Integration mit Okta

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 11 Minuten Lesedauer

    • Sie können Ihren integrieren ServiceNow Instanz mit Okta Dient zum Anzeigen der Softwarenutzung für alle verbundenen SSO-Anwendungen.

    Wichtig:
    Minimieren Sie Sicherheitsrisiken, und schützen Sie Informationen, indem Sie nur den erforderlichen Anwender- oder API-Berechtigungen Zugriff gewähren.
    Tabelle : 1. Minimale Anwenderberechtigungen
    Prozess Erforderliche Anwenderrolle in Okta Anwendung Authentifizierungsbereiche
    Laden Sie Anwender herunter Schreibgeschützter Administrator okta.users.read
    • Gruppen herunterladen
    • Laden Sie Gruppenmitgliedschaften herunter
    		 Schreibgeschützter Administrator okta.groups.read
    Anwendungen herunterladen Schreibgeschützter Administrator
    • okta.apps.read
    • okta.logs.read
    Connect-Anwendungen Schreibgeschützter Administrator okta.Protokolle.Lesen
    Aktualisieren Sie verbundene Anwendungen Schreibgeschützter Administrator
    • okta.Apps.Lesen
    • okta.Protokolle.Lesen
    Abonnements zurückfordern Anwendungsadministrator okta.Apps.Verwalten

    Erstellen Sie einen Okta Anwendung

    Erstellen Sie einen Okta Anwendung, die Sie in integrieren können ServiceNow AI Platform.

    Vorbereitungen

    Okta Erforderliche Rolle: Siehe Minimale Anwenderberechtigungen Tabelle.

    Siehe Administratorrollen und -Berechtigungen Weitere Informationen zu finden Okta administratorrollen und Umfänge und unterstützte Endpunkte Weitere Informationen zu finden Okta OAuth-Umfänge.

    Prozedur

    1. Melden Sie sich über einen Webbrowser bei an Okta-Administratorkonsole .
    2. Erstellen Sie einen Okta Anwendung mit OAuth 2,0-Funktionalität.

      Siehe Erstellen Sie eine OAuth 2,0-App für Okta Für detaillierte Anweisungen.

      Beachten Sie beim Erstellen von Folgendes Okta Anwendung:
      • In Anmelde-Umleitungs-URI Und Abmeldeumleitungs-URI Felder eingeben https://<instance-name>.service-now.com/oauth_redirect.do , Wobei < Instanzname > ist der Name von ServiceNow Instanz.
      • Kopieren Sie die Werte in Client-ID Und Geheimer Client-Schlüssel Felder. Speichern Sie sie an einem sicheren Ort, um sie später zu verwenden.
      • Gewähren Sie Ihrem die folgenden Bereiche Okta OAuth 2,0-Anwendung:
        • okta.groups.read
        • okta.apps.read
        • okta.users.read
        • okta.logs.read
        • okta.Apps.Verwalten
      • Wählen Sie aus Aktualisierungstoken Kontrollkästchen unter Client, der im Namen eines Anwenders handelt Gewährungstyp im Okta-Portal.

    Erstellen Sie einen Okta Integrationsprofil

    Erstellen Sie einen Okta Integrationsprofil in Ihrem ServiceNow Instanz.

    Vorbereitungen

    Um eine zu erstellen Okta Integrationsprofil, fordern Sie an Software Asset ManagementSaaS-Lizenzmanagement Plugin (sn_sam_saas_int) aus dem ServiceNow Store .

    ServiceNow Erforderliche Rolle: sam_Integrator oder admin

    Wichtig:
    Sie müssen auswählen Okta-Spoke Kontrollkästchen für diese Integration beim Installieren optionaler Funktionen auf dem Application Manager Seite. Weitere Informationen zur Auswahl der erforderlichen SaaS-Anwendungen finden Sie unter SaaS-Lizenzmanagement anfordern.

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Ab Version 7.0.0 von Software Asset ManagementSaaS-Lizenzmanagement Und Version 4.1.2 des Okta Spoke, Ihr ServiceNow Instanz erstellt eine separate Okta Verbindung für jeden Okta Integrationsprofil, das Sie erstellen. Jede Verbindung wird unabhängig voneinander ausgeführt, sodass Ihre Instanz mehrere unabhängige Verbindungen unterstützen kann Okta Integrationsprofile.

    Wenn Sie verwenden Software-Asset-Arbeitsbereich, Die Option zum Erstellen von Okta Integrationsprofil in Core-UI Ist inaktiv.

    Prozedur

    1. Navigieren Sie zum Integrationsprofil.
      SchnittstelleAktion
      Core-UI
      1. Navigieren zu Alle > Software Asset > SaaS-Lizenz > SSO-Integrationsprofilean.
      2. Wählen Sie Neu.
      3. Wählen Sie Aus Okta-Integrationsprofil .
      Software-Asset-Arbeitsbereich
      1. Navigieren zu Lizenzvorgänge > Anwenderabonnements > SSO-Integrationsprofilean.
      2. Wählen Sie Neu.
      3. Wählen Sie Aus Okta Aus der Dropdown-Liste.
      4. Wählen Sie Fortsetzen.
    2. Füllen Sie im Formular die Felder aus.
      Tabelle : 2. Formular „SSO-Integrationsprofil“
      Feld Beschreibung
      Anzeigename Name des Integrationsprofils. Beispiel: Okta-Integration .
      Status Status des Integrationsprofils.
      • Wenn Sie das Integrationsprofil nicht veröffentlicht haben, wird dieses Feld automatisch auf festgelegt Entwurf .
      • Wenn Sie das Integrationsprofil bereits veröffentlicht haben, wird dieses Feld automatisch auf festgelegt Veröffentlicht .
      Verzeichnisintegration Ein Verweis auf das Verzeichnisintegrationsprofil, das zum Abrufen der Active Directory-Anwender, -Gruppen und -Gruppenmitgliedschaften einer Organisation verwendet wird.
      • Wenn ein Verzeichnisintegrationsdatensatz für Okta Vorhanden, können Sie den vorhandenen Datensatz auswählen.
      • Wenn ein Verzeichnisintegrationsdatensatz für Okta Ist nicht vorhanden, ein neuer Datensatz wird erstellt, wenn Sie dieses Formular speichern oder übermitteln.
      Profiltyp Typ des Integrationsprofils.

      Dieses Feld wird automatisch auf festgelegt Okta .
      Verbindung und Anmeldeinformationen

      Verweis auf den Alias für Verbindungen und Anmeldeinformationen, der in der Verzeichnis- und SSO-Integration verwendet wird.

      • Wenn ein Verzeichnisintegrationsdatensatz vorhanden ist und Sie ihn im Feld Verzeichnisintegration auswählen, wird dieses Feld automatisch auf den Alias für Verbindungen und Anmeldeinformationen des Verzeichnisintegrationsdatensatzes festgelegt.
      • Wenn kein Verzeichnisintegrationswert vorhanden ist, wird dieses Feld automatisch ausgefüllt.
      Okta-Abonnements erstellen Option zum Erstellen eines direkten Integrationsprofils zum Anzeigen Okta Abonnements, nachdem dieses Integrationsprofil veröffentlicht wurde.

      Standardwert: False
    3. Zeigen Sie im Abschnitt „Prozesskonfiguration“ die erforderlichen Anwenderrollen oder API-Berechtigungen an, um Sicherheitsrisiken zu minimieren und zu optimieren SaaS Lizenzen.
      Hinweis:
      Weitere Informationen zu den erforderlichen Rollen und Umfängen finden Sie unter Minimale Anwenderberechtigungen Tabelle.

      • Die Laden Sie Anwendungen, Anwender und Gruppen herunter Das Kontrollkästchen ist standardmäßig aktiviert, und Sie können es nicht deaktivieren.

      • Die Aktivität Herunterladen Das Kontrollkästchen ist standardmäßig aktiviert. Wenn Sie sie löschen, wird die letzte Aktivität für verbundene Anwendungen nicht abgerufen.

      • Die Abonnements zurückfordern Das Kontrollkästchen ist standardmäßig aktiviert. Wenn Sie keine Abonnements zurückfordern möchten, können Sie dieses Kontrollkästchen deaktivieren. Wenn Sie dies löschen, werden die Entfernungskandidaten erstellt, der Subflow „Abonnement zurückfordern“ wird jedoch nicht ausgelöst, oder der Reklamationsprozess wird nicht initiiert.

    4. Wählen Sie Absenden.
      Die Verbindung Und Anmeldeinformationen Feld wird automatisch auf festgelegt sn_okta_Spoke.okta_Apps_users_groups_activity_and_reclaim .
      Hinweis:
      Der automatisch ausgefüllte Wert in Verbindung und Anmeldeinformationen Feldänderungen basierend auf der Auswahl in Aktivität herunterladen Und Abonnements zurückfordern Kontrollkästchen.
      Tabelle : 3. Automatisch ausgefüllte Verbindungs- und Anmeldeinformationswerte basierend auf der Auswahl
      Auswahl Wert für Verbindung und Anmeldeinformationen
      Beides Aktivität herunterladen Und Abonnements zurückfordern Sind ausgewählt. sn_okta_Spoke.okta_Apps_users_groups_activity_and_reclaim
      Nur Aktivität herunterladen Ist ausgewählt. sn_okta_Spoke.okta_Demo_Profile_Apps_users_groups_activity
      Nur Abonnements zurückfordern Ist ausgewählt. sn_okta_Spoke.okta_Demo_Profile_Apps_users_groups_activity_and_reclaim
      Beides Aktivität herunterladen Und Abonnements zurückfordern Sind nicht ausgewählt. sn_okta_Spoke.okta_Demo_Profile_Apps_users_groups_activity
    5. Öffnen Sie das Dialogfeld Verbindung und Anmeldeinformationen erstellen.
      SchnittstelleAktion
      Core-UI Wählen Sie aus Neue Verbindung Und Anmeldeinformationen Erstellen Zugehöriger Link im Formular „SSO-Integrationsprofil“.
      Software-Asset-Arbeitsbereich
      1. Auswählen des Vorschausymbols ( Vorschausymbol.) Neben Verbindung Und Anmeldeinformationen Feld
      2. Wählen Sie Aus Öffnen Sie Den Datensatz In der Datensatzvorschau.
      3. Wählen Sie im Formular Aliasse für Verbindungen und Anmeldeinformationen die aus Neue Verbindung Und Anmeldeinformationen Erstellen Zugehöriger Link.
    6. Füllen Sie die Felder im Dialogfeld aus.
      Tabelle : 4. Dialogfeld „Verbindung und Anmeldeinformationen erstellen“
      Feld Beschreibung
      Name Name der Verbindung Beispiel: Okta-Verbindung .
      Verbindungs-URL URL für die Verbindung. Geben Sie Ein https://< Ihre OktaDomain >.com , Wobei < Ihre OktaDomain > ist Ihre Organisationsdomäne.
      Autorisierungs-URL URL des OAuth-Autorisierungs-Endpunkts. Geben Sie Ein https://< Ihre OktaDomain >.com/oauth2/v1/autorisieren , Wobei < Ihre OktaDomain > ist Ihre Organisationsdomäne.
      Token-URL URL des OAuth-Endpunkts, der Zugriffstoken abruft und aktualisiert. Geben Sie Ein https://< Ihre OktaDomain >.com/oauth2/v1/Token , Wobei < Ihre OktaDomain > ist Ihre Organisationsdomäne.
      Token-Sperr-URL URL des OAuth-Endpunkts, der Zugriffstoken widerruft. Geben Sie Ein https://< Ihre OktaDomain >.com/oauth2/v1/revoke , Wobei < Ihre OktaDomain > ist Ihre Organisationsdomäne.
      OAuth-Client-ID Client-ID, die Ihrem zugewiesen ist Okta Anwendung.
      OAuth-Client-Geheimnis Geheimer Clientschlüssel, der Ihrem zugewiesen ist Okta Anwendung.
      OAuth-Umleitungs-URL URL des OAuth-Providers, zu dem Anwender nach der Authentifizierung weitergeleitet werden. Dieses Feld wird automatisch auf festgelegt https://<instance-name>.service-now.com/oauth_redirect.do , Wobei < Instanzname > ist der Name von ServiceNow Instanz.
    7. Wählen Sie OAuth-Token erstellen und abrufen aus.
      Hinweis:
      Sie müssen sich mit denselben Anmeldeinformationen wie der Anwender mit der erforderlichen Rolle anmelden. Informationen zur Rolle, die für diesen Schritt erforderlich ist, finden Sie unter Minimale Anwenderberechtigungen Tabelle.
    8. Wählen Sie im Formular „Integrationsprofil“ die Option aus Validieren Sie Die Verbindung Dient zum Überprüfen der Verbindungs- und Anmeldeinformationsdetails dieser Integration.
    9. Nachdem die Verbindung verifiziert wurde, wählen Sie aus Veröffentlichen .
    10. Wählen Sie im Dialogfeld „Bestätigung veröffentlichen“ die Option aus OK .
      Wenn Sie löschen Aktivität Herunterladen Kontrollkästchen nach der Veröffentlichung des Integrationsprofils müssen Sie die Verbindungen erneut validieren, da die folgenden Ereignisse auftreten:
      • Die Validieren Sie die Verbindung Schaltfläche wird im Formular angezeigt.
      • Die letzte Aktivität für Anwender der verbundenen Anwendungen wird nicht mehr abgerufen.

    Ergebnisse

    Sowohl geplante Aufgaben als auch Verzeichnisaufträge laden eine Liste aller Anwendungen, Anwender, Gruppen und Softwareabonnements herunter, die Ihrem zugeordnet sind Okta Anwendung. Zeigen Sie den Status Ihres Auftrags in an Ergebnisse Geplanter Aufgaben Und Verzeichnisauftragsergebnisse Registerkarten Ihres Integrationsprofils. Software Asset Management Erstellt automatisch Softwaremodelle für Anwendungen mit einer externen Katalog-ID, die einer entspricht Bezeichner In der Tabelle „Abonnementproduktdefinitionen“ [samp_SW_Subscription_Product-Definition].

    Nächste Maßnahme

    Wenn Sie ausgewählt haben Erstellen Sie Okta-Abonnements Kontrollkästchen und dieses Integrationsprofil wird veröffentlicht, ein direktes Integrationsprofil für Okta Wird erstellt. Sie können zum Profil der direkten Integration navigieren, indem Sie auswählen Profil der direkten Integration Link in der Informationsnachricht.

    Nachdem Sie zum Profil der direkten Integration navigiert haben, können Sie anzeigen Okta Abonnements, indem Sie auswählen Software-Abonnements Registerkarte. Weitere Informationen finden Sie unter Okta Profil der direkten SSO-Integration.

    Warnung:

    Wenn Ihr OAuth-Token abläuft, wird Ihr Okta Das Integrationsprofil zeigt eine Fehlermeldung an, die angibt, dass Sie ein neues OAuth-Token abrufen müssen. Wählen Sie den Link in der Fehlermeldung aus, um das neue OAuth-Token abzurufen.

    Löschen Sie nicht den OAuth 2,0-Anmeldeinformationsdatensatz, der dem Verbindungsdatensatz für zugeordnet ist Okta Integrationsprofil. Wenn Sie den OAuth 2,0-Anmeldeinformationsdatensatz löschen, können Sie nach Ablauf Ihres aktuellen OAuth-Tokens kein neues OAuth-Token abrufen.

    Nachdem Sie das Integrationsprofil veröffentlicht und Anwendungen mit dem Profil verbunden haben, können Sie Ereignisse anzeigen, die von einzelnen Anwendern bis zu 60 Tage vor dem aktuellen Datum ausgeführt wurden. Weitere Informationen finden Sie unter Überprüfen Sie eine Software-Reklamationsregel.

    Okta Profil der direkten SSO-Integration

    Okta Das Profil der direkten SSO-Integration hilft Ihnen bei der Verwaltung Okta Anwenderlizenzen durch Erstellen von Abonnements für Okta Anwender beim Einrichten von Okta SSO-Integration.

    Tabelle : 5. OKTA-SSO-Direktintegrationsprofil
    Feld Beschreibung
    Anzeigename Name des Integrationsprofils.
    Status Status des Integrationsprofils.

    Dieses Feld wird automatisch auf festgelegt Veröffentlicht .
    Profiltyp Integrationsprofiltyp.

    Dieses Feld wird automatisch auf festgelegt Okta-Abonnement .
    Abonnement-Subflow herunterladen
    Subflow Dieses Feld wird automatisch auf festgelegt Okta – Abonnements Herunterladen .

    Verbinden Sie SSO-Anwendungen

    Verbinden Sie eine SSO-Anwendung, um alle Anwender und Gruppen zu überwachen, die Zugriff auf diese Anwendung haben. Während die SSO-Integration eine Zusammenfassung der Anwendungsnutzung und -Aktivität bietet, bietet die direkte Integration detaillierte Einblicke in diese Metriken.

    Vorbereitungen

    ServiceNow Erforderliche Rolle: sam_Integrator oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    ServiceNow® SaaS-Lizenzmanagement Bietet direkte Integrationen mit einigen Anwendungen. Direkte Integrationen bieten die umfassendsten Nutzungsdaten. Eine Liste der verfügbaren direkten Integrationen finden Sie unter Integration mit SaaS-Anwendungen.

    Wenn Sie bereits eine direkte Integration für eine Anwendung erstellt haben, werden durch die Verbindung derselben Anwendung in einer SSO-Integration doppelte Abonnementdatensätze in Ihrem erstellt ServiceNow Instanz. Sie sollten nur die direkte Integration verwenden. Wenn Sie eine Anwendung in einer SSO-Integration verbinden, aber später eine direkte Integration für diese Anwendung erstellen möchten, trennen Sie die Anwendung, bevor Sie die direkte Integration erstellen.

    Prozedur

    1. Navigieren zu Alle > SaaS-Lizenz > SSO-Anwendungenan.
    2. Wählen Sie die Anwendung aus, die Sie verbinden möchten.
    3. Wenn Softwaremodell Feld ist leer. Fügen Sie ein Softwaremodell für die Anwendung hinzu.
      Bevor Sie eine Anwendung verbinden können, muss sie einem Softwaremodell zugeordnet werden. ServiceNow® Software Asset Management Erstellt automatisch Softwaremodelle für Anwendungen mit einer externen Katalog-ID, die einer entspricht Bezeichner In der Tabelle „Abonnementproduktdefinitionen“ [samp_SW_Subscription_Product_Definition]. Für alle anderen Anwendungen können Sie ein Softwaremodell manuell erstellen. Detaillierte Anweisungen hierzu finden Sie unter Erstellen Sie Softwaremodelle in Software Asset Management Klassisch.
    4. Wahlweise: Wählen Sie aus Aktivieren Sie das gruppenbasierte Softwaremodell Kontrollkästchen zum Zuordnen einer SSO-Gruppe zu einem bestimmten Softwaremodell für die Anwendung.

      Wenn eine Anwendung beispielsweise mehrere Lizenzmodelle hat, die mit bestimmten Gruppen verknüpft sind, können Sie eine Gruppe einem Softwaremodell zuordnen, um die Lizenznutzung zu optimieren.

      Wichtig:
      Wenn Sie diese Option auswählen, müssen Sie eine Zuordnung für die SSO-Gruppe erstellen, bevor Sie die Anwendung verbinden. Nachdem die Zuordnung abgeschlossen ist, werden die SSO-Abonnements automatisch gemäß dem zugeordneten Softwaremodell erstellt oder aktualisiert. Weitere Informationen finden Sie unter Erstellen Sie eine SSO-Gruppen-Softwaremodellzuordnung.
    5. Wählen Sie im das Datum aus, ab dem Sie die letzte Aktivität analysieren möchten Analysieren Sie die letzte Aktivität aus Feld.

      Sie können mit der Analyse von Anmeldedaten für einzelne Anwender und Anwendungen ab dem aktuellen Datum oder bis zu 60 Tage früher beginnen. Der Standardwert beträgt 30 Tage. Wenn Sie ein Datum vor dem aktuellen Datum auswählen, kann es aufgrund der Datenmenge, die Sie analysieren möchten, länger dauern, bis Ergebnisse angezeigt werden.

      Nachdem Sie einen Wert in übermittelt haben Analysieren Sie die letzte Aktivität aus Feld, wird das Feld schreibgeschützt.

    6. Wählen Sie Verbinden.
      Tipp:
      Um mehrere Anwendungen gleichzeitig zu verbinden, aktivieren Sie das Kontrollkästchen für jede Anwendung, die Sie in der Liste SSO-Anwendungen verbinden möchten. Wählen Sie im Menü ausgewählte Zeile die Aktionen aus, und wählen Sie dann aus Verbinden . Wenn Anwendungen keinem Softwaremodell zugeordnet sind, der Name des Verbinden Das Menüelement wird aktualisiert, um anzuzeigen, dass nur einige der Anwendungen verbunden sind. Beispiel: A Verbinden (1 von 4) Das Menüelement gibt an, dass nur eine der vier von Ihnen ausgewählten Apps verbunden ist. Fügen Sie den verbleibenden Anwendungen Softwaremodelle hinzu, um mit den Verbindungen fortzufahren.

    Nächste Maßnahme

    Nachdem die SSO-Anwendung eine Verbindung hergestellt hat, ist Ihr ServiceNow Die Instanz erstellt automatisch Anwender, Gruppen, Abonnements und Reklamationsregeln, die täglich aktualisiert werden. Wenn Sie eine Anwender-, Anwendungs-, Gruppen- oder Gruppenmitgliedschaft aus löschen Okta Entwicklerkonsole, die Änderungen werden auf Ihrer berücksichtigt ServiceNow Instanz.

    Überprüfen Sie alle automatisch generierten Reklamationsregeln, um sicherzustellen, dass sie Ihren Spezifikationen für die Rückforderung von Anwenderabonnements entsprechen. Weitere Informationen finden Sie unter Überprüfen Sie eine Software-Reklamationsregel.

    Nachdem Sie die SSO-Anwendung verbunden haben, zeigen Sie Informationen zum SSO-Profil in an Software-Asset-Arbeitsbereich Indem Sie zu navigieren Lizenzvorgänge > Anwenderabonnement > SSO-Integrationsprofilean. Sie können ein Integrationsprofil auswählen, um die folgenden zugehörigen Listen anzuzeigen.
    • SSO-Anwendungen
    • Verzeichnisanwender
    • Geplante Aufgaben
    • Ergebnisse der geplanten Aufgabe
    • Verzeichnisaufträge
    • Ergebnisse des Verzeichnisauftrags
    • Ausschlussregel für Abonnementanwender

    Nach dem Erstellen eines Integrationsprofils können Sie Abonnementausschlussregeln definieren, um bestimmte Abonnements von den Berechnungen der Lizenzkosten zu befreien. Weitere Informationen finden Sie unter Abonnementausschlüsse für SaaS Und SSO-Anwendungen.

    Erstellen Sie Softwareberechtigungen für die automatisch generierten Softwaremodelle, um verwendete Software im Vergleich zu eigener Software nachzuverfolgen. Weitere Informationen zum Erstellen von Softwareberechtigungen in finden Sie in Software Asset Management Klassische Anwendung, siehe Erstellen Sie Berechtigungen in Software Asset Management Klassisch. Weitere Informationen zum Erstellen von Softwareberechtigungen im Software Asset-Arbeitsbereich finden Sie unter Erstellen Sie Berechtigungen im Arbeitsbereich. Weitere Informationen zum Erstellen von Softwareberechtigungen mit Software Asset Management Playbook, siehe Erstellen Sie Berechtigungen mit der geführten Führung.

    Der Abgleich wird auch für Ihre Abonnements als geplante Aufgabe oder bei Bedarf ausgeführt. Sie können Ihre Abgleichergebnisse in anzeigen Lizenz-Workbench ( Software Asset Management Klassische Anwendung) oder Lizenznutzungsansicht (Software-Asset-Arbeitsbereich). Verwenden Sie diese Ergebnisse, um Ihre Lizenz-Compliance-Position zu bestimmen und Verstöße zu beheben. Weitere Informationen zum Ausführen des Abgleichs in finden Sie Software Asset Management Klassische Anwendung, siehe Führen Sie den Softwareabgleich in aus Software Asset Management Klassisch. Weitere Informationen zum Ausführen des Abgleichs im Software Asset-Arbeitsbereich finden Sie unter Führen Sie den Softwareabgleich im Arbeitsbereich aus.