Intégration à Azure AD

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 8 minutes de lecture

    • Vous pouvez intégrer votre ServiceNow instance à Microsoft Azure Active Directory (AD) pour afficher l’utilisation du logiciel pour toutes les applications SSO connectées.

    Créer une Azure application AD

    Créez une application dans le Microsoft Azure portail à intégrer à .Now Platform

    Avant de commencer

    Azure AD Rôle requis : admin

    Procédure

    1. Azure À partir du portail, accédez à Azure Active Directory.
    2. Créez une Azure application AD.
      Consultez Créer une application Azure Active Directory pour obtenir des instructions détaillées sur l’inscription et la configuration d’une application.
      1. Dans le champ URI de redirection , entrez https://<instance-name>.service-now.com/oauth_redirect.do, où <instance-name> correspond au nom de votre ServiceNow instance.
      2. Enregistrez l’ID (client) de l’application et l’ID (locataire) du répertoire pour enregistrer l’application en tant que fournisseur OAuth tiers sur votre ServiceNow instance.
      3. Créez un secret client et enregistrez la valeur pour inscrire l’application en tant que fournisseur OAuth tiers sur votre ServiceNow instance.
      4. Ajoutez des autorisations pour accéder à l’API Microsoft Graph .
        Autorisation Type
        JournalAudit.Lecture.Tout Délégué
        Répertoire.AccèsAsUtilisateur.Tout Délégué
        Répertoire.Lecture.Tout Délégué
        Utilisateur.Lecture Délégué
        Pour plus d’informations, consultez Ajouter des autorisations pour accéder aux API Web .
      5. Accordez le consentement de l’administrateur à votre application.
        Pour plus d’informations, consultez Présentation des autorisations d’API et de l’interface utilisateur du consentement de l’administrateur .

    Créer un profil d’intégration Azure AD

    Créez un profil d’intégration Azure AD dans votre ServiceNow instance.

    Avant de commencer

    Pour créer un profil d’intégration Azure AD, demandez le module d’extension Gestion des actifs logiciels - Gestion des licences SaaS (com.sn_sam_saas_int) à partir de ServiceNow Store.

    ServiceNow Rôle requis : sam_integrator ou admin

    Pourquoi et quand exécuter cette tâche

    Remarque :
    À partir de la version 7.0.0 de Gestion des actifs logiciels - Gestion des licences SaaS Integrations et de la Microsoft Azure AD version 3.1.0 du spoke, votre ServiceNow instance crée une connexion AD distincte Azure pour chaque Azure profil d’intégration AD que vous créez. Chaque connexion s’exécute indépendamment l’une de l’autre, ce qui permet à votre instance de prendre en charge plusieurs profils d’intégration AD indépendants Azure .

    Si vous utilisez Software Asset Workspace, l’option permettant de créer le profil d’intégration Microsoft Azure AD dans Interface utilisateur principale est inactive.

    Procédure

    1. Accédez au profil d’intégration.
      InterfaceAction
      Interface utilisateur principale
      1. Accédez à la Tous > Actifs Logiciels > Licence SaaS > Profils d'intégration SSO.
      2. Sélectionnez Nouveau.
      3. Sélectionnez le profil d’intégration Microsoft Azure AD.
      Espace de travail des ressources logicielles
      1. Accédez à la Opérations de licence > Abonnements de l'utilisateur > Profils d'intégration SSO.
      2. Sélectionnez Nouveau.
      3. Sélectionnez Profil d’intégration Microsoft Azure AD dans la liste déroulante.
      4. Sélectionnez Continuer.
    2. Dans le champ Nom d’affichage , saisissez un nom pour le profil d’intégration.

      Les champs restants sont automatiquement remplis lorsque vous soumettez le formulaire.

      Remarque :
      L’intégration SSO est créée à l’aide d’une intégration d’annuaire. L’intégration de l’annuaire extrait les données SSO des utilisateurs et des groupes. Si vous disposez déjà d’une Microsoft Azure AD intégration d’annuaire, l’intégration SSO utilise votre intégration d’annuaire existante. Sinon, une Microsoft Azure AD intégration d’annuaire est automatiquement créée.
    3. Cliquez sur Envoyer.
    4. Cliquez sur le lien connexe Créer une nouvelle connexion et de nouvelles informations d’identification .
      Remarque :
      Si vous avez installé Software Asset Workspace, ouvrez l’enregistrement Connexion et informations d’identification et sélectionnez le lien connexe Créer une nouvelle connexion et informations d’identification .
    5. Renseignez les champs du formulaire.
      Tableau 1. Formulaire Créer une connexion et des informations d'identification
      Champ Valeur
      URL d'authentification https://login.microsoftonline.com/directory-id>/oauth2/v2.0/authorize, où <directory-id> est l’ID (locataire) du répertoire du Azure portail.
      URL de jeton https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/token, où<directory-id> est l’ID (locataire) du Azure répertoire du portail.
      Révoquer l’URL du jeton https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/revoke, où<directory-id> est l’ID (locataire) du répertoire du Azure portail.
      ID client OAuth ID (client) de l’application pour l’application que vous avez créée dans le Azure portail.
      Secret client OAuth Secret client pour l’application que vous avez créée dans le Azure portail.
      URL de redirection OAuth https://<instance-name>.service-now.com/oauth_redirect.do, où <instance-name> est le nom de votre ServiceNow instance. Cette valeur est automatiquement renseignée.
    6. Cliquez sur Créer et obtenir un jeton OAuth.
    7. Dans la fenêtre contextuelle, connectez-vous à votre compte à l’aide des informations d’identification Azure d’administrateur AD.
    8. Cliquez sur Publier.
      Les tâches planifiées et les tâches d’annuaire téléchargent une liste de l’ensemble de vos applications, utilisateurs et groupes. Affichez l’état de vos tâches dans les listes connexes Résultats de la tâche planifiée et Résultats des tâches de répertoire du profil d’intégration. Les modèles logiciels sont automatiquement créés pour les applications ayant un ID de catalogue externe qui correspond à un identificateur dans la table Définitions de produit d’abonnement [samp_sw_subscription_product_definition].

    Résultats

    Après avoir publié le profil d’intégration et connecté des applications au profil, vous pouvez afficher les événements effectués par des utilisateurs individuels jusqu’à 60 jours avant la date actuelle. Pour plus d'informations, consultez Réviser une règle de réclamation logicielle.

    Connecter les applications SSO

    Connectez une application SSO (Single Sign-On) pour afficher tous les utilisateurs et groupes ayant accès à l’application. Suivez les données de connexion des utilisateurs et récupérez les licences inutilisées.

    Avant de commencer

    Rôle requis : sam_integrator ou admin

    Pourquoi et quand exécuter cette tâche

    Remarque :
    Pour Azure Active Directory (Azure AD), le bouton à bascule Affectation requise sur la page de configuration de l’application contrôle l’accès de l’application par les utilisateurs.
    • Si ce bouton bascule est défini sur Oui, vous devez affecter cette application aux utilisateurs AD et aux Azure applications et services associés. Une fois l’application affectée, Azure les utilisateurs AD, les applications associées et les services peuvent y accéder.
    • Si ce bouton bascule est défini sur Non, tous les utilisateurs peuvent se connecter à l’application. Les applications et services associés peuvent également obtenir un jeton d’accès à ce service.

    Gestion des licences SaaS offre des intégrations directes avec certaines applications. Les intégrations directes fournissent les données d’utilisation les plus robustes. Pour obtenir la liste des intégrations directes disponibles, reportez-vous à Intégration aux applications SaaS. Si vous disposez d’une intégration directe pour une application, la connexion de la même application dans une intégration SSO crée des enregistrements d’abonnement en double dans votre ServiceNow instance. Si vous connectez une application SSO et que vous décidez ultérieurement de créer une intégration directe pour cette application, déconnectez l’application avant de créer une intégration directe.

    Procédure

    1. Accédez à la Tous > Licence SaaS > Applications SSO.
    2. Sélectionnez l’application que vous souhaitez connecter.
    3. Si le champ Modèle logiciel est vide, ajoutez un modèle logiciel pour l’application.
      Une application doit disposer d’un modèle logiciel avant que vous puissiez la connecter. Les modèles logiciels sont automatiquement créés pour les applications avec un ID de catalogue externe qui correspond à un identificateur dans la table Définitions de produit d’abonnement [samp_sw_subscription_product_definition]. Pour toutes les autres applications, vous pouvez créer un modèle logiciel manuellement. Pour plus d'informations, consultez Créer des modèles logiciels au format Gestion des actifs logiciels classique.
    4. Sélectionnez une date pour le champ Analyser la dernière activité à partir de .

      Vous pouvez choisir de commencer à analyser les données de connexion pour des utilisateurs et des applications individuels à partir de la date actuelle ou jusqu’à 60 jours dans le passé. La valeur par défaut est de 30 jours. Le choix d’une date dans le passé vous permet de détecter les abonnements périmés sans attendre en temps réel, car vous pouvez voir les abonnements qui n’ont pas été utilisés récemment. Étant donné que le choix d’une date dans le passé augmente la quantité de données analysées, il peut vous falloir plus de temps pour pouvoir afficher les résultats.

      Une fois que vous avez soumis une valeur dans le champ Analyser la dernière activité à partir de , le champ passe en lecture seule.

    5. Sélectionnez Connexion.
      Conseil :
      Vous pouvez également connecter plusieurs applications simultanément à partir de la liste Applications SSO . Sélectionnez les applications à l’aide de la case à cocher sur le côté gauche de la liste. En bas de la liste, sélectionnez le menu déroulant Actions sur les lignes sélectionnées , puis sélectionnez Connecter. Si certaines applications n’ont pas de modèle logiciel, l’action Connexion indique que toutes les applications ne sont pas connectées. Par exemple, Connexion (1 sur 4) indique qu’une seule des quatre applications que vous avez sélectionnées est connectée. Ajoutez des modèles logiciels pour connecter les applications restantes.

    Résultats

    Une fois l’application SSO connectée, votre ServiceNow instance crée automatiquement des utilisateurs, des groupes, des abonnements et des règles de réclamation, qui sont actualisés quotidiennement.
    • Si le bouton d’activation Affectation obligatoire est défini sur Oui, l’abonnement est créé uniquement pour les utilisateurs AD associés Azure .
    • Si le bouton d’activation Affectation obligatoire est défini sur Non, l’abonnement est créé pour tous les Azure utilisateurs AD.

    Que faire ensuite

    Passez en revue toutes les règles de réclamation générées automatiquement pour répondre à vos spécifications de récupération des abonnements des utilisateurs. Pour plus d'informations, consultez Réviser une règle de réclamation logicielle.

    Créez des autorisations logicielles pour les modèles logiciels générés automatiquement afin de suivre le logiciel utilisé par rapport au logiciel possédé. Pour plus d’informations sur la création d’autorisations logicielles dans l’application classique, reportez-vous à la Gestion des actifs logiciels section Créer des autorisations au format Gestion des actifs logiciels classique. Pour plus d’informations sur la création d’autorisations logicielles dans Software Asset Workspace, reportez-vous à Créer des autorisations dans l’espace de travail. Pour plus d’informations sur la création d’autorisations logicielles à l’aide du Playbook, reportez-vous à Créer des autorisations à l’aide de la visite guidée.Gestion des actifs logiciels

    Le rapprochement s’exécute également sur vos abonnements sous la forme d’une tâche planifiée ou à la demande. Vous pouvez afficher les résultats de votre rapprochement dans la console de licence (Gestion des actifs logiciels application classique) ou la vue Utilisation de la licence (Software Asset Workspace). Utilisez ces résultats pour déterminer votre position de conformité de licence et pour corriger toute non-conformité. Pour plus d’informations sur l’exécution du rapprochement dans l’application classique, reportez-vous à Exécuter le rapprochement de logiciel.Gestion des actifs logiciels Pour plus d’informations sur l’exécution du rapprochement dans Software Asset Workspace, reportez-vous à Exécuter le rapprochement de logiciel dans l’espace de travail.