veröffentlicht und Anwendungen mit dem Profil verbunden haben, können Sie Ereignisse anzeigen, die von einzelnen Benutzern bis zu 60 Tage vor dem aktuellen Datum durchgeführt wurden. Weitere Informationen finden Sie unter Überprüfen Sie eine Softwarereklamationsregel.

    Connect SSO-Apps

    Verbinden Sie eine Single Sign-on-App (SSO), um alle Benutzer und Gruppen mit Zugriff auf die App anzuzeigen. Verfolgen Sie die Anmeldedaten der Benutzer, und fordern Sie nicht verwendete Lizenzen zurück.

    Vorbereitungen

    Erforderliche Rolle: sam_integrator oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Für Azure Active Directory (Azure AD) steuert die Umschaltfläche Zuweisung erforderlich auf der Konfigurationsseite der Anwendung den Zugriff auf die Anwendung durch Benutzer.
    • Wenn diese Umschaltfläche auf Jafestgelegt ist, müssen Sie diese Anwendung den Azure AD-Anwendern und zugehörigen Anwendungen und Services zuweisen. Nachdem Sie die Anwendung zugewiesen haben, können Azure AD-Benutzer, zugehörige Anwendungen und Services darauf zugreifen.
    • Wenn diese Umschaltfläche auf Neinfestgelegt ist, können sich alle Benutzer bei der Anwendung anmelden. Die zugeordneten Anwendungen und Services können ebenfalls ein Zugriffstoken auf diesen Service erhalten.

    SaaS-Lizenzmanagement bietet direkte Integrationen mit ausgewählten Anwendungen. Direkte Integrationen bieten die robustesten Nutzungsdaten. Eine Liste der verfügbaren direkten Integrationen finden Sie unter Integrieren Sie in SaaS-Anwendungen. Wenn Sie eine direkte Integration für eine App haben, führt das Verbinden derselben App mit einer SSO-Integration zu doppelten Abonnementdatensätzen in Ihrer Instanz ServiceNow. Wenn Sie eine SSO-App verbinden und später eine direkte Integration für diese App erstellen möchten, trennen Sie die Verbindung der App, bevor Sie eine direkte Integration erstellen.

    Prozedur

    1. Navigieren zu Alle > SaaS-Lizenz > SSO-Anwendungen.
    2. Wählen Sie die Anwendung aus, mit der Sie eine Verbindung herstellen möchten.
    3. Wenn das Feld Softwaremodell leer ist, fügen Sie ein Softwaremodell für die App hinzu.
      Eine App muss ein Softwaremodell haben, bevor Sie eine Verbindung herstellen können. Softwaremodelle werden automatisch für Apps mit einer externen Katalog-ID erstellt, die einem Bezeichner in der Tabelle „Abonnementproduktdefinitionen“ [samp_sw_subscription_product_definition] entspricht. Für alle anderen Apps können Sie ein Softwaremodell manuell erstellen. Weitere Informationen finden Sie unter Erstellen Sie Softwaremodelle in Software Asset Management Classic.
    4. Wählen Sie ein Datum für das Feld Letzte Aktivität analysieren von aus.

      Sie können die Analyse der Anmeldedaten für einzelne Anwender und Anwendungen ab dem aktuellen Datum oder bis zu 60 Tage in der Vergangenheit beginnen. Der Standardwert beträgt 30 Tage. Wenn Sie ein Datum in der Vergangenheit auswählen, können Sie veraltete Abonnements erkennen, ohne in Echtzeit warten zu müssen, da Sie Abonnements sehen können, die in letzter Zeit nicht verwendet wurden. Da die Auswahl eines Datums in der Vergangenheit die Menge der zu analysierenden Daten erhöht, kann es länger dauern, bis Sie die Ergebnisse anzeigen können.

      Nachdem Sie einen Wert im Feld Letzte Aktivität analysieren von übermittelt haben, wird das Feld schreibgeschützt.

    5. Wählen Sie Verbinden.
      Tipp:
      Sie können auch mehrere Apps gleichzeitig über die Liste der SSO-Anwendungen verbinden. Wählen Sie die Apps mithilfe des Kontrollkästchens auf der linken Seite der Liste aus. Wählen Sie unten in der Liste das Dropdown-Menü Aktionen für ausgewählte Zeilen und dann Verbindenaus. Wenn einige Apps kein Softwaremodell haben, zeigt die Aktion Verbinden an, dass nicht alle Apps verbunden sind. Verbinden (1 von 4) zeigt beispielsweise, dass nur eine der vier ausgewählten Apps verbunden ist. Fügen Sie Softwaremodelle hinzu, um die verbleibenden Apps zu verbinden.

    Ergebnisse

    Nachdem die SSO-Anwendung hergestellt wurde, erstellt Ihre Instanz ServiceNow automatisch Benutzer, Gruppen, Abonnements und Reklamationsregeln, die täglich aktualisiert werden.
    • Wenn die Umschaltfläche Zuweisung erforderlich auf Jafestgelegt ist, wird das Abonnement nur für die zugehörigen Azure AD-Benutzer erstellt.
    • Wenn die Umschaltfläche Zuweisung erforderlich auf Neinfestgelegt ist, wird das Abonnement für alle Azure AD-Anwender erstellt.

    Nächste Maßnahme

    Überprüfen Sie alle automatisch generierten Reklamationsregeln, um ihre Spezifikationen für die Reklamation von Anwenderabonnements zu erfüllen. Weitere Informationen finden Sie unter Überprüfen Sie eine Softwarereklamationsregel.

    Erstellen Sie Softwareberechtigungen für die automatisch generierten Softwaremodelle, um verwendete Software im Vergleich zu eigener Software nachzuverfolgen. Weitere Informationen zum Erstellen von Softwareberechtigungen in der klassischen Anwendung [ Software Asset Management finden Sie unter Erstellen Sie Berechtigungen in Software Asset Management Classic. Weitere Informationen zum Erstellen von Softwareberechtigungen im Software-Asset-Arbeitsbereich finden Sie unter Erstellen Sie Berechtigungen im Arbeitsbereich. Weitere Informationen zum Erstellen von Softwareberechtigungen mit dem Playbook Software Asset Management finden Sie unter Erstellen Sie Berechtigungen mithilfe der geführten Tour.

    Der Abgleich wird für Ihre Abonnements auch als geplante Aufgabe oder bei Bedarf ausgeführt. Sie können Ihre Abgleichergebnisse in der Lizenz-Workbench (Software Asset Management klassische Anwendung) oder in der Ansicht Lizenznutzung (Software Asset Workspace) anzeigen. Verwenden Sie diese Ergebnisse, um Ihre Position bei der Lizenz-Compliance zu bestimmen und etwaige Nichteinhaltungen zu beheben. Weitere Informationen zum Ausführen des Abgleichs in der klassischen Anwendung [ Software Asset Management finden Sie unter Führen Sie einen Softwareabgleich aus. Weitere Informationen zum Ausführen des Abgleichs im Software-Asset-Arbeitsbereich finden Sie unter Führen Sie im -Arbeitsbereich einen Softwareabgleich aus.