Integrar o Azure Monitor à autenticação OAuth

Xanadu IT Operations Management

Release

xanadu

ft:locale

pt-BR

ft:publication_title

Xanadu IT Operations Management

ft:clusterId

itom

bundleId

itom

workflow

Technology

Integrar o Azure Monitor à autenticação OAuth

Versão de lançamento: Xanadu

Atualizado 1 de ago. de 2024

4 min. de leitura

Integre Microsoft Azure a Gestão de eventos autenticando os tokens V1 ou V2 do Azure no Azure Monitor.

Antes de Iniciar

Certifique-se de que o plug-in Gestão de eventos Connectors (sn_em_connector) esteja instalado na instância Now Platform.

No portal do Azure, as regras de correlação de alertas são definidas por meio da configuração Correlate alerts em Regras de processamento de alertas. Quando Correlate alerts é atribuído no portal do Azure, os alertas do Azure Monitor recebidos na instância ServiceNow® em 60 minutos são agrupados usando o clustering de alerta baseado em marcador.

Funções necessárias: evt_mgmt_admin, web_service_admin e oauth_admin

Por Que e Quando Desempenhar Esta Tarefa

Configure o ambiente Gestão de eventos para a coleção de eventos do Azure Monitor. No portal do Azure Monitor, defina sua instância Now Platform como o endpoint REST usando tokens V1 ou V2.

Procedimento

No portal do Azure Monitor:
1. Execute o registro do app e exponha uma API.
  Para obter mais informações sobre como registrar um aplicativo e expor uma API no Azure, consulte https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-configure-app-expose-web-apis.
2. Crie um grupo de ação com um webhook seguro e forneça o endpoint REST como https://<instance-name> .service-now.com/api/sn_em_connector/em/inbound_event?source=azuremonitor .
  
  Nota:
  Para instâncias de servicenowservices.com, o endpoint REST deve ser https://<instance-name> .servicenowservices.com/api/sn_em_connector/em/inbound_event?source=azuremonitor
  
  Para obter mais informações sobre como adicionar um webhook seguro a um grupo de ação, consulte https://docs.microsoft.com/en-us/azure/azure-monitor/platform/action-groups.
3. Navegar até Alertas > Gerenciar regras de alerta.
4. Na seção Webhook seguro, certifique-se de que Sim esteja selecionado para a opção Habilitar o esquema de alerta comum.
5. Adicione o grupo de ação com o webhook seguro a uma regra de alerta.
No portal do Azure Monitor, verifique qual token do Azure está em uso pela sua aplicação registrada.
1. Navegue até Registro de appe selecione a aplicação registrada.
2. Na seção Gerenciar, clique em Manifesto.
3. Na tela do editor, localize o parâmetro accessTokenAcceptedVersion.
  Se o valor de accessTokenAcceptedVersion for 2, a integração deverá usar tokens V2.
  Se o valor de accessTokenAcceptedVersion for 1 ou nulo, a integração deverá usar tokens V1.
Em sua instância Now Platform, certifique-se de que o usuário ServiceNow esteja atribuído com o ID da aplicação (cliente) ou o URI do ID da aplicação correto.
Certifique-se também de que o ServiceNow sys_user relevante esteja atribuído à função evt_mgmt_integration.
1. Navegar até Segurança do sistema > Usuários e grupos > Usuários.
  
  Nota:
  Para garantir a autenticação apropriada, use o usuário com menos privilégios com a função evt_mgmt_integration, em vez de um usuário com privilégios altos.
2. Verifique se o campo Origem do ServiceNow sys_user está preenchido com a ID da aplicação (cliente) ou o URI da ID da aplicação, conforme definido no portal do Azure Monitor.
  Se a aplicação estiver usando um token Azure V1, o campo Origem deverá ser preenchido com o URI da ID da aplicação registrada. Se a aplicação estiver usando um token do Azure V2, o campo Origem deverá ser preenchido com o ID da aplicação (cliente) da aplicação registrada.
  Se o campo Origem não for exibido, altere o layout do formulário para exibir este campo. Clique no ícone do menu de contexto (ícone do ) e selecione Configurar > Layout do formulário. Mova a Origem para a lista Selecionada.
  Nota:
  Se a versão da instância Now Platform for anterior ao Paris Patch 2 ou Orlando Patch 9, o valor do campo Origem deverá estar entre colchetes. Por exemplo, [api://azuretest].
Em sua instância Now Platform, navegue até Gestão de eventos > Integrações > Configuração do Azure OAuth.
Clique em Entrada OIDC do Azure OAuth e insira a ID do cliente.
Se a aplicação registrada estiver usando um token do Azure V2, a ID do cliente deverá ser igual à ID da aplicação (cliente) dos registros de aplicações definidos no portal do Azure Monitor.
Se a aplicação registrada estiver usando um token do Azure V1, a ID do cliente deverá ser igual ao URI da ID da aplicação dos registros de aplicações definidos no portal do Azure Monitor (a API exposta).
No campo Configuração do provedor OIDC do OAuth, clique no ícone de ).
Na janela Configuração do provedor OIDC, clique em Abrir registro.

Insira a URL de metadados OIDC de acordo com o token do Azure usado pela aplicação registrada, conforme mostrado na tabela a seguir.

Token do Azure	URL de Metadados OIDC
V2	No formulário Configuração do provedor OIDC, adicione o seguinte URL ao campo URL de metadados OIDC : https://login.microsoftonline.com/<tenant-id> /v2.0/.well-known/openid-configuration Certifique-se de que<tenant-id> foi substituído pela ID de locatário do Azure correta. Nota: Se tentar integrar o Azure Gov Cloud ao Conector do Azure Monitor da ServiceNow, lembre-se de alterar o valor da declaração para `f1f34126-d4ef-40e1-ad4b-bf5d47b4860d`.
V1	No formulário Configuração do provedor OIDC: Na coluna Nome da declaração, altere `azp` para `appid`. Nota: Se tentar integrar o Azure Gov Cloud ao Conector do Azure Monitor da ServiceNow, lembre-se de alterar o valor da declaração para `f1f34126-d4ef-40e1-ad4b-bf5d47b4860d`. No campo URL de metadados OIDC, adicione a seguinte URL: https://login.microsoftonline.com/<tenant-id> /.well-known/openid-configuration Certifique-se de que<tenant-id> foi substituído pela ID de locatário do Azure correta.

Token do Azure

URL de Metadados OIDC

No formulário Configuração do provedor OIDC, adicione o seguinte URL ao campo URL de metadados OIDC :

https://login.microsoftonline.com/<tenant-id> /v2.0/.well-known/openid-configuration

Certifique-se de que<tenant-id> foi substituído pela ID de locatário do Azure correta.

Nota:

Se tentar integrar o Azure Gov Cloud ao Conector do Azure Monitor da ServiceNow, lembre-se de alterar o valor da declaração para f1f34126-d4ef-40e1-ad4b-bf5d47b4860d.

No formulário Configuração do provedor OIDC:

Na coluna Nome da declaração, altere azp para appid.

Nota:
Se tentar integrar o Azure Gov Cloud ao Conector do Azure Monitor da ServiceNow, lembre-se de alterar o valor da declaração para f1f34126-d4ef-40e1-ad4b-bf5d47b4860d.
No campo URL de metadados OIDC, adicione a seguinte URL: https://login.microsoftonline.com/<tenant-id> /.well-known/openid-configuration
Certifique-se de que<tenant-id> foi substituído pela ID de locatário do Azure correta.

Resultado

Quando um alerta é criado no Azure Monitor como parte da regra de alerta, a notificação é enviada para Now Platform usando o endpoint de webhook seguro. Em sua instância Now Platform, navegue até Todos Eventos para ver os eventos. Se você quiser enviar mudanças de estado de alerta na instância ServiceNowServiceNow dos alertas [] para o Portal do Azure, será necessário habilitar o conector bidirecional do Azure Monitor. Para obter mais informações, consulte Configurar conector bidirecional do Azure Monitor .