Integração com Microsoft Entra ID

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 11 min. de leitura
  • Você pode integrar seu ServiceNow instância com Microsoft Entra ID Para exibir o uso de software para todas as aplicações SSO conectadas.

    Importante:
    Minimize os riscos à segurança e proteja as informações concedendo acesso somente ao usuário ou às permissões de API necessárias.
    Tabela 1. Permissões mínimas do usuário
    Processo Função de usuário necessária no Microsoft Entra ID aplicação Escopos de autenticação
    • Baixar usuários
    • Grupos de download
    • Baixar associações de grupo
    Desenvolvedor de aplicações
    • User.Read.All
    • GroupMember.Read.All
    • Application.Read.All
    Baixar aplicações Desenvolvedor de aplicações
    • User.Read.All
    • GroupMember.Read.All
    • Application.Read.All
    • Aplicações do Connect
    • Atualizar aplicações conectadas
    • Leitor global/Leitor de relatórios/Segurança/Administrador/Operador de segurança/Leitor de segurança
    • Desenvolvedor de aplicações
    • AuditLog.Read.All
    • User.Read.All
    • GroupMember.Read.All
    • Application.Read.All
    Recuperar assinaturas Administrador de usuário ReadWrite.All

    Crie um Microsoft Entra ID aplicação

    Crie um app no Microsoft Entra ID portal a ser integrado ao ServiceNow AI Platform.

    Antes de Iniciar

    Microsoft Entra ID Função necessária: Consulte Permissão mínima de usuários tabela.

    Procedimento

    1. Em Azure portal, acesso Microsoft Entra ID.
    2. Crie um Microsoft Entra ID aplicação.
      Confira Crie um Microsoft Entra ID aplicação para obter instruções detalhadas sobre como registrar e configurar uma aplicação.
      1. Em URI de redirecionamento campo, insira https://<instance-name>.service-now.com/oauth_redirect.do , em que <instance-name> é o nome do seu ServiceNow instância.
      2. Registre o ID da aplicação (cliente) e o ID do diretório (locatário) para registrar a aplicação como um provedor OAuth de terceiros em seu ServiceNow instância.
      3. Crie um segredo do cliente e salve o valor correto (não o ID do segredo do cliente) para registrar o app como um provedor OAuth de terceiros em seu ServiceNow instância.
      4. Adicione permissões para acessar o. Microsoft Graph API.
        Permissão Tipo
        AuditLog.Read.All Ou aplicação delegada
        User.Read.All Ou aplicação delegada
        ReadWrite.All Ou aplicação delegada
        GroupMember.Read.All Ou aplicação delegada
        Application.Read.All Ou aplicação delegada
        Para obter mais informações, consulte Adicione permissões para acessar APIs da Web .
      5. Conceda consentimento do administrador para sua aplicação.

    Criação do perfil de Integração Microsoft Entra ID

    Crie um Microsoft Entra ID perfil de integração em seu ServiceNow instância.

    Antes de Iniciar

    Para criar um Microsoft Entra ID perfil de integração, solicite o. Software Asset Management- Gestão de licenças de SaaS plug-in (sn_sam_saas_int) do ServiceNow Store .

    ServiceNow Função necessária: sam_integrator ou admin

    Importante:
    Você deve selecionar Spoke do Microsoft Entra ID caixa de seleção desta integração ao instalar recursos opcionais no Application Manager página. Para obter mais informações sobre como escolher as aplicações SaaS necessárias, consulte Solicitação Gestão de licenças de SaaS.

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    A partir da versão 7.0.0 de Software Asset Management- Gestão de licenças de SaaS e a versão 3.1.0 do Microsoft Entra ID falou, seu ServiceNow A instância cria uma conexão Entra ID separada para cada um Microsoft Entra ID perfil de integração que você cria. Cada conexão é executada independentemente uma da outra, permitindo que sua instância ofereça suporte a vários independentes Microsoft Entra ID perfis de integração.

    Se você estiver usando Espaço para ativos de software, a opção para criar o. Microsoft Entra ID perfil de integração em IU principal está inativo.

    Procedimento

    1. Navegue até o perfil de integração.
      InterfaceAção
      IU principal
      1. Navegar até Tudo > Ativo de Software > Licença de SaaS > Perfis de integração SSO.
      2. Selecione Novo.
      3. Selecione Perfil de integração do Microsoft Entra ID .
      Espaço de ativo do software
      1. Navegar até Operações de licença > Assinaturas de Usuário > Perfis de Integração SSO.
      2. Selecione Novo.
      3. Selecione Perfil de integração do Microsoft Entra ID na lista suspensa.
      4. Selecione Continuar.
    2. Em Nome de exibição , insira um nome para o perfil de integração.

      Os campos restantes são preenchidos automaticamente quando você envia o formulário.

      Nota:
      A integração SSO é criada usando uma integração de diretório. A integração de diretório extrai aplicações SSO, usuários e dados de grupo que estão associados às suas integrações SSO. Para obter mais informações, consulte Exibição de informações de assinatura SSO.

      Se você já tiver um Microsoft Entra ID Integração de diretório, a integração SSO usa sua integração de diretório existente. Caso contrário, um Microsoft Entra ID a integração de diretórios é criada automaticamente.

    3. Na seção Configuração do processo, exiba as funções de usuário ou permissões de API necessárias para minimizar os riscos de segurança e otimizar SaaS licenças.
      Nota:
      Para obter mais informações sobre as funções e escopos necessários, consulte Permissões mínimas do usuário tabela.
      • . Baixar aplicações, usuários e grupos a caixa de seleção está marcada por padrão e você não pode desmarcá-la.

      • . Atividade de download a caixa de seleção está marcada por padrão. Se você limpar, a última atividade de aplicações conectadas não será extraída.
      • . Recuperar assinaturas a caixa de seleção está marcada por padrão. Se você não quiser recuperar assinaturas, desmarque esta caixa de seleção. Se você limpar, os candidatos a remoção serão criados, mas o subfluxo Recuperar assinatura não será acionado ou o processo de recuperação não será iniciado.

    4. Selecione Enviar.
      . Conexão e credencial o campo é exibido.
    5. Selecione Criar nova conexão e credencial link relacionado.
      Nota:
      Se você tiver instalado Espaço para ativos de software Abra o registro de conexão e credencial e selecione Criar nova conexão e credencial link relacionado.
    6. No formulário, preencha os campos.
      Tabela 2. Formulário Criar Conexão e Credencial
      Campo Valor
      Tipo de permissão O tipo de permissão para o perfil de integração acessar dados de forma correta e segura.
      Os valores incluem:
      • Permissões da aplicação : Habilite que a aplicação acesse todos os dados sem um usuário conectado.
      • Permissões delegadas : Habilite a aplicação para agir no lugar de um usuário conectado.
      URL de autenticação https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/authorize , em que <directory-id> É o ID do diretório (locatário) do Azure portal.
      URL do token https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/token , em que <directory-id> É o ID do diretório (locatário) do Azure portal.
      Revogar URL do token https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/revogar , em que <directory-id> É o ID do diretório (locatário) do Azure portal.
      ID do cliente do OAuth ID da aplicação (cliente) para a aplicação que você criou no Azure portal.
      Segredo do cliente do OAuth Segredo do cliente para a aplicação que você criou no Azure portal.
      URL de redirecionamento do OAuth https://<instance-name>.service-now.com/oauth_redirect.do , em que <instance-name> é o nome do seu ServiceNow instância. Este valor é preenchido automaticamente.
    7. Selecione Criar e obter um Token do OAuth.
      Você será redirecionado para Azure portal. Para obter a função necessária para executar esta etapa, consulte Permissão mínima de usuários tabela.
    8. Na janela pop-up, entre em sua conta com Microsoft Entra ID credenciais de administrador.
    9. No formulário de perfil de integração, selecione Validar conexão para verificar os detalhes de conexão e credencial desta integração.
    10. Depois que a conexão for verificada, selecione Publicar .
    11. Na caixa de diálogo Confirmação de publicação, selecione OK .
      Se você limpar Atividade de download caixa de seleção depois que o perfil de integração for publicado, você deve revalidar as conexões porque ocorrem os seguintes eventos:
      • . Validar conexão o botão aparece no formulário.
      • A última atividade para usuários das aplicações conectadas não é mais extraída.
      Trabalhos agendados e trabalhos de diretório baixam uma lista de todos os seus aplicativos, usuários e grupos. Para obter mais informações, consulte Exibição de informações de assinatura SSO. Exiba o status de seus trabalhos nas listas relacionadas Resultados de trabalhos agendados e Resultados de trabalhos do diretório do perfil de integração. Os modelos de software são criados automaticamente para aplicações com um ID do catálogo externo que corresponde a um Identificador Na tabela Definições de produto de assinatura [samp_sw_subscription_product_definition].

    Resultado

    Depois de publicar o perfil de integração e conectar as aplicações ao perfil, você pode exibir os eventos realizados por usuários individuais até 60 dias antes da data atual. Para obter mais informações, consulte Revise uma regra de recuperação de software.

    Connect SSO apps

    Conecte um app Single Sign-on (SSO) para exibir todos os usuários e grupos com acesso ao app. Rastreie dados de login do usuário e recupere licenças não utilizadas.

    Antes de Iniciar

    Função necessária: sam_integrator ou admin

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    Para Microsoft Entra ID. Atribuição necessária o botão de alternância na página de configuração da aplicação controla o acesso da aplicação pelos usuários.
    • Se este botão de alternância estiver definido como Sim , você deve atribuir esta aplicação ao Microsoft Entra ID e aplicações e serviços relacionados. Depois de atribuir a aplicação, Microsoft Entra ID usuários, aplicações associadas e serviços podem acessá-lo.
    • Se este botão de alternância estiver definido como Não , todos os usuários podem fazer login na aplicação . As aplicações e serviços associados também podem obter um token de acesso a este serviço.

    Gestão de licenças de SaaS oferece integrações diretas com aplicações selecionadas. As integrações diretas fornecem os dados de uso mais robustos. Para obter uma lista de integrações diretas disponíveis, consulte Integre com aplicações SaaS. Se você tiver uma integração direta para um app, conectar o mesmo app em uma integração SSO criará registros de assinatura duplicados em seu ServiceNow instância. Se você conectar um app SSO e, posteriormente, decidir criar uma integração direta para esse app, desconecte o app antes de criar uma integração direta.

    Nota:
    Se você estiver usando Espaço para ativos de software, A opção de navegar até a aplicação SSO no IU principal está inativo.

    Procedimento

    1. Navegue até a aplicação.
      InterfaceAção
      IU principal Navegar até Tudo > Ativo de Software > Licença de SaaS > Aplicações de SSO.
      Espaço de ativo do software Navegar até Operações de licença > Assinaturas de Usuário > Perfis de Integração SSO.
    2. Selecione a aplicação que você deseja conectar.
      Para Espaço para ativos de software. selecione Aplicações SSO guia.
    3. . Modelo de software o campo está vazio, adicione um modelo de software para o app.
      Um app deve ter um modelo de software antes de ser conectado. Os modelos de software são criados automaticamente para apps com um ID do catálogo externo que corresponde a um Identificador Na tabela Definições de produto de assinatura [samp_sw_subscription_product_definition]. Para todos os outros apps, você pode criar um modelo de software manualmente. Para obter mais informações, consulte Crie modelos de software em Software Asset Management clássico.
    4. Opcional: Selecione Habilitar modelo de software baseado em grupo Caixa de seleção para mapear um grupo de SSO com um modelo de software específico para a aplicação.

      Por exemplo, se uma aplicação tiver vários modelos de licença vinculados a grupos específicos, você poderá mapear um grupo para um modelo de software para otimizar o uso da licença.

      Importante:
      Se você selecionar esta opção, deverá criar um mapeamento para o grupo SSO antes de conectar a aplicação. Após a conclusão do mapeamento, as assinaturas de SSO são criadas ou atualizadas automaticamente de acordo com o modelo de software mapeado. Para obter mais informações, consulte Crie um mapeamento de modelo de software de grupo SSO.
    5. Selecione uma data para Analisar a última atividade de campo.

      Você pode optar por começar a analisar dados de login de usuários individuais e aplicações a partir da data atual ou de até 60 dias no passado. O valor padrão é 30 dias. Escolher uma data passada permite detectar assinaturas obsoletas sem esperar em tempo real, pois você pode ver assinaturas que não foram usadas recentemente. Como escolher uma data no passado aumenta a quantidade de dados analisados, pode levar mais tempo para exibir os resultados.

    6. Selecione Save (Salvar).
    7. Selecione Conecte .
      Dica:
      Você também pode conectar vários aplicativos simultaneamente do Aplicações SSO lista.

      Em IU principal, marque os aplicativos usando a caixa de seleção na lateral da lista. Na parte inferior da lista, selecione Ações nas linhas selecionadas menu suspenso e selecione Conecte . Se alguns apps não tiverem um modelo de software, o Conecte a ação mostra que nem todos os apps estão conectados. Por exemplo, Connect (1 de 4) mostra que apenas 1 dos quatro apps selecionados estão conectados. Adicione modelos de software para conectar os aplicativos restantes.

    Resultado

    Depois que a aplicação SSO se conectar, seu ServiceNow a instância cria automaticamente usuários, grupos, assinaturas e regras de recuperação que são atualizadas diariamente.
    • . Atribuição necessária o botão de alternância está definido como Sim , a assinatura é criada somente para o associado Microsoft Entra ID usuários.
    • . Atribuição necessária o botão de alternância está definido como Não , a assinatura é criada para todos os Microsoft Entra ID usuários.

    O que Fazer Depois

    Revise todas as regras de recuperação geradas automaticamente para atender às suas especificações de recuperação de assinaturas de usuário. Para obter mais informações, consulte Revise uma regra de recuperação de software.

    Depois de conectar a aplicação SSO, exiba informações sobre o perfil SSO no Espaço para ativos de software navegando até Operações de licença > Assinatura de usuário > Perfis de Integração SSO. Você pode selecionar um perfil de integração para exibir as seguintes listas relacionadas:
    • Aplicações de SSO
    • Usuários do Diretório
    • Trabalhos agendados
    • Resultados de trabalhos programados
    • Trabalhos do diretório
    • Resultados do trabalho do diretório
    • Regra de exclusão do usuário de assinatura

    Depois de criar um perfil de integração, você pode definir regras de exclusão de assinatura para manter determinadas assinaturas dos cálculos de custo de licença. Para obter mais informações, consulte Exclusões de assinatura para SaaS E aplicações SSO.

    Crie direitos de software para os modelos de software gerados automaticamente para rastrear o software usado em relação ao software próprio. Para obter mais informações sobre como criar direitos de software no Software Asset Management aplicação clássica, consulte Criar direitos em Software Asset Management clássico. Para obter mais informações sobre como criar direitos de software no Software Asset Workspace, consulte Criar direitos no espaço. Para obter mais informações sobre como criar direitos de software usando Software Asset Management Playbook, consulte Crie direitos usando o passo a passo guiado.

    A reconciliação também é executada em suas assinaturas como um trabalho agendado ou sob demanda. Você pode exibir os resultados de reconciliação no Workbench de licença ( Software Asset Management aplicação clássica) ou Exibição de uso de licença (Software Asset Workspace). Use esses resultados para determinar sua posição de conformidade de licença e corrigir qualquer não conformidade. Para obter mais informações sobre como executar reconciliação no Software Asset Management aplicação clássica, consulte Execute reconciliação de software em Software Asset Management clássico. Para obter mais informações sobre como executar reconciliação no Software Asset Workspace, consulte Execute a reconciliação de software no espaço.