Intégrer Azure Monitor à l'authentification OAuth

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 4 minutes de lecture

    • Intégrez Microsoft Azure à Gestion des événements en authentifiant les jetons Azure V1 ou V2 dans Azure Monitor.

    Avant de commencer

    Assurez-vous que le module d’extension Gestion des événements Connecteurs (sn_em_connector) est installé sur l’instance ServiceNow AI Platform .

    Sur le portail Azure, les règles de corrélation des alertes sont définies via le Correlate alerts paramètre des règles de traitement des alertes. Lorsqu’il Correlate alerts est affecté sur le portail Azure, les alertes Azure Monitor reçues sur l’instance dans les 60 minutes sont regroupées à l’aide de la mise en grappe des alertes basées sur les ServiceNow® balises.

    Rôles requis : evt_mgmt_admin, web_service_admin et oauth_admin

    Pourquoi et quand exécuter cette tâche

    Configurez l'environnement Gestion des événements pour la collecte d'événements à partir d'Azure Monitor. Dans votre portail Azure Monitor, définissez votre instance ServiceNow AI Platform en tant que point de terminaison REST à l'aide des jetons V1 ou V2.

    Procédure

    1. Dans le portail Azure Monitor :
      1. Procédez à l'enregistrement de l'application et exposez une API.
        Pour en savoir plus sur l'enregistrement d'une application et l'exposition d'une API dans Azure, consultez la rubrique https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-configure-app-expose-web-apis.
      2. Créez un groupe d'actions avec un webhook sécurisé et fournissez le point de terminaison REST, comme suit : https://<nom-instance>.service-now.com/api/sn_em_connector/em/inbound_event?source=azuremonitor.
        Remarque :
        Si vous avez plusieurs locataires sur le portail Azure et que vous souhaitez utiliser la fonctionnalité bidirectionnelle pour authentifier, fermer ou rouvrir une alerte sur le portail Azure, l’URL du webhook sécurisé doit être au format suivant : https://<nom d’utilisateur> :<password>@<nom-instance>.service-now.com/api/sn_em_connector/em/inbound_event?source=azuremonitor&event_class=<new_connector_instance_name>. Le <new_connector_instance_name> est la nouvelle instance de connecteur pull Azure que vous devez créer pour chaque locataire ayant d’autres informations d’identification principales de service Azure. Pour savoir comment créer le connecteur pull, reportez-vous à la section Configurer le connecteur bidirectionnel Azure Monitor.

        Pour servicenowservices.com instances, le point de terminaison REST doit être https://<nom-instance>.servicenowservices.com/api/sn_em_connector/em/inbound_event?source=azuremonitor.

        Pour en savoir plus sur l'ajout d'un webhook sécurisé à un groupe d'actions, consultez la rubrique https://docs.microsoft.com/en-us/azure/azure-monitor/platform/action-groups.

      3. Accédez à la Alertes > Gérer les règles d’alerte.
      4. Dans la section Webhook sécurisé, veillez à sélectionner Oui pour l'option Activer le schéma d'alerte commun.
      5. Ajoutez le groupe d'actions avec le webhook sécurisé à une règle d'alerte.
    2. Dans le portail Azure Monitor, vérifiez quel jeton Azure est utilisé par votre application enregistrée.
      1. Accédez à Enregistrement de l'application et sélectionnez l'application enregistrée.
      2. Dans la section Gérer, cliquez sur Manifeste.
      3. Dans l’écran de l’éditeur, sélectionnez l’onglet Manifeste de l’application Microsoft Graph et localisez le requestedAccessTokenVersion paramètre, ou sélectionnez l’onglet Manifeste de l’application AAD Graph et localisez le accessTokenAcceptedVersion paramètre.
        Si la valeur de requestedAccessTokenVersion ou accessTokenAcceptedVersion est 2, l’intégration doit utiliser des jetons V2.

        Si la valeur de requestedAccessTokenVersion ou accessTokenAcceptedVersion est 1 ou null, l’intégration doit utiliser des jetons V1.

    3. Dans votre instance ServiceNow AI Platform, assurez-vous que l'utilisateur ServiceNow est affecté avec l'ID d'application (client) ou l'URI d'ID d'application correct.
      Assurez-vous également que le rôle evt_mgmt_integration est affecté aux utilisateurs sys_user ServiceNow appropriés.
      1. Accédez à la Sécurité de système > Utilisateurs et groupes > Utilisateurs.
        Remarque :
        pour garantir une authentification appropriée, utilisez l'utilisateur le moins privilégié disposant du rôle evt_mgmt_integration, plutôt qu'un utilisateur possédant des privilèges élevés.
      2. Vérifiez que le champ Source de l'utilisateur sys_user ServiceNow est renseigné avec l'ID d'application (client) ou l'URI d'ID d'application correct, tel que défini dans le portail Azure Monitor.
        Si l'application utilise un jeton Azure V1, le champ Source doit être renseigné avec l'URI d'ID d'application de l'application enregistrée. Si l'application utilise un jeton Azure V2, le champ Source doit être renseigné avec l'ID d'application (client) de l'application enregistrée.
        Si le champ Source n'est pas affiché, modifiez la mise en page du formulaire pour l'afficher. Cliquez sur l'icône du menu contextuel ( icône du menu contextuel), puis choisissez Configurer > Mise en page du formulaire. Déplacez Source vers la liste sélectionnée.
        Remarque :
        si la version de votre instance ServiceNow AI Platform est antérieure à Paris Correctif 2 ou Orlando Correctif 9, la valeur du champ Source doit être entre crochets. Par exemple, [api://azuretest].
    4. Dans votre ServiceNow AI Platform instance, accédez à Gestion des événements > Intégrations > Configuration OAuth Azure.
    5. Cliquez sur Entrée OIDC OAuth Azure et saisissez l'ID client.
      Si l'application enregistrée utilise un jeton Azure V2, l'ID client doit être identique à l'ID d'application (client) des enregistrements d'application définis dans votre portail Azure Monitor.

      Si l'application enregistrée utilise un jeton Azure V1, l'ID client doit être identique à l'URI d'ID d'application des enregistrements d'application définis dans votre portail Azure Monitor (l'API exposée).

    6. Dans le champ Configuration du fournisseur OIDC OAuth, cliquez sur l'icône d'informations ( icône Informations).
    7. Dans la fenêtre Configuration du fournisseur OIDC, cliquez sur Ouvrir l'enregistrement.
      Fenêtre Configuration du fournisseur OIDC
    8. Entrez l’URL des métadonnées OIDC en fonction du jeton Azure utilisé par l’application inscrite, comme indiqué dans le tableau suivant.
      Jeton AzureURL des métadonnées OIDC
      V2 Dans le formulaire Configuration du fournisseur OIDC, ajoutez l'URL suivante au champ URL des métadonnées OIDC :

      https://login.microsoftonline.com/<id-locataire>/v2.0/.well-known/openid-configuration

      Assurez-vous de remplacer <id-locataire> par l'ID de locataire Azure approprié.

      Remarque :
      Si vous tentez d’intégrer Azure Gov Cloud au connecteur ServiceNow Azure Monitor, n’oubliez pas de modifier la valeur de réclamation en f1f34126-d4ef-40e1-ad4b-bf5d47b4860d.
      V1 Dans le formulaire Configuration du fournisseur OIDC :
      • Dans la colonne Nom de la réclamation, remplacez azp par appid.
        Remplacer AZP par APPID
        Remarque :
        Si vous tentez d’intégrer Azure Gov Cloud au connecteur ServiceNow Azure Monitor, n’oubliez pas de modifier la valeur de réclamation en f1f34126-d4ef-40e1-ad4b-bf5d47b4860d.
      • Dans le champ URL des métadonnées OIDC, ajoutez l'URL suivante : https://login.microsoftonline.com/<id-locataire>/.well-known/openid-configuration

        Assurez-vous de remplacer <id-locataire> par l'ID de locataire Azure approprié.

    Résultats

    Lorsqu'une alerte est créée dans Azure Monitor dans le cadre de la règle d'alerte, la notification est envoyée à ServiceNow AI Platform à l'aide du point de terminaison du webhook sécurisé. Dans votre instance ServiceNow AI Platform, accédez à Tous les événements pour afficher les événements. Si vous souhaitez envoyer des changements d'état d'alerte sur l'instance ServiceNow à partir des alertes ServiceNow au portail Azure, vous devez activer le connecteur bidirectionnel Azure Monitor. Pour en savoir plus, reportez-vous à Configurer le connecteur bidirectionnel Azure Monitor .