Integration mit Okta

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 9 Minuten Lesedauer
  • Sie können integrieren ServiceNowInstanz mit OktaDient zum Anzeigen der Softwarenutzung für alle verbundenen SSO-Anwendungen.

    Wichtig:
    Minimieren Sie Sicherheitsrisiken, und schützen Sie Informationen, indem Sie nur den erforderlichen Anwender- oder API-Berechtigungen Zugriff gewähren.
    Tabelle : 1. Minimale Anwenderberechtigungen
    Prozess Erforderliche Anwenderrolle in OktaAnwendung Authentifizierungsbereiche
    Anwender herunterladen Schreibgeschützter Administrator okta.users.read
    • Gruppen herunterladen
    • Gruppenmitgliedschaften herunterladen
    Schreibgeschützter Administrator okta.groups.read
    Anwendungen herunterladen Schreibgeschützter Administrator
    • okta.apps.read
    • okta.logs.read
    Verbinden Sie Anwendungen Schreibgeschützter Administrator okta.Protokolle.gelesen
    Aktualisieren Sie verbundene Anwendungen Schreibgeschützter Administrator
    • okta.Apps.read
    • okta.Protokolle.gelesen
    Abonnements zurückfordern Anwendungsadministrator okta.Apps.Verwalten

    Erstellen Sie einen OktaAnwendung

    Erstellen Sie einen OktaAnwendung, die Sie in integrieren können Now Platform.

    Vorbereitungen

    OktaErforderliche Rolle: Siehe Minimale Anwenderberechtigungen Tabelle.

    Siehe Administratorrollen und -Berechtigungen Für weitere Details zu Oktaadministratorrollen und Umfänge und unterstützte Endpunkte Für weitere Details zu OktaOAuth-Umfänge.

    Prozedur

    1. Melden Sie sich über einen Webbrowser bei an Okta-Administratorkonsole .
    2. Erstellen Sie einen OktaAnwendung mit OAuth 2,0-Funktionalität.

      Siehe Erstellen Sie eine OAuth 2,0-App für Okta Für detaillierte Anweisungen.

      Beachten Sie beim Erstellen von Folgendes OktaAnwendung:
      • In Anmelde-Umleitungs-URI Und Umleitungs-URI für Abmeldung Felder eingeben https://<instance-name>.service-now.com/oauth_redirect.do , Wobei < Instanzname > ist der Name von ServiceNowInstanz.
      • Kopieren Sie die Werte in Client-ID Und Geheimer Client Felder. Speichern Sie sie an einem sicheren Ort für die spätere Verwendung.
      • Gewähren Sie Ihrem die folgenden Umfänge OktaOAuth 2,0-Anwendung:
        • okta.groups.read
        • okta.apps.read
        • okta.users.read
        • okta.logs.read
        • okta.Apps.Verwalten
      • Wählen Sie aus Aktualisieren Sie Das Token Kontrollkästchen unter Client, der im Namen eines Anwenders handelt Gewährungstyp im Okta-Portal.

    Erstellen Sie einen OktaIntegrationsprofil

    Erstellen Sie einen OktaIntegrationsprofil in Ihrem ServiceNowInstanz.

    Vorbereitungen

    Zum Erstellen von OktaIntegrationsprofil, fordern Sie an Software Asset ManagementSaaS-LizenzmanagementPlugin (sn_sam_saas_int) von ServiceNow-Speicher .

    ServiceNow Erforderliche Rolle: sam_Integrator oder admin

    Wichtig:
    Sie müssen auswählen Okta-Spoke Kontrollkästchen für diese Integration beim Installieren optionaler Funktionen auf Application ManagerSeite. Weitere Informationen zur Auswahl der erforderlichen SaaS-Anwendungen finden Sie unter SaaS-Lizenzmanagement anfordern.

    Warum und wann dieser Vorgang ausgeführt wird

    Hinweis:
    Ab Version 7.0.0 von Software Asset ManagementSaaS-LizenzmanagementUnd Version 4.1.2 von OktaSpoke, Ihr ServiceNowInstanz erstellt eine separate OktaVerbindung für jeden OktaIntegrationsprofil, das Sie erstellen. Jede Verbindung wird unabhängig voneinander ausgeführt, sodass Ihre Instanz mehrere unabhängige Verbindungen unterstützen kann OktaIntegrationsprofile.

    Wenn Sie verwenden Software-Asset-Arbeitsbereich, Die Option zum Erstellen von OktaIntegrationsprofil in Core-UIIst inaktiv.

    Prozedur

    1. Navigieren Sie zum Integrationsprofil.
      SchnittstelleAktion
      Core-UI
      1. Navigieren zu Alle > Software Asset > SaaS-Lizenz > SSO-Integrationsprofilean.
      2. Wählen Sie Neu.
      3. Wählen Sie Aus Okta-Integrationsprofil .
      Software-Asset-Arbeitsbereich
      1. Navigieren zu Lizenzvorgänge > Anwenderabonnements > SSO-Integrationsprofilean.
      2. Wählen Sie Neu.
      3. Wählen Sie Aus Okta Aus der Dropdown-Liste.
      4. Wählen Sie Fortsetzen.
    2. Füllen Sie im Formular die Felder aus.
      Tabelle : 2. Formular für SSO-Integrationsprofil
      Feld Beschreibung
      Anzeigename Name des Integrationsprofils. Beispiel: Okta-Integration .
      Status Status des Integrationsprofils.
      • Wenn Sie das Integrationsprofil nicht veröffentlicht haben, wird dieses Feld automatisch auf festgelegt Entwurf .
      • Wenn Sie das Integrationsprofil bereits veröffentlicht haben, wird dieses Feld automatisch auf festgelegt Veröffentlicht .
      Verzeichnisintegration Ein Verweis auf das Verzeichnisintegrationsprofil, das zum Abrufen der Active Directory-Anwender, -Gruppen und -Gruppenmitgliedschaften einer Organisation verwendet wird.
      • Wenn ein Verzeichnisintegrationsdatensatz für OktaVorhanden, Sie können den vorhandenen Datensatz auswählen.
      • Wenn ein Verzeichnisintegrationsdatensatz für OktaIst nicht vorhanden, ein neuer Datensatz wird erstellt, wenn Sie dieses Formular speichern oder übermitteln.
      Profiltyp Typ des Integrationsprofils.

      Dieses Feld wird automatisch auf festgelegt Okta .

      Verbindung und Anmeldeinformationen

      Verweis auf den Alias für Verbindungen und Anmeldeinformationen, der in der Verzeichnis- und SSO-Integration verwendet wird.

      • Wenn ein Verzeichnisintegrationsdatensatz vorhanden ist und Sie ihn im Feld „Verzeichnisintegration“ auswählen, wird dieses Feld automatisch auf den Alias für Verbindungen und Anmeldeinformationen des Verzeichnisintegrationsdatensatzes festgelegt.
      • Wenn kein Verzeichnisintegrationswert vorhanden ist, wird dieses Feld automatisch ausgefüllt.
      Okta-Abonnements erstellen Option zum Erstellen eines direkten Integrationsprofils zum Anzeigen OktaAbonnements, nachdem dieses Integrationsprofil veröffentlicht wurde.

      Standardwert: False

    3. Zeigen Sie im Abschnitt „Prozesskonfiguration“ die erforderlichen Anwenderrollen oder API-Berechtigungen an, um Sicherheitsrisiken zu minimieren und zu optimieren SaaSLizenzen.
      Hinweis:
      Weitere Informationen zu den erforderlichen Rollen und Umfängen finden Sie unter Minimale Anwenderberechtigungen Tabelle.
      • Die Laden Sie Anwendungen, Anwender und Gruppen herunter Das Kontrollkästchen ist standardmäßig aktiviert, und Sie können es nicht deaktivieren.

      • Die Aktivität Herunterladen Das Kontrollkästchen ist standardmäßig aktiviert. Wenn Sie dies löschen, wird die letzte Aktivität für verbundene Anwendungen nicht abgerufen.
      • Die Abonnements zurückfordern Das Kontrollkästchen ist standardmäßig aktiviert. Wenn Sie keine Abonnements zurückfordern möchten, können Sie dieses Kontrollkästchen deaktivieren. Wenn Sie dies löschen, werden die Entfernungskandidaten erstellt, der Subflow „Abonnement zurückfordern“ wird jedoch nicht ausgelöst, oder der Reklamationsprozess wird nicht initiiert.

    4. Wählen Sie Absenden.
      Die Verbindung Und Anmeldeinformationen Feld wird automatisch auf festgelegt sn_okta_spoke.okta_apps_users_groups_activity_and_reclaim .
    5. Öffnen Sie das Dialogfeld Verbindung und Anmeldeinformationen erstellen.
      SchnittstelleAktion
      Core-UI Wählen Sie aus Erstellen Sie Eine Neue Verbindung Und Anmeldeinformationen Zugehöriger Link im Formular „SSO-Integrationsprofil“.
      Software-Asset-Arbeitsbereich
      1. Auswählen des Vorschausymbols ( Vorschausymbol.) Neben Verbindung Und Anmeldeinformationen Feld
      2. Wählen Sie Aus Datensatz Öffnen In der Datensatzvorschau.
      3. Wählen Sie im Formular Aliasse für Verbindungen und Anmeldeinformationen die aus Erstellen Sie Eine Neue Verbindung Und Anmeldeinformationen Zugehöriger Link.
    6. Füllen Sie im Dialogfeld die Felder aus.
      Tabelle : 3. Dialogfeld „Verbindung und Anmeldeinformationen erstellen“
      Feld Beschreibung
      Name Name der Verbindung. Beispiel: Okta-Verbindung .
      Verbindungs-URL URL für die Verbindung. Eingabetaste https://< YourOktaDomain >.com , Wobei < YourOktaDomain > ist Ihre Organisationsdomäne.
      Autorisierungs-URL URL des OAuth-Autorisierungs-Endpunkts. Eingabetaste https://< YourOktaDomain >.com/oauth2/v1/autorisieren , Wobei < YourOktaDomain > ist Ihre Organisationsdomäne.
      Token-URL URL des OAuth-Endpunkts, der Zugriffstoken abruft und aktualisiert. Eingabetaste https://< YourOktaDomain >.com/oauth2/v1/Token , Wobei < YourOktaDomain > ist Ihre Organisationsdomäne.
      Token-Sperr-URL URL des OAuth-Endpunkts, der Zugriffstoken widerruft. Eingabetaste https://< YourOktaDomain >.com/oauth2/v1/revoke , Wobei < YourOktaDomain > ist Ihre Organisationsdomäne.
      OAuth-Client-ID Client-ID, die Ihrem zugewiesen ist OktaAnwendung.
      OAuth-Client-Geheimnis Geheimer Clientschlüssel, der Ihrem zugewiesen ist OktaAnwendung.
      OAuth-Umleitungs-URL URL des OAuth-Providers, zu dem Anwender nach der Authentifizierung weitergeleitet werden. Dieses Feld wird automatisch auf festgelegt https://<instance-name>.service-now.com/oauth_redirect.do , Wobei < Instanzname > ist der Name von ServiceNowInstanz.
    7. Wählen Sie Aus OAuth-Token erstellen und abrufen .
      Hinweis:
      Informationen zur Rolle, die zur Ausführung dieses Schritts erforderlich ist, finden Sie unter Minimale Anwenderberechtigungen Tabelle.
    8. In OktaPortalanmeldedialogfeld eingeben OktaAnmeldeinformationen und dann auswählen Melden Sie Sich An .
      Hinweis:
      Sie müssen sich mit denselben Anmeldeinformationen wie in den Rollen „Superadministrator“, „Anwendungsadministrator“ oder „API-Zugriffsverwaltungsadministrator“ anmelden.
      Das Dialogfeld wird geschlossen, und Sie kehren automatisch zum Formular „SSO-Integrationsprofil“ zurück.
    9. Wählen Sie Speichern.
    10. Wählen Sie im Formular „Integrationsprofil“ die Option aus Validieren Sie Die Verbindung Dient zum Überprüfen der Verbindungs- und Anmeldeinformationsdetails dieser Integration.
    11. Nachdem die Verbindung verifiziert wurde, wählen Sie aus Veröffentlichen .
    12. Wählen Sie im Dialogfeld „Bestätigung veröffentlichen“ die Option aus OK .
      Wenn Sie löschen Aktivität Herunterladen Kontrollkästchen nach der Veröffentlichung des Integrationsprofils müssen Sie die Verbindungen erneut validieren, da die folgenden Ereignisse auftreten:
      • Die Validieren Sie die Verbindung Schaltfläche wird im Formular angezeigt.
      • Die letzte Aktivität für Anwender der verbundenen Anwendungen wird nicht mehr abgerufen.

    Ergebnisse

    Sowohl geplante Aufgaben als auch Verzeichnisaufträge laden eine Liste aller Anwendungen, Anwender, Gruppen und Softwareabonnements herunter, die Ihrem zugeordnet sind OktaAnwendung. Zeigen Sie den Status Ihres Auftrags in an Ergebnisse Geplanter Aufgaben Und Verzeichnisauftragsergebnisse Registerkarten Ihres Integrationsprofils. Software Asset ManagementErstellt automatisch Softwaremodelle für Anwendungen mit einer externen Katalog-ID, die einer entspricht Bezeichner In der Tabelle „Abonnementproduktdefinitionen“ [samp_sw_subscription_product-Definition].

    Nächste Maßnahme

    Wenn Sie ausgewählt haben Erstellen Sie Okta-Abonnements Kontrollkästchen und dieses Integrationsprofil wird veröffentlicht, ein direktes Integrationsprofil für OktaWird erstellt. Sie können zum direkten Integrationsprofil navigieren, indem Sie auswählen Direktes Integrationsprofil Link in der Informationsnachricht.

    Nachdem Sie zum direkten Integrationsprofil navigiert haben, können Sie anzeigen OktaAbonnements durch Auswahl von Softwareabonnements Registerkarte. Weitere Informationen finden Sie unter Okta Profil der direkten SSO-Integration.

    Warnung:

    Wenn Ihr OAuth-Token abläuft, ist Ihr OktaDas Integrationsprofil zeigt eine Fehlermeldung an, die angibt, dass Sie ein neues OAuth-Token abrufen müssen. Wählen Sie den Link in der Fehlermeldung aus, um das neue OAuth-Token abzurufen.

    Löschen Sie nicht den OAuth 2,0-Anmeldeinformationsdatensatz, der dem Verbindungsdatensatz für zugeordnet ist OktaIntegrationsprofil. Wenn Sie den OAuth 2,0-Anmeldeinformationsdatensatz löschen, können Sie nach Ablauf Ihres aktuellen OAuth-Tokens kein neues OAuth-Token abrufen.

    Nachdem Sie das Integrationsprofil veröffentlicht und Anwendungen mit dem Profil verbunden haben, können Sie Ereignisse anzeigen, die von einzelnen Anwendern bis zu 60 Tage vor dem aktuellen Datum ausgeführt wurden. Weitere Informationen finden Sie unter Überprüfen Sie eine Software-Reklamationsregel.

    Okta Profil der direkten SSO-Integration

    OktaDas direkte SSO-Integrationsprofil hilft Ihnen bei der Verwaltung OktaAnwenderlizenzen durch Erstellen von Abonnements für OktaAnwender beim Einrichten von OktaSSO-Integration.

    Tabelle : 4. Direktes Integrationsprofil für OKTA-SSO
    Feld Beschreibung
    Anzeigename Name des Integrationsprofils.
    Status Status des Integrationsprofils.

    Dieses Feld wird automatisch auf festgelegt Veröffentlicht .

    Profiltyp Typ des Integrationsprofils.

    Dieses Feld wird automatisch auf festgelegt Okta-Abonnement .

    Abonnement-Subflow herunterladen
    Subflow Dieses Feld wird automatisch auf festgelegt Okta-Abonnements Herunterladen .

    Verbinden Sie SSO-Anwendungen

    Verbinden Sie eine SSO-Anwendung, um alle Anwender und Gruppen zu überwachen, die Zugriff auf diese Anwendung haben. Sie können auch Anwenderanmeldungsdaten nachverfolgen und nicht verwendete Lizenzen zurückfordern.

    Vorbereitungen

    ServiceNow Erforderliche Rolle: sam_Integrator oder admin

    Warum und wann dieser Vorgang ausgeführt wird

    ServiceNow® SaaS-Lizenzmanagement Bietet direkte Integrationen mit einigen Anwendungen. Direkte Integrationen bieten die umfassendsten Nutzungsdaten. Eine Liste der verfügbaren direkten Integrationen finden Sie unter Integration in SaaS-Anwendungen.

    Wenn Sie bereits eine direkte Integration für eine Anwendung erstellt haben, werden beim Verbinden derselben Anwendung in einer SSO-Integration doppelte Abonnementdatensätze in erstellt ServiceNowInstanz. Sie sollten nur die direkte Integration verwenden. Wenn Sie eine Anwendung in einer SSO-Integration verbinden, später aber eine direkte Integration für diese Anwendung erstellen möchten, trennen Sie die Anwendung, bevor Sie die direkte Integration erstellen.

    Prozedur

    1. Navigieren zu Alle > SaaS-Lizenz > SSO-Anwendungenan.
    2. Wählen Sie die Anwendung aus, mit der Sie eine Verbindung herstellen möchten.
    3. Wenn Softwaremodell Feld ist leer. Fügen Sie ein Softwaremodell für die Anwendung hinzu.
      Bevor Sie eine Anwendung verbinden können, muss sie einem Softwaremodell zugeordnet werden. ServiceNow® Software Asset ManagementErstellt automatisch Softwaremodelle für Anwendungen mit einer externen Katalog-ID, die einer entspricht Bezeichner In der Tabelle „Abonnementproduktdefinitionen“ [samp_sw_subscription_product_definition]. Für alle anderen Anwendungen können Sie ein Softwaremodell manuell erstellen. Detaillierte Anweisungen hierzu finden Sie unter Erstellen Sie Softwaremodelle in Software Asset ManagementKlassisch.
    4. Wählen Sie das Datum aus, ab dem Sie die letzte Aktivität in analysieren möchten Analysieren Sie die letzte Aktivität von Feld.

      Sie können mit der Analyse von Anmeldedaten für einzelne Anwender und Anwendungen ab dem aktuellen Datum oder bis zu 60 Tage vor beginnen. Der Standardwert ist 30 Tage. Wenn Sie ein Datum vor dem aktuellen Datum auswählen, kann es aufgrund der Datenmenge, die Sie analysieren möchten, länger dauern, bis Ergebnisse angezeigt werden.

      Nachdem Sie einen Wert in übermittelt haben Analysieren Sie die letzte Aktivität von Feld, wird das Feld schreibgeschützt.

    5. Wählen Sie Aus Verbinden .
      Tipp:
      Um mehrere Anwendungen gleichzeitig zu verbinden, aktivieren Sie das Kontrollkästchen für jede Anwendung, die Sie in der Liste SSO-Anwendungen verbinden möchten. Wählen Sie im Menü „ausgewählte Zeile“ die Aktionen aus, und wählen Sie dann aus Verbinden . Wenn Anwendungen keinem Softwaremodell zugeordnet sind, der Name von Verbinden Das Menüelement wird aktualisiert, um anzugeben, dass nur einige der Anwendungen verbunden werden. Beispiel: A Verbinden (1 von 4) Das Menüelement gibt an, dass nur eine der vier von Ihnen ausgewählten Apps verbunden wird. Fügen Sie den verbleibenden Anwendungen Softwaremodelle hinzu, um mit den Verbindungen fortzufahren.

    Nächste Maßnahme

    Nachdem die SSO-Anwendung eine Verbindung hergestellt hat, ist Ihr ServiceNowDie Instanz erstellt automatisch Anwender, Gruppen, Abonnements und Reklamationsregeln, die täglich aktualisiert werden. Wenn Sie eine Anwender-, Anwendungs-, Gruppen- oder Gruppenmitgliedschaft aus löschen OktaEntwicklerkonsole, die Änderungen werden auf angezeigt ServiceNowInstanz.

    Überprüfen Sie alle automatisch generierten Reklamationsregeln, um sicherzustellen, dass sie Ihren Spezifikationen für die Rückforderung von Anwenderabonnements entsprechen. Weitere Informationen finden Sie unter Überprüfen Sie eine Software-Reklamationsregel.

    Erstellen Sie Softwareberechtigungen für die automatisch generierten Softwaremodelle, um verwendete Software mit eigener Software zu verfolgen. Weitere Informationen zum Erstellen von Softwareberechtigungen finden Sie in Software Asset ManagementKlassische Anwendung, siehe Erstellen Sie Berechtigungen in Software Asset ManagementKlassisch. Weitere Informationen zum Erstellen von Softwareberechtigungen im Software-Asset-Arbeitsbereich finden Sie unter Erstellen Sie Berechtigungen im Arbeitsbereich. Weitere Informationen zum Erstellen von Softwareberechtigungen mit Software Asset ManagementPlaybook, siehe Erstellen Sie Berechtigungen mithilfe der geführten Walk-Through.

    Der Abgleich wird auch für Ihre Abonnements als geplante Aufgabe oder bei Bedarf ausgeführt. Sie können Ihre Abgleichsergebnisse in anzeigen Lizenz-Workbench ( Software Asset ManagementKlassische Anwendung) oder Lizenznutzungsansicht (Software-Asset-Arbeitsbereich). Verwenden Sie diese Ergebnisse, um Ihre Lizenz-Compliance-Position zu bestimmen und Nichteinhaltung zu beheben. Weitere Informationen zum Ausführen des Abgleichs finden Sie in Software Asset ManagementKlassische Anwendung, siehe Führen Sie den Softwareabgleich in aus Software Asset ManagementKlassisch. Weitere Informationen zum Ausführen des Abgleichs im Software-Asset-Arbeitsbereich finden Sie unter Führen Sie den Softwareabgleich im Arbeitsbereich aus.