Integration mit Microsoft Entra ID

  • Freigeben Version: Yokohama
  • Aktualisiert 18. Februar 2025
  • 8 Minuten Lesedauer
  • Sie können integrieren ServiceNowInstanz mit Microsoft Entra IDDient zum Anzeigen der Softwarenutzung für alle verbundenen SSO-Anwendungen.

    Wichtig:
    Minimieren Sie Sicherheitsrisiken, und schützen Sie Informationen, indem Sie nur den erforderlichen Anwender- oder API-Berechtigungen Zugriff gewähren.
    Tabelle : 1. Minimale Anwenderberechtigungen
    Prozess Erforderliche Anwenderrolle in Microsoft Entra IDAnwendung Authentifizierungsbereiche
    • Anwender herunterladen
    • Gruppen herunterladen
    • Gruppenmitgliedschaften herunterladen
    Anwendungsentwickler
    • Anwender.Lesen.Alle
    • Gruppenmitglied.Lesen.alle
    • Anwendung.Lesen.Alle
    Anwendungen herunterladen Anwendungsentwickler
    • Anwender.Lesen.Alle
    • Gruppenmitglied.Lesen.alle
    • Anwendung.Lesen.Alle
    • Verbinden Sie Anwendungen
    • Aktualisieren Sie verbundene Anwendungen
    • Globaler Leser/Berichtsleser/Sicherheit/Administrator/Sicherheitsoperator/Sicherheitsleser
    • Anwendungsentwickler
    • AuditProtokoll.Lesen.alle
    • Anwender.Lesen.Alle
    • Gruppenmitglied.Lesen.alle
    • Anwendung.Lesen.Alle
    Abonnements zurückfordern Anwenderadministrator Anwender.Lesen/Schreiben.alle

    Erstellen Sie einen Microsoft Entra IDAnwendung

    Erstellen Sie eine App in Microsoft Entra IDPortal, das in integriert werden soll Now Platform.

    Vorbereitungen

    Microsoft Entra IDErforderliche Rolle: Siehe Minimale Anwenderberechtigung Tabelle.

    Prozedur

    1. Von AzurePortal, Zugriff Microsoft Entra ID.
    2. Erstellen Sie ein Microsoft Entra IDAnwendung.
      Siehe Erstellen von Microsoft Entra ID Anwendung Für detaillierte Anweisungen zur Registrierung und Konfiguration einer Anwendung.
      1. In Umleitungs-URI Feld eingeben https://<instance-name>.service-now.com/oauth_redirect.do , Wo <instance-name> Ist der Name von ServiceNowInstanz.
      2. Zeichnen Sie die Anwendungs-ID (Client) und Verzeichnis-ID (Mandant) auf, um die App als externen OAuth-Anbieter auf Ihrem zu registrieren ServiceNowInstanz.
      3. Erstellen Sie ein geheimes Clientgeheimnis, und zeichnen Sie den Wert auf, um die App als externen OAuth-Anbieter auf Ihrem zu registrieren ServiceNowInstanz.
      4. Fügen Sie Berechtigungen hinzu, um auf zuzugreifen Microsoft GraphAPI.
        Berechtigung Typ
        AuditProtokoll.Lesen.alle Delegiert
        Anwender.Lesen.Alle Delegiert
        Anwender.Lesen/Schreiben.alle Delegiert
        Gruppenmitglied.Lesen.alle Delegiert
        Anwendung.Lesen.Alle Delegiert
        Siehe Fügen Sie Berechtigungen hinzu, um auf Web-APIs zuzugreifen Für weitere Informationen.
      5. Gewähren Sie Ihrer Anwendung die Zustimmung des Administrators.

    Erstellen Sie ein Microsoft Entra IDIntegrationsprofil

    Erstellen Sie ein Microsoft Entra IDIntegrationsprofil in Ihrem ServiceNowInstanz.

    Vorbereitungen

    Zum Erstellen von Microsoft Entra IDIntegrationsprofil, fordern Sie an Software Asset ManagementSaaS-LizenzmanagementPlugin (sn_sam_saas_int) von ServiceNow-Speicher .

    ServiceNow Erforderliche Rolle: sam_Integrator oder admin

    Wichtig:
    Sie müssen auswählen Microsoft Entra ID-Spoke Kontrollkästchen für diese Integration beim Installieren optionaler Funktionen auf Application ManagerSeite. Weitere Informationen zur Auswahl der erforderlichen SaaS-Anwendungen finden Sie unter SaaS-Lizenzmanagement anfordern.

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Ab Version 7.0.0 von Software Asset ManagementSaaS-LizenzmanagementUnd Version 3.1.0 von Microsoft Entra IDSpoke, Ihr ServiceNowInstanz erstellt für jede eine separate Entra ID-Verbindung Microsoft Entra IDIntegrationsprofil, das Sie erstellen. Jede Verbindung wird unabhängig voneinander ausgeführt, sodass Ihre Instanz mehrere unabhängige Verbindungen unterstützen kann Microsoft Entra IDIntegrationsprofile.

    Wenn Sie verwenden Software-Asset-Arbeitsbereich, Die Option zum Erstellen von Microsoft Entra IDIntegrationsprofil in Core-UIIst inaktiv.

    Prozedur

    1. Navigieren Sie zum Integrationsprofil.
      SchnittstelleAktion
      Core-UI
      1. Navigieren zu Alle > Software Asset > SaaS-Lizenz > SSO-Integrationsprofilean.
      2. Wählen Sie Neu.
      3. Wählen Sie Aus Microsoft Entra ID-Integrationsprofil .
      Software-Asset-Arbeitsbereich
      1. Navigieren zu Lizenzvorgänge > Anwenderabonnements > SSO-Integrationsprofilean.
      2. Wählen Sie Neu.
      3. Wählen Sie Aus Microsoft Entra ID-Integrationsprofil Aus der Dropdown-Liste.
      4. Wählen Sie Fortsetzen.
    2. In Anzeigename Geben Sie einen Namen für das Integrationsprofil ein.

      Die verbleibenden Felder werden automatisch ausgefüllt, wenn Sie das Formular übermitteln.

      Hinweis:
      Die SSO-Integration wird mithilfe einer Verzeichnisintegration erstellt. Die Verzeichnisintegration ruft SSO-Anwendungen, Anwender und Gruppendaten ab, die Ihren SSO-Integrationen zugeordnet sind. Weitere Informationen finden Sie unter SSO-Abonnementinformationen werden angezeigt.

      Wenn Sie bereits einen haben Microsoft Entra IDVerzeichnisintegration: Die SSO-Integration verwendet Ihre vorhandene Verzeichnisintegration. Andernfalls wird A Microsoft Entra IDVerzeichnisintegration wird automatisch erstellt.

    3. Zeigen Sie im Abschnitt „Prozesskonfiguration“ die erforderlichen Anwenderrollen oder API-Berechtigungen an, um Sicherheitsrisiken zu minimieren und zu optimieren SaaSLizenzen.
      Hinweis:
      Weitere Informationen zu den erforderlichen Rollen und Umfängen finden Sie unter Minimale Anwenderberechtigungen Tabelle.
      • Die Laden Sie Anwendungen, Anwender und Gruppen herunter Das Kontrollkästchen ist standardmäßig aktiviert, und Sie können es nicht deaktivieren.

      • Die Aktivität Herunterladen Das Kontrollkästchen ist standardmäßig aktiviert. Wenn Sie dies löschen, wird die letzte Aktivität für verbundene Anwendungen nicht abgerufen.
      • Die Abonnements zurückfordern Das Kontrollkästchen ist standardmäßig aktiviert. Wenn Sie keine Abonnements zurückfordern möchten, können Sie dieses Kontrollkästchen deaktivieren. Wenn Sie dies löschen, werden die Entfernungskandidaten erstellt, der Subflow „Abonnement zurückfordern“ wird jedoch nicht ausgelöst, oder der Reklamationsprozess wird nicht initiiert.

    4. Wählen Sie Absenden.
      Die Verbindung Und Anmeldeinformationen Feld wird angezeigt.
    5. Wählen Sie aus Erstellen Sie Eine Neue Verbindung Und Anmeldeinformationen Zugehöriger Link.
      Hinweis:
      Wenn Sie installiert haben Software-Asset-Arbeitsbereich, Öffnen Sie den Datensatz für Verbindungen und Anmeldeinformationen, und wählen Sie aus Erstellen Sie Eine Neue Verbindung Und Anmeldeinformationen Zugehöriger Link.
    6. Füllen Sie im Formular die Felder aus.
      Tabelle : 2. Erstellen Sie ein Verbindungs- und Anmeldeinformationsformular
      Feld Wert
      Authentifizierungs-URL https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/autorisieren , Wo <directory-id> Ist die Verzeichnis-ID (Mandanten) aus AzurePortal.
      Token-URL https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/Token , Wo <directory-id> Ist die Verzeichnis-ID (Mandanten) aus AzurePortal.
      Token-URL widerrufen https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/widerrufen , Wo <directory-id> Ist die Verzeichnis-ID (Mandanten) aus AzurePortal.
      OAuth-Client-ID Anwendungs-ID (Client) für die Anwendung, die Sie in erstellt haben AzurePortal.
      OAuth-Client-Geheimnis Geheimer Clientschlüssel für die Anwendung, die Sie in erstellt haben AzurePortal.
      OAuth-Umleitungs-URL https://<instance-name>.service-now.com/oauth_redirect.do , Wo <instance-name> Ist der Name von ServiceNowInstanz. Dieser Wert wird automatisch ausgefüllt.
    7. Wählen Sie Aus OAuth-Token erstellen und abrufen .
      Sie werden zu weitergeleitet AzurePortal. Informationen zur Rolle, die zur Ausführung dieses Schritts erforderlich ist, finden Sie unter Minimale Anwenderberechtigung Tabelle.
    8. Melden Sie sich im Popup-Fenster mit bei Ihrem Account an Microsoft Entra IDadministrator-Anmeldeinformationen.
    9. Wählen Sie im Formular „Integrationsprofil“ die Option aus Validieren Sie Die Verbindung Dient zum Überprüfen der Verbindungs- und Anmeldeinformationsdetails dieser Integration.
    10. Nachdem die Verbindung verifiziert wurde, wählen Sie aus Veröffentlichen .
    11. Wählen Sie im Dialogfeld „Bestätigung veröffentlichen“ die Option aus OK .
      Wenn Sie löschen Aktivität Herunterladen Kontrollkästchen nach der Veröffentlichung des Integrationsprofils müssen Sie die Verbindungen erneut validieren, da die folgenden Ereignisse auftreten:
      • Die Validieren Sie die Verbindung Schaltfläche wird im Formular angezeigt.
      • Die letzte Aktivität für Anwender der verbundenen Anwendungen wird nicht mehr abgerufen.
      Geplante Aufgaben und Verzeichnisaufträge laden eine Liste aller Ihrer Anwendungen, Anwender und Gruppen herunter. Weitere Informationen finden Sie unter SSO-Abonnementinformationen werden angezeigt. Zeigen Sie den Status Ihrer Aufgaben in den zugehörigen Listen „Ergebnisse der geplanten Aufgabe“ und „Ergebnisse der Verzeichnisaufgabe“ des Integrationsprofils an. Softwaremodelle werden automatisch für Anwendungen mit erstellt Externe Katalog-ID Das entspricht Bezeichner In der Tabelle „Abonnementproduktdefinitionen“ [samp_sw_subscription_product_definition].

    Ergebnisse

    Nachdem Sie das Integrationsprofil veröffentlicht und Anwendungen mit dem Profil verbunden haben, können Sie Ereignisse anzeigen, die von einzelnen Anwendern bis zu 60 Tage vor dem aktuellen Datum ausgeführt wurden. Weitere Informationen finden Sie unter Überprüfen Sie eine Software-Reklamationsregel.

    Verbinden Sie SSO-Apps

    Verbinden Sie eine Single Sign-on-App (SSO), um alle Anwender und Gruppen mit Zugriff auf die App anzuzeigen. Verfolgen Sie Anwenderanmeldungsdaten nach, und fordern Sie nicht verwendete Lizenzen zurück.

    Vorbereitungen

    Erforderliche Rolle: sam_Integrator oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Für Microsoft Entra ID, Zuweisung erforderlich Die Umschaltfläche auf der Anwendungskonfigurationsseite steuert den Zugriff auf die Anwendung durch Anwender.
    • Wenn diese Umschaltfläche auf festgelegt ist Ja , Sie müssen diese Anwendung zuweisen Microsoft Entra IDAnwender und zugehörige Anwendungen und Services. Nachdem Sie die Anwendung zugewiesen haben, Microsoft Entra IDAnwender, zugehörige Anwendungen und Services können darauf zugreifen.
    • Wenn diese Umschaltfläche auf festgelegt ist Nein , Alle Anwender können sich bei der Anwendung anmelden. Die zugehörigen Anwendungen und Services können auch ein Zugriffstoken für diesen Service erhalten.

    SaaS-Lizenzmanagement Bietet direkte Integrationen mit ausgewählten Anwendungen. Direkte Integrationen bieten die robustesten Nutzungsdaten. Eine Liste der verfügbaren direkten Integrationen finden Sie unter Integration in SaaS-Anwendungen. Wenn Sie über eine direkte Integration für eine App verfügen, werden durch die Verbindung derselben App in einer SSO-Integration doppelte Abonnementdatensätze in erstellt ServiceNowInstanz. Wenn Sie eine SSO-App verbinden und später entscheiden, eine direkte Integration für diese App zu erstellen, trennen Sie die App, bevor Sie eine direkte Integration erstellen.

    Hinweis:
    Wenn Sie verwenden Software-Asset-Arbeitsbereich, Die Option zum Navigieren zur SSO-Anwendung in Core-UIIst inaktiv.

    Prozedur

    1. Navigieren Sie zur Anwendung.
      SchnittstelleAktion
      Core-UI Navigieren zu Alle > Software Asset > SaaS-Lizenz > SSO-Anwendungenan.
      Software-Asset-Arbeitsbereich Navigieren zu Lizenzvorgänge > Anwenderabonnements > SSO-Integrationsprofilean.
    2. Wählen Sie die Anwendung aus, mit der Sie eine Verbindung herstellen möchten.
      Für Software-Asset-Arbeitsbereich, Wählen Sie aus SSO-Anwendungen Registerkarte.
    3. Wenn Softwaremodell Feld ist leer. Fügen Sie ein Softwaremodell für die App hinzu.
      Eine App muss über ein Softwaremodell verfügen, bevor Sie eine Verbindung herstellen können. Softwaremodelle werden automatisch für Apps mit erstellt Externe Katalog-ID Das entspricht Bezeichner In der Tabelle „Abonnementproduktdefinitionen“ [samp_sw_subscription_product_definition]. Für alle anderen Apps können Sie ein Softwaremodell manuell erstellen. Weitere Informationen finden Sie unter Erstellen Sie Softwaremodelle in Software Asset ManagementKlassisch.
    4. Wählen Sie ein Datum für aus Analysieren Sie die letzte Aktivität von Feld.

      Sie können die Analyse der Anmeldedaten für einzelne Anwender und Anwendungen ab dem aktuellen Datum oder bis zu 60 Tage in der Vergangenheit beginnen. Der Standardwert ist 30 Tage. Wenn Sie ein Datum in der Vergangenheit auswählen, können Sie veraltete Abonnements erkennen, ohne in Echtzeit zu warten, da Sie Abonnements sehen können, die in letzter Zeit nicht verwendet wurden. Da die Auswahl eines Datums in der Vergangenheit die Menge der analysierten Daten erhöht, kann es länger dauern, bis Sie die Ergebnisse anzeigen können.

    5. Wählen Sie Speichern.
    6. Wählen Sie Aus Verbinden .
      Tipp:
      Sie können auch mehrere Apps gleichzeitig über verbinden SSO-Anwendungen Liste.

      In Core-UISchnittstelle: Wählen Sie die Apps mithilfe des Kontrollkästchens auf der linken Seite der Liste aus. Wählen Sie unten in der Liste aus Aktionen für ausgewählte Zeilen Dropdown-Menü und dann auswählen Verbinden . Wenn einige Apps kein Softwaremodell haben, wird Verbinden Die Aktion zeigt an, dass nicht alle Apps verbunden sind. Beispiel: Verbinden (1 von 4) Zeigt an, dass nur eine der vier von Ihnen ausgewählten Apps verbunden ist. Fügen Sie Softwaremodelle hinzu, um die verbleibenden Apps zu verbinden.

    Ergebnisse

    Nachdem die SSO-Anwendung eine Verbindung hergestellt hat, ist Ihr ServiceNowDie Instanz erstellt automatisch Anwender, Gruppen, Abonnements und Reklamationsregeln, die täglich aktualisiert werden.
    • Wenn Zuweisung erforderlich Umschaltfläche ist auf festgelegt Ja , Das Abonnement wird nur für den zugeordneten erstellt Microsoft Entra IDAnwender.
    • Wenn Zuweisung erforderlich Umschaltfläche ist auf festgelegt Nein , Das Abonnement wird für alle erstellt Microsoft Entra IDAnwender.

    Nächste Maßnahme

    Überprüfen Sie alle automatisch generierten Reklamationsregeln, um Ihre Spezifikationen für die Rückforderung von Anwenderabonnements zu erfüllen. Weitere Informationen finden Sie unter Überprüfen Sie eine Software-Reklamationsregel.

    Erstellen Sie Softwareberechtigungen für die automatisch generierten Softwaremodelle, um verwendete Software mit eigener Software zu verfolgen. Weitere Informationen zum Erstellen von Softwareberechtigungen finden Sie in Software Asset ManagementKlassische Anwendung, siehe Erstellen Sie Berechtigungen in Software Asset ManagementKlassisch. Weitere Informationen zum Erstellen von Softwareberechtigungen im Software-Asset-Arbeitsbereich finden Sie unter Erstellen Sie Berechtigungen im Arbeitsbereich. Weitere Informationen zum Erstellen von Softwareberechtigungen mit Software Asset ManagementPlaybook, siehe Erstellen Sie Berechtigungen mithilfe der geführten Walk-Through.

    Der Abgleich wird auch für Ihre Abonnements als geplante Aufgabe oder bei Bedarf ausgeführt. Sie können Ihre Abgleichsergebnisse in anzeigen Lizenz-Workbench ( Software Asset ManagementKlassische Anwendung) oder Lizenznutzungsansicht (Software-Asset-Arbeitsbereich). Verwenden Sie diese Ergebnisse, um Ihre Lizenz-Compliance-Position zu bestimmen und Nichteinhaltung zu beheben. Weitere Informationen zum Ausführen des Abgleichs finden Sie in Software Asset ManagementKlassische Anwendung, siehe Führen Sie den Softwareabgleich in aus Software Asset ManagementKlassisch. Weitere Informationen zum Ausführen des Abgleichs im Software-Asset-Arbeitsbereich finden Sie unter Führen Sie den Softwareabgleich im Arbeitsbereich aus.