Integration mit Microsoft Entra ID

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 9 Minuten Lesedauer

    • Sie können Ihren integrieren ServiceNow Instanz mit Microsoft Entra ID Dient zum Anzeigen der Softwarenutzung für alle verbundenen SSO-Anwendungen.

    Wichtig:
    Minimieren Sie Sicherheitsrisiken, und schützen Sie Informationen, indem Sie nur den erforderlichen Anwender- oder API-Berechtigungen Zugriff gewähren.
    Tabelle : 1. Minimale Anwenderberechtigungen
    Prozess Erforderliche Anwenderrolle in Microsoft Entra ID Anwendung Authentifizierungsbereiche
    • Laden Sie Anwender herunter
    • Gruppen herunterladen
    • Laden Sie Gruppenmitgliedschaften herunter
    		 Anwendungsentwickler
    • Anwender.Lesen.Alle
    • Gruppenmitglied.Lesen.alle
    • Anwendung.Lesen.Alle
    Anwendungen herunterladen Anwendungsentwickler
    • Anwender.Lesen.Alle
    • Gruppenmitglied.Lesen.alle
    • Anwendung.Lesen.Alle
    • Connect-Anwendungen
    • Aktualisieren Sie verbundene Anwendungen
    • Globaler Leser/Berichtsleser/Sicherheit/Administrator/Sicherheitsoperator/Sicherheitsleser
    • Anwendungsentwickler
    • AuditLog.Lesen.alle
    • Anwender.Lesen.Alle
    • Gruppenmitglied.Lesen.alle
    • Anwendung.Lesen.Alle
    Abonnements zurückfordern Anwenderadministrator Anwender.Lesen/Schreiben.alle

    Erstellen Sie einen Microsoft Entra ID Anwendung

    Erstellen Sie eine App in Microsoft Entra ID Portal, das in integriert werden soll ServiceNow AI Platform.

    Vorbereitungen

    Microsoft Entra ID Erforderliche Rolle: Weitere Informationen finden Sie im Minimale Anwenderberechtigung Tabelle.

    Prozedur

    1. Von Azure Portal, Zugriff Microsoft Entra ID.
    2. Erstellen Sie einen Microsoft Entra ID Anwendung.
      Siehe Erstellen von Microsoft Entra ID Anwendung Detaillierte Anweisungen zum Registrieren und Konfigurieren einer Anwendung.
      1. In Umleitungs-URI Feld eingeben https://<instance-name>.service-now.com/oauth_redirect.do , Wo <instance-name> Ist der Name von ServiceNow Instanz.
      2. Zeichnen Sie die Anwendungs- (Client-) ID und Verzeichnis-ID (Mandant) auf, um die App als OAuth-Drittanbieter auf Ihrem zu registrieren ServiceNow Instanz.
      3. Erstellen Sie ein geheimes Client-Geheimnis, und speichern Sie den richtigen Wert (nicht die geheime Client-ID), um die App als OAuth-Drittanbieter auf Ihrem zu registrieren ServiceNow Instanz.
      4. Fügen Sie Berechtigungen hinzu, um auf zuzugreifen Microsoft Graph API.
        Berechtigung Typ
        AuditLog.Lesen.alle Delegiert oder Anwendung
        Anwender.Lesen.Alle Delegiert oder Anwendung
        Anwender.Lesen/Schreiben.alle Delegiert oder Anwendung
        Gruppenmitglied.Lesen.alle Delegiert oder Anwendung
        Anwendung.Lesen.Alle Delegiert oder Anwendung
        Weitere Informationen finden Sie unter Fügen Sie Berechtigungen hinzu, um auf Web-APIs zuzugreifen .
      5. Gewähren Sie Ihrer Anwendung die Zustimmung des Administrators.
        Weitere Informationen finden Sie unter API-Berechtigungen und Anwenderoberfläche der Administratoreinwilligung verstehen .

    Microsoft Entra ID-Integrationsprofile erstellen

    Erstellen Sie einen Microsoft Entra ID Integrationsprofil in Ihrem ServiceNow Instanz.

    Vorbereitungen

    Zum Erstellen von Microsoft Entra ID Integrationsprofil, fordern Sie an Software Asset ManagementSaaS-Lizenzmanagement Plugin (sn_sam_saas_int) aus dem ServiceNow Store .

    ServiceNow Erforderliche Rolle: sam_Integrator oder admin

    Wichtig:
    Sie müssen auswählen Microsoft Entra ID-Spoke Kontrollkästchen für diese Integration beim Installieren optionaler Funktionen auf dem Application Manager Seite. Weitere Informationen zur Auswahl der erforderlichen SaaS-Anwendungen finden Sie unter SaaS-Lizenzmanagement anfordern.

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Ab Version 7.0.0 von Software Asset ManagementSaaS-Lizenzmanagement Und Version 3.1.0 des Microsoft Entra ID Spoke, Ihr ServiceNow Instanz erstellt für jede eine separate Entra ID-Verbindung Microsoft Entra ID Integrationsprofil, das Sie erstellen. Jede Verbindung wird unabhängig voneinander ausgeführt, sodass Ihre Instanz mehrere unabhängige Verbindungen unterstützen kann Microsoft Entra ID Integrationsprofile.

    Wenn Sie verwenden Software-Asset-Arbeitsbereich, Die Option zum Erstellen von Microsoft Entra ID Integrationsprofil in Core-UI Ist inaktiv.

    Prozedur

    1. Navigieren Sie zum Integrationsprofil.
      SchnittstelleAktion
      Core-UI
      1. Navigieren zu Alle > Software Asset > SaaS-Lizenz > SSO-Integrationsprofilean.
      2. Wählen Sie Neu.
      3. Wählen Sie Aus Microsoft Entra ID-Integrationsprofil .
      Software-Asset-Arbeitsbereich
      1. Navigieren zu Lizenzvorgänge > Anwenderabonnements > SSO-Integrationsprofilean.
      2. Wählen Sie Neu.
      3. Wählen Sie Aus Microsoft Entra ID-Integrationsprofil Aus der Dropdown-Liste.
      4. Wählen Sie Fortsetzen.
    2. In Anzeigename Feld einen Namen für das Integrationsprofil eingeben.

      Die verbleibenden Felder werden automatisch ausgefüllt, wenn Sie das Formular übermitteln.

      Hinweis:
      Die SSO-Integration wird mithilfe einer Verzeichnisintegration erstellt. Die Verzeichnisintegration ruft SSO-Anwendungen, -Anwender und -Gruppendaten ab, die Ihren SSO-Integrationen zugeordnet sind. Weitere Informationen finden Sie unter SSO-Abonnementinformationen werden angezeigt.

      Wenn Sie bereits einen haben Microsoft Entra ID Verzeichnisintegration: Die SSO-Integration verwendet Ihre vorhandene Verzeichnisintegration. Andernfalls wird A Microsoft Entra ID Verzeichnisintegration wird automatisch erstellt.

    3. Zeigen Sie im Abschnitt „Prozesskonfiguration“ die erforderlichen Anwenderrollen oder API-Berechtigungen an, um Sicherheitsrisiken zu minimieren und zu optimieren SaaS Lizenzen.
      Hinweis:
      Weitere Informationen zu den erforderlichen Rollen und Umfängen finden Sie unter Minimale Anwenderberechtigungen Tabelle.

      • Die Laden Sie Anwendungen, Anwender und Gruppen herunter Das Kontrollkästchen ist standardmäßig aktiviert, und Sie können es nicht deaktivieren.

      • Die Aktivität Herunterladen Das Kontrollkästchen ist standardmäßig aktiviert. Wenn Sie sie löschen, wird die letzte Aktivität für verbundene Anwendungen nicht abgerufen.

      • Die Abonnements zurückfordern Das Kontrollkästchen ist standardmäßig aktiviert. Wenn Sie keine Abonnements zurückfordern möchten, können Sie dieses Kontrollkästchen deaktivieren. Wenn Sie dies löschen, werden die Entfernungskandidaten erstellt, der Subflow „Abonnement zurückfordern“ wird jedoch nicht ausgelöst, oder der Reklamationsprozess wird nicht initiiert.

    4. Wählen Sie Absenden.
      Die Verbindung Und Anmeldeinformationen Feld wird angezeigt.
    5. Wählen Sie aus Neue Verbindung Und Anmeldeinformationen Erstellen Zugehöriger Link.
      Hinweis:
      Wenn Sie installiert haben Software-Asset-Arbeitsbereich, Öffnen Sie den Datensatz für Verbindungen und Anmeldeinformationen, und wählen Sie aus Neue Verbindung Und Anmeldeinformationen Erstellen Zugehöriger Link.
    6. Füllen Sie im Formular die Felder aus.
      Tabelle : 2. Formular „Verbindung und Anmeldeinformationen erstellen“
      Feld Wert
      Berechtigungstyp Der Typ der Berechtigung für das Integrationsprofil zum korrekten und sicheren Zugriff auf Daten.
      Werte:
      • Anwendungsberechtigungen : Aktivieren Sie die Anwendung, um ohne angemeldeten Anwender auf Daten zuzugreifen.
      • Delegierte Berechtigungen : Aktivieren Sie, dass die Anwendung anstelle eines angemeldeten Anwenders handelt.
      Authentifizierungs-URL https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/autorisieren , Wo <directory-id> Ist die Verzeichnis-ID (Mandant) aus dem Azure Portal.
      Token-URL https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/Token , Wo <directory-id> Ist die Verzeichnis-ID (Mandant) aus dem Azure Portal.
      URL des Widerrufs-Tokens https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/widerrufen , Wo <directory-id> Ist die Verzeichnis-ID (Mandant) aus dem Azure Portal.
      OAuth-Client-ID Anwendungs-ID (Client) für die Anwendung, die Sie in erstellt haben Azure Portal.
      OAuth-Client-Geheimnis Geheimer Clientschlüssel für die Anwendung, die Sie in erstellt haben Azure Portal.
      OAuth-Umleitungs-URL https://<instance-name>.service-now.com/oauth_redirect.do , Wo <instance-name> Ist der Name von ServiceNow Instanz. Dieser Wert wird automatisch ausgefüllt.
    7. Wählen Sie OAuth-Token erstellen und abrufen aus.
      Sie werden zu weitergeleitet Azure Portal. Informationen zur Rolle, die für diesen Schritt erforderlich ist, finden Sie unter Minimale Anwenderberechtigung Tabelle.
    8. Melden Sie sich im Popup-Fenster mit bei Ihrem Account an Microsoft Entra ID administrator-Anmeldeinformationen.
    9. Wählen Sie im Formular „Integrationsprofil“ die Option aus Validieren Sie Die Verbindung Dient zum Überprüfen der Verbindungs- und Anmeldeinformationsdetails dieser Integration.
    10. Nachdem die Verbindung verifiziert wurde, wählen Sie aus Veröffentlichen .
    11. Wählen Sie im Dialogfeld „Bestätigung veröffentlichen“ die Option aus OK .
      Wenn Sie löschen Aktivität Herunterladen Kontrollkästchen nach der Veröffentlichung des Integrationsprofils müssen Sie die Verbindungen erneut validieren, da die folgenden Ereignisse auftreten:
      • Die Validieren Sie die Verbindung Schaltfläche wird im Formular angezeigt.
      • Die letzte Aktivität für Anwender der verbundenen Anwendungen wird nicht mehr abgerufen.
      Geplante Aufgaben und Verzeichnisaufträge laden eine Liste aller Ihrer Anwendungen, Anwender und Gruppen herunter. Weitere Informationen finden Sie unter SSO-Abonnementinformationen werden angezeigt. Zeigen Sie den Status Ihrer Aufgaben in den zugehörigen Listen Ergebnisse der geplanten Aufgabe und Ergebnisse der Verzeichnisaufgabe des Integrationsprofils an. Softwaremodelle werden automatisch für Anwendungen mit erstellt Externe Katalog-ID Die mit übereinstimmt Bezeichner In der Tabelle „Abonnementproduktdefinitionen“ [samp_SW_Subscription_Product_Definition].

    Ergebnisse

    Nachdem Sie das Integrationsprofil veröffentlicht und Anwendungen mit dem Profil verbunden haben, können Sie Ereignisse anzeigen, die von einzelnen Anwendern bis zu 60 Tage vor dem aktuellen Datum ausgeführt wurden. Weitere Informationen finden Sie unter Überprüfen Sie eine Software-Reklamationsregel.

    Verbinden Sie SSO-Apps

    Verbinden Sie eine Single Sign-on (SSO)-App, um alle Anwender und Gruppen mit Zugriff auf die App anzuzeigen. Verfolgen Sie Anwenderanmeldungsdaten nach, und fordern Sie nicht verwendete Lizenzen zurück.

    Vorbereitungen

    Erforderliche Rolle: sam_Integrator oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Für Microsoft Entra ID, Zuweisung erforderlich Die Umschaltfläche auf der Anwendungskonfigurationsseite steuert den Zugriff der Anwendung durch Anwender.
    • Wenn diese Umschaltfläche auf festgelegt ist Ja , Sie müssen diese Anwendung dem zuweisen Microsoft Entra ID Anwender und zugehörige Anwendungen und Services. Nachdem Sie die Anwendung zugewiesen haben, Microsoft Entra ID Anwender, zugehörige Anwendungen und Services können darauf zugreifen.
    • Wenn diese Umschaltfläche auf festgelegt ist Nein , Alle Anwender können sich bei der Anwendung anmelden. Die zugehörigen Anwendungen und Services können auch ein Zugriffstoken für diesen Service erhalten.

    SaaS-Lizenzmanagement Bietet direkte Integrationen mit ausgewählten Anwendungen. Direkte Integrationen bieten die robustesten Nutzungsdaten. Eine Liste der verfügbaren direkten Integrationen finden Sie unter Integration mit SaaS-Anwendungen. Wenn Sie über eine direkte Integration für eine App verfügen, werden durch die Verbindung derselben App in einer SSO-Integration doppelte Abonnementdatensätze in Ihrem erstellt ServiceNow Instanz. Wenn Sie eine SSO-App verbinden und später eine direkte Integration für diese App erstellen, trennen Sie die App, bevor Sie eine direkte Integration erstellen.

    Hinweis:
    Wenn Sie verwenden Software-Asset-Arbeitsbereich, Die Option zum Navigieren zur SSO-Anwendung in Core-UI Ist inaktiv.

    Prozedur

    1. Navigieren Sie zur Anwendung.
      SchnittstelleAktion
      Core-UI Navigieren zu Alle > Software Asset > SaaS-Lizenz > SSO-Anwendungenan.
      Software-Asset-Arbeitsbereich Navigieren zu Lizenzvorgänge > Anwenderabonnements > SSO-Integrationsprofilean.
    2. Wählen Sie die Anwendung aus, die Sie verbinden möchten.
      Für Software-Asset-Arbeitsbereich, Wählen Sie aus SSO-Anwendungen Registerkarte.
    3. Wenn Softwaremodell Feld ist leer. Fügen Sie ein Softwaremodell für die App hinzu.
      Eine App muss über ein Softwaremodell verfügen, bevor Sie eine Verbindung herstellen können. Softwaremodelle werden automatisch für Apps mit erstellt Externe Katalog-ID Die mit übereinstimmt Bezeichner In der Tabelle „Abonnementproduktdefinitionen“ [samp_SW_Subscription_Product_Definition]. Für alle anderen Apps können Sie ein Softwaremodell manuell erstellen. Weitere Informationen finden Sie unter Erstellen Sie Softwaremodelle in Software Asset Management Klassisch.
    4. Wahlweise: Wählen Sie aus Aktivieren Sie das gruppenbasierte Softwaremodell Kontrollkästchen zum Zuordnen einer SSO-Gruppe zu einem bestimmten Softwaremodell für die Anwendung.

      Wenn eine Anwendung beispielsweise mehrere Lizenzmodelle hat, die mit bestimmten Gruppen verknüpft sind, können Sie eine Gruppe einem Softwaremodell zuordnen, um die Lizenznutzung zu optimieren.

      Wichtig:
      Wenn Sie diese Option auswählen, müssen Sie eine Zuordnung für die SSO-Gruppe erstellen, bevor Sie die Anwendung verbinden. Nachdem die Zuordnung abgeschlossen ist, werden die SSO-Abonnements automatisch gemäß dem zugeordneten Softwaremodell erstellt oder aktualisiert. Weitere Informationen finden Sie unter Erstellen Sie eine SSO-Gruppen-Softwaremodellzuordnung.
    5. Wählen Sie ein Datum für aus Analysieren Sie die letzte Aktivität aus Feld.

      Sie können mit der Analyse der Anmeldedaten für einzelne Anwender und Anwendungen ab dem aktuellen Datum oder bis zu 60 Tage in der Vergangenheit beginnen. Der Standardwert beträgt 30 Tage. Wenn Sie ein vergangenes Datum auswählen, können Sie veraltete Abonnements erkennen, ohne in Echtzeit warten zu müssen, da Sie Abonnements sehen können, die in letzter Zeit nicht verwendet wurden. Da die Auswahl eines Datums in der Vergangenheit die Menge der analysierten Daten erhöht, kann es länger dauern, bis Sie die Ergebnisse anzeigen können.

    6. Wählen Sie Speichern.
    7. Wählen Sie Verbinden.
      Tipp:
      Sie können auch mehrere Apps gleichzeitig über verbinden SSO-Anwendungen Liste.

      In Core-UI Schnittstelle, wählen Sie die Apps über das Kontrollkästchen auf der Seite der Liste aus. Wählen Sie unten in der Liste aus Aktionen für ausgewählte Zeilen Dropdown-Menü und dann auswählen Verbinden . Wenn einige Apps kein Softwaremodell haben, wird die Verbinden Die Aktion zeigt an, dass nicht alle Apps verbunden sind. Beispiel: Verbinden (1 von 4) Zeigt an, dass nur eine der vier von Ihnen ausgewählten Apps verbunden ist. Fügen Sie Softwaremodelle hinzu, um die verbleibenden Apps zu verbinden.

    Ergebnisse

    Nachdem die SSO-Anwendung eine Verbindung hergestellt hat, ist Ihr ServiceNow Die Instanz erstellt automatisch Anwender, Gruppen, Abonnements und Reklamationsregeln, die täglich aktualisiert werden.
    • Wenn Zuweisung erforderlich Die Umschaltfläche ist auf festgelegt Ja , Das Abonnement wird nur für die zugeordnete erstellt Microsoft Entra ID Anwender.
    • Wenn Zuweisung erforderlich Die Umschaltfläche ist auf festgelegt Nein , Das Abonnement wird für alle erstellt Microsoft Entra ID Anwender.

    Nächste Maßnahme

    Überprüfen Sie alle automatisch generierten Reklamationsregeln, um Ihre Spezifikationen für die Rückforderung von Anwenderabonnements zu erfüllen. Weitere Informationen finden Sie unter Überprüfen Sie eine Software-Reklamationsregel.

    Nachdem Sie die SSO-Anwendung verbunden haben, zeigen Sie Informationen zum SSO-Profil in an Software-Asset-Arbeitsbereich Indem Sie zu navigieren Lizenzvorgänge > Anwenderabonnement > SSO-Integrationsprofilean. Sie können ein Integrationsprofil auswählen, um die folgenden zugehörigen Listen anzuzeigen:
    • SSO-Anwendungen
    • Verzeichnisanwender
    • Geplante Aufgaben
    • Ergebnisse der geplanten Aufgabe
    • Verzeichnisaufträge
    • Ergebnisse des Verzeichnisauftrags
    • Ausschlussregel für Abonnementanwender

    Nach dem Erstellen eines Integrationsprofils können Sie Abonnementausschlussregeln definieren, um bestimmte Abonnements von den Berechnungen der Lizenzkosten zu befreien. Weitere Informationen finden Sie unter Abonnementausschlüsse für SaaS Und SSO-Anwendungen.

    Erstellen Sie Softwareberechtigungen für die automatisch generierten Softwaremodelle, um verwendete Software im Vergleich zu eigener Software nachzuverfolgen. Weitere Informationen zum Erstellen von Softwareberechtigungen in finden Sie in Software Asset Management Klassische Anwendung, siehe Erstellen Sie Berechtigungen in Software Asset Management Klassisch. Weitere Informationen zum Erstellen von Softwareberechtigungen im Software Asset-Arbeitsbereich finden Sie unter Erstellen Sie Berechtigungen im Arbeitsbereich. Weitere Informationen zum Erstellen von Softwareberechtigungen mit Software Asset Management Playbook, siehe Erstellen Sie Berechtigungen mit der geführten Führung.

    Der Abgleich wird auch für Ihre Abonnements als geplante Aufgabe oder bei Bedarf ausgeführt. Sie können Ihre Abgleichergebnisse in anzeigen Lizenz-Workbench ( Software Asset Management Klassische Anwendung) oder Lizenznutzungsansicht (Software-Asset-Arbeitsbereich). Verwenden Sie diese Ergebnisse, um Ihre Lizenz-Compliance-Position zu bestimmen und Verstöße zu beheben. Weitere Informationen zum Ausführen des Abgleichs in finden Sie Software Asset Management Klassische Anwendung, siehe Führen Sie den Softwareabgleich in aus Software Asset Management Klassisch. Weitere Informationen zum Ausführen des Abgleichs im Software Asset-Arbeitsbereich finden Sie unter Führen Sie den Softwareabgleich im Arbeitsbereich aus.