Azure Monitor と OAuth 認証のデータ連携

Xanadu IT Operations Management

Release

xanadu

ft:locale

ja-JP

ft:publication_title

Xanadu IT Operations Management

ft:clusterId

itom

bundleId

itom

workflow

Technology

Azure Monitor と OAuth 認証のデータ連携

リリースバージョン: Xanadu

更新日 2024年08月01日

所要時間：7分

Azure Monitor で Azure V1 または V2 トークンを認証して、Microsoft Azure とイベント管理をデータ連携します。

始める前に

イベント管理 Connectors (sn_em_connector) プラグインが Now Platform インスタンスにインストールされていることを確認します。

Azure ポータルでは、アラート相関ルールはアラート処理ルール内のCorrelate alerts設定によって定義されます。Azure ポータルで Correlate alerts がアサインされると、60 分以内に ServiceNow® インスタンスで受信した Azure Monitor アラートが、タグベースのアラートクラスタリングを使用してグループ化されます。

必要なロール：evt_mgmt_admin、web_service_admin、および oauth_admin

このタスクについて

Azure Monitor からのイベント収集用にイベント管理環境を構成します。Azure Monitor ポータルで、V1 または V2 トークンを使用して、Now Platform インスタンスを REST エンドポイントとして設定します。

手順

Azure Monitor ポータルで、次の操作を行います。
1. アプリ登録を実行し、API を公開します。
  Azure でのアプリ登録と API 公開の詳細については、「https://docs.microsoft.com/en-us/azure/active-directory/develop/quickstart-configure-app-expose-web-apis」を参照してください。
2. セキュアな Webhook を使用してアクショングループを作成し、REST エンドポイントを https://<インスタンス名>.service-now.com/api/sn_em_connector/em/inbound_event?source=azuremonitor として指定します。
  
  注:
  servicenowservices.com インスタンスの場合、REST エンドポイントは「https://<instance-name>.servicenowservices.com/api/sn_em_connector/em/inbound_event?source=azuremonitor」である必要があります
  
  セキュアな Webhook をアクショングループに追加する方法の詳細については、「https://docs.microsoft.com/en-us/azure/azure-monitor/platform/action-groups」を参照してください。
3. 移動先アラート > アラートルールの管理.
4. [セキュア Webhook (Secure Webhook)] セクションで、 [共通アラートスキーマの有効化 (Enable the common alert schema)] オプションに [はい] が選択されていることを確認します。
5. セキュアな Webhook を含むアクショングループをアラートルールに追加します。
Azure Monitor ポータルで、登録されたアプリケーションで使用されている Azure トークンを確認します。
1. [アプリの登録]に移動し、登録されたアプリケーションを選択します。
2. [管理] セクションで、[マニフェスト] をクリックします。
3. エディター画面で、 accessTokenAcceptedVersion パラメーターを探します。
  accessTokenAcceptedVersion の値が 2 の場合は、データ連携で V2 トークンを使用する必要があります。
  accessTokenAcceptedVersion の値が 1 または null の場合は、データ連携で V1 トークンを使用する必要があります。
Now Platform インスタンスで、ServiceNow ユーザーに正しいアプリケーション (クライアント) ID またはアプリケーション ID URI が割り当てられていることを確認します。
また、関連する ServiceNow sys_user に evt_mgmt_integration ロールが割り当てられていることを確認します。
1. 移動先システムセキュリティ > ユーザーとグループ > ユーザー.
  
  注:
  適切な認証を確実に行うには、高い権限を持つユーザーではなく、evt_mgmt_integration ロールを持つ最小権限のユーザーを使用します。
2. Azure Monitor ポータルで定義されているように、 ServiceNow sys_user の [ソース] フィールドに、正しいアプリケーション (クライアント) ID またはアプリケーション ID URI が入力されていることを確認します。
  アプリケーションが Azure V1 トークンを使用している場合は、[ソース] フィールドに、登録済みアプリケーションのアプリケーション ID URI を入力する必要があります。アプリケーションが Azure V2 トークンを使用している場合は、[ソース] フィールドに、登録済みアプリケーションのアプリケーション (クライアント) ID を入力する必要があります。
  [ソース] フィールドが表示されない場合は、このフィールドを表示するようにフォームレイアウトを変更します。コンテキストメニューアイコン () をクリックし、[設定] > [フォームレイアウト] を選択します。[ソース] を [選択済み] リストに移動します。
  注:
  Now Platform インスタンスのバージョンが Paris パッチ 2 または Orlando パッチ 9 より前の場合は、[ソース] フィールド値を角かっこで囲む必要があります。たとえば、[api://azuretest] のようにします。
Now Platformインスタンスで、イベント管理 > 統合 > Azure OAuth 構成.
[Azure OAuth OIDC エントリ (Azure OAuth OIDC Entry)] をクリックし、クライアント ID を入力します。
登録済みアプリケーションが Azure V2 トークンを使用している場合、 クライアント ID は、Azure Monitor ポータルで定義されたアプリ登録のアプリケーション (クライアント) ID と同じになっている必要があります。
登録済みアプリケーションが Azure V1 トークンを使用している場合、 クライアント ID は、Azure Monitor ポータル (公開された API) で定義されたアプリ登録のアプリケーション ID URI と同じになっている必要があります。
[OAuth OIDC プロバイダー構成] フィールドで、情報アイコン () をクリックします。
[OIDC プロバイダー構成] ウィンドウで、[レコードを開く] をクリックします。

次の表に示すように、登録済みアプリケーションで使用される Azure トークンに従って OIDC メタデータ URL を入力します。

Azure トークン	OIDC メタデータ URL
V2	[OIDC プロバイダー構成] フォームで、次の URL を [OIDC メタデータ URL] フィールドに追加します。 https://login.microsoftonline.com/<テナント ID>/v2.0/.well-known/openid-configuration <テナント ID> が、正しい Azure テナント ID に置き換えられていることを確認します。注: Azure Gov Cloud を ServiceNow Azure Monitor コネクタと統合する場合は、要求値を「`f1f34126-d4ef-40e1-ad4b-bf5d47b4860d`」に変更します。
V1	OIDC プロバイダー構成フォームで、次の操作を行います。 [要求名] 列で、`azp` を `appid`に変更します。注: Azure Gov Cloud を ServiceNow Azure Monitor コネクタと統合する場合は、要求値を「`f1f34126-d4ef-40e1-ad4b-bf5d47b4860d`」に変更します。 [OIDC メタデータ URL] フィールドに、URL https://login.microsoftonline.com/<テナント ID>/.well-known/openid-configuration を追加します。 <テナント ID> が、正しい Azure テナント ID に置き換えられていることを確認します。

Azure トークン

OIDC メタデータ URL

[OIDC プロバイダー構成] フォームで、次の URL を [OIDC メタデータ URL] フィールドに追加します。

https://login.microsoftonline.com/<テナント ID>/v2.0/.well-known/openid-configuration

<テナント ID> が、正しい Azure テナント ID に置き換えられていることを確認します。

注:

Azure Gov Cloud を ServiceNow Azure Monitor コネクタと統合する場合は、要求値を「f1f34126-d4ef-40e1-ad4b-bf5d47b4860d」に変更します。

OIDC プロバイダー構成フォームで、次の操作を行います。

[要求名] 列で、azp を appidに変更します。

注:
Azure Gov Cloud を ServiceNow Azure Monitor コネクタと統合する場合は、要求値を「f1f34126-d4ef-40e1-ad4b-bf5d47b4860d」に変更します。
[OIDC メタデータ URL] フィールドに、URL https://login.microsoftonline.com/<テナント ID>/.well-known/openid-configuration を追加します。
<テナント ID> が、正しい Azure テナント ID に置き換えられていることを確認します。

タスクの結果

Azure Monitor でアラートがアラートルールの一部として作成されると、セキュアな Webhook エンドポイントを使用して Now Platform に通知が送信されます。Now Platform インスタンスで、[すべてのイベント] に移動してイベントを表示します。 ServiceNow インスタンスのアラートステータスの変更を ServiceNow アラートから Azure ポータルに送信する場合は、Azure Monitor の双方向コネクタを有効にする必要があります。詳細については、「Azure Monitor の双方向コネクタの構成」を参照してください。