Azure Monitor mit OAuth-Authentifizierung integrieren

Washington DC IT Operations Management

Release

washingtondc

ft:locale

de-DE

ft:publication_title

Washington DC IT Operations Management

ft:clusterId

itom

bundleId

itom

workflow

Technology

Azure Monitor mit OAuth-Authentifizierung integrieren

Freigeben Version: Washingtondc

Aktualisiert 1. Februar 2024

3 Minuten Lesedauer

Integrieren Sie Microsoft Azure mit Ereignismanagement, indem Sie Azure V1- oder V2-Token im Azure-Monitor authentifizieren.

Vorbereitungen

Stellen Sie sicher, dass das Plugin Ereignismanagement „ Connectors“ (sn_em_connector) in der Instanz Now Platform installiert ist.

Erforderliche Rollen: evt_mgmt_admin, web_service_admin und oauth_admin

Warum und wann dieser Vorgang ausgeführt wird

Konfigurieren Sie die Ereignismanagement-Umgebung für die Erfassung von Events aus Azure Monitor. Legen Sie in Ihrem Azure Monitor-Portal Ihre Now Platform-Instanz mithilfe von V1- oder V2-Token als REST-Endpunkt fest.

Prozedur

Im Azure Monitor-Portal:
1. Führen Sie die App-Registrierung durch, und stellen Sie eine API bereit.
  Weitere Informationen zum Registrieren einer App und zum Bereitstellen einer API in Azure finden Sie unter https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-configure-app-expose-web-apis.
2. Erstellen Sie eine Aktionsgruppe mit einem sicheren Webhook, und geben Sie den REST-Endpunkt als https://<instance-name>.service-now.com/api/sn_em_connector/em/inbound_event?source=azuremonitor an.
  Weitere Informationen zum Hinzufügen eines sicheren Webhooks zu einer Aktionsgruppe finden Sie unter https://docs.microsoft.com/en-us/azure/azure-monitor/platform/action-groups.
3. Navigieren zu Warnungen > Warnungsregeln verwalten.
4. Stellen Sie im Abschnitt „Secure Webhook“ (Sicherer Webhook) sicher, dass Ja für die Option Enable the common alert schema (Gemeinsames Warnungsschema aktivieren) ausgewählt ist.
5. Fügen Sie die Aktionsgruppe mit dem sicheren Webhook einer Warnungsregel hinzu.
Überprüfen Sie im Azure Monitor-Portal, welches Azure-Token von Ihrer registrierten Anwendung verwendet wird.
1. Navigieren Sie zu App Registration (App-Registrierung), und wählen Sie die registrierte Anwendung aus.
2. Klicken Sie im Abschnitt „Verwalten“ auf Manifest.
3. Suchen Sie im Editor-Bildschirm den Parameter accessTokenAcceptedVersion.
  Wenn der Wert von accessTokenAcceptedVersion gleich 2 ist, müssen bei der Integration die V2-Token verwendet werden.
  Wenn der Wert von accessTokenAcceptedVersion gleich 1 oderNull ist, müssen bei der Integration die V1-Token verwendet werden.
Stellen Sie in Ihrer Now Platform-Instanz sicher, dass dem ServiceNow-Benutzer die richtige Anwendungs-ID (Client-ID) oder der URI mit der richtigen Anwendungs-ID zugewiesen ist.
Stellen Sie außerdem sicher, dass ServiceNow sys_user die Rolle evt_mgmt_integration zugewiesen ist.
1. Navigieren zu Systemsicherheit > Benutzer und Gruppen > Benutzer.
  
  Hinweis:
  Um eine ordnungsgemäße Authentifizierung sicherzustellen, verwenden Sie den Benutzer mit den geringsten Berechtigungen mit der Rolle evt_mgmt_integration anstelle eines Benutzers mit hohen Berechtigungen.
2. Stellen Sie sicher, dass das Feld Quelle für den ServiceNow-sys_user mit der richtigen Anwendungs-ID (Client-ID) oder dem URI mit der richtigen Anwendungs-ID ausgefüllt ist, wie im Azure Monitor-Portal definiert.
  Wenn die Anwendung ein Azure V1-Token verwendet, muss in das Feld Quelle der URI der Anwendungs-ID der registrierten Anwendung eingetragen werden. Wenn die Anwendung ein Azure V2-Token verwendet, muss in das Feld Quelle die Anwendungs-ID (Client-ID) der registrierten Anwendung eingetragen werden.
  Wenn das Feld Quelle nicht angezeigt wird, ändern Sie das Formularlayout so, dass dieses Feld angezeigt wird. Klicken Sie auf das Kontextmenüsymbol ( ), und wählen Sie Konfigurieren > Formularlayout aus. Verschieben Sie Quelle in die Liste „Ausgewählt“.
  Hinweis:
  Wenn Version Ihrer Now Platform-Instanz Paris Patch 2 oder Orlando Patch 9 oder früher ist, muss der Wert im Feld Quelle in eckige Klammern eingeschlossen werden. Beispiel: [api://azuretest].
Navigieren Sie in Ihrer Instanz Now Platform zu Ereignismanagement > Integrationen > Azure OAuth-Konfiguration.
Klicken Sie auf Azure OAuth OIDC Entry (Azure OAuth OIDC-Eintrag), und geben Sie die Client-ID ein.
Wenn die registrierte Anwendung ein Azure V2-Token verwendet, muss die Client-ID mit der Anwendungs-ID (Client-ID) der im Azure Monitor-Portal definierten App-Registrierungen identisch sein.
Wenn die registrierte Anwendung ein Azure V1-Token verwendet, muss die Client-ID mit dem URI der Anwendungs-ID der im Azure Monitor-Portal definierten App-Registrierungen identisch sein (der bereitgestellten API).
Klicken Sie im Feld OAuth-OIDC-Providerkonfiguration auf das Info-Symbol ( ).
Klicken Sie im Fenster „OIDC-Provider-Konfiguration“ auf Datensatz öffnen.

Geben Sie die OIDC-Metadaten-URL entsprechend dem von der registrierten Anwendung verwendeten Azure-Token ein (siehe folgende Tabelle).

Azure-Token	OIDC-Metadaten-URL
V2	Fügen Sie im Formular „OIDC-Provider-Konfiguration“ im Feld OIDC-Metadaten-URL die folgende URL hinzu: https://login.microsoftonline.com/<tenant-id>/v2.0/.well-known/openid-configuration Achten Sie darauf, dass <tenant-id> durch die richtige Azure-Mandanten-ID ersetzt wird.
V1	Gehen Sie im Formular „OIDC-Provider-Konfiguration“ wie folgt vor: Ändern Sie in der Spalte „Anspruchname“ `azp` in `appid`. Fügen Sie im Feld OIDC-Metadaten-URL die folgende URL hinzu: https://login.microsoftonline.com/<tenant-id>/.well-known/openid-configuration Achten Sie darauf, dass <tenant-id> durch die richtige Azure-Mandanten-ID ersetzt wird.

Azure-Token

OIDC-Metadaten-URL

Fügen Sie im Formular „OIDC-Provider-Konfiguration“ im Feld OIDC-Metadaten-URL die folgende URL hinzu:

https://login.microsoftonline.com/<tenant-id>/v2.0/.well-known/openid-configuration

Achten Sie darauf, dass <tenant-id> durch die richtige Azure-Mandanten-ID ersetzt wird.

Gehen Sie im Formular „OIDC-Provider-Konfiguration“ wie folgt vor:

Ändern Sie in der Spalte „Anspruchname“ azp in appid.
Fügen Sie im Feld OIDC-Metadaten-URL die folgende URL hinzu: https://login.microsoftonline.com/<tenant-id>/.well-known/openid-configuration
Achten Sie darauf, dass <tenant-id> durch die richtige Azure-Mandanten-ID ersetzt wird.

Ergebnisse

Wenn in Azure Monitor eine Warnung als Teil der Warnungsregel erstellt wird, wird die Benachrichtigung über den sicheren Webhook-Endpunkt an die Now Platform gesendet. Navigieren Sie in Ihrer Now Platform-Instanz zu Alle Ereignisse, um die Events anzuzeigen. Wenn Sie Warnungsstatusänderungen für die ServiceNow-Instanz von den ServiceNow-Warnungen an das Azure-Portal senden möchten, müssen Sie den bidirektionalen Azure Monitor-Connector aktivieren. Weitere Informationen finden Sie unter Bidirektionalen Azure Monitor-Connector konfigurieren .