Integração com Okta

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 11 min. de leitura
  • Você pode integrar seu ServiceNowinstância com OktaPara exibir o uso de software para todas as aplicações de SSO conectadas.

    Importante:
    Minimize os riscos de segurança e proteja as informações concedendo acesso somente ao usuário ou às permissões de API necessárias.
    Tabela 1. Permissões mínimas do usuário
    Processo Função de usuário necessária no Oktaaplicação Escopos de autenticação
    Baixar usuários Administrador somente leitura okta.users.read
    • Grupos de download
    • Baixar associações de grupo
    Administrador somente leitura okta.groups.read
    Baixar aplicações Administrador somente leitura
    • okta.apps.read
    • okta.logs.read
    Conectar aplicações Administrador somente leitura okta.logs.read
    Atualizar aplicações conectadas Administrador somente leitura
    • okta.apps.leitura
    • okta.logs.read
    Recuperar assinaturas Administrador da aplicação okta.apps.manage

    Crie um Oktaaplicação

    Crie um Oktaaplicação que você pode integrar ao Now Platform.

    Antes de Iniciar

    OktaFunção necessária: Consulte Permissões mínimas do usuário tabela.

    Consulte Permissões e funções de administrador para obter mais detalhes sobre Oktafunções de administrador e. Escopos e endpoints compatíveis para obter mais detalhes sobre OktaEscopos de OAuth.

    Procedimento

    1. Em um navegador da web, faça login no Console do administrador do Okta .
    2. Crie um OktaAplicação com funcionalidade OAuth 2,0.

      Consulte Crie um app OAuth 2,0 para Okta para obter instruções detalhadas.

      Lembre-se dos seguintes pontos ao criar seu Oktaaplicação:
      • Em URI de redirecionamento de login e. URI de redirecionamento de logout campos, insira https://<instance-name>.service-now.com/oauth_redirect.do , em que > nome da instância > é o nome do seu ServiceNowinstância.
      • Copie os valores em ID do cliente e. Segredo do cliente campos. Salve-os em um local seguro para uso posterior.
      • Conceda os escopos a seguir ao seu OktaAplicação do OAuth 2,0:
        • okta.groups.read
        • okta.apps.read
        • okta.users.read
        • okta.logs.read
        • okta.apps.manage
      • Selecione Token de atualização em Cliente agindo em nome de um usuário Tipo de concessão no portal Okta.

    Crie um Oktaperfil de integração

    Crie um Oktaperfil de integração no seu ServiceNowinstância.

    Antes de Iniciar

    Para criar um Oktaperfil de integração, solicite o. Gestão de ativos de software- Gestão de licenças de SaaSplug-in (sn_sam_saas_int) do ServiceNow Store .

    ServiceNow Função necessária: sam_integrator ou admin

    Importante:
    Você deve selecionar Okta spoke caixa de seleção desta integração ao instalar recursos opcionais no Application Managerpágina. Para obter mais informações sobre como escolher as aplicações SaaS necessárias, consulte Solicitação Gestão de licenças de SaaS.

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    A partir da versão 7.0.0 de Gestão de ativos de software- Gestão de licenças de SaaSe a versão 4.1.2 do Oktafalou, seu ServiceNowa instância cria um separado Oktaconexão para cada Oktaperfil de integração que você cria. Cada conexão é executada independentemente uma da outra, o que permite que sua instância ofereça suporte a várias conexões independentes Oktaperfis de integração.

    Se você estiver usando Espaço para ativos de software, a opção para criar o. Oktaperfil de integração em IU principalestá inativo.

    Procedimento

    1. Navegue até o perfil de integração.
      InterfaceAção
      IU principal
      1. Navegar até Tudo > Ativo de Software > Licença de SaaS > Perfis de integração SSO.
      2. Selecione Novo.
      3. Selecione Perfil de integração do Okta .
      Espaço de ativos de software
      1. Navegar até Operações de licença > Assinaturas de Usuário > Perfis de Integração SSO.
      2. Selecione Novo.
      3. Selecione Okta na lista suspensa.
      4. Selecione Continuar.
    2. No formulário, preencha os campos.
      Tabela 2. Formulário de perfil de integração SSO
      Campo Descrição
      Nome de exibição Nome do perfil de integração. Por exemplo, Integração do Okta .
      Status Status do perfil de integração.
      • Se você não tiver publicado o perfil de integração, este campo será definido automaticamente como Rascunho .
      • Se você já tiver publicado o perfil de integração, este campo será definido automaticamente como Publicado .
      Integração de diretórios Uma referência ao perfil de integração de diretórios, que é usado para extrair os usuários, grupos e associações de grupo do Active Directory de uma organização.
      • Se for um registro de integração de diretório para Oktaexiste, você pode selecionar o registro existente.
      • Se for um registro de integração de diretório para Oktanão existe, um novo registro é criado quando você salva ou envia este formulário.
      Tipo de perfil Tipo do perfil de integração.

      Este campo é definido automaticamente como Okta .

      Conexão e Credencial

      Referência ao alias de conexão e credencial usado no diretório e na integração SSO.

      • Se existir um registro de integração de diretório e você selecioná-lo no campo Integração de diretório, este campo será definido automaticamente como o alias de conexão e credencial do registro de integração de diretório.
      • Se um valor de integração de diretório não existir, este campo será preenchido automaticamente.
      Criar assinaturas do Okta Opção para criar um perfil de integração direta para exibição Oktaassinaturas após a publicação deste perfil de integração.

      Valor padrão: falso

    3. Na seção Configuração do processo, exiba as funções de usuário ou permissões de API necessárias para minimizar os riscos de segurança e otimizar SaaSlicenças.
      Nota:
      Para obter mais informações sobre as funções e escopos necessários, consulte Permissões mínimas do usuário tabela.
      • . Baixar aplicações, usuários e grupos a caixa de seleção está marcada por padrão e você não pode desmarcá-la.

      • . Atividade de download a caixa de seleção está marcada por padrão. Se você limpar, a última atividade das aplicações conectadas não será extraída.
      • . Recuperar assinaturas a caixa de seleção está marcada por padrão. Se você não quiser recuperar assinaturas, desmarque esta caixa de seleção. Se você limpar, os candidatos à remoção serão criados, mas o subfluxo de recuperação de assinatura não será acionado ou o processo de recuperação não será iniciado.

    4. Selecione Enviar.
      . Conexão e credencial o campo é definido automaticamente como sn_okta_spoke.okta_apps_users_groups_activity_and_reclaim .
    5. Abra a caixa de diálogo Criar conexão e credencial.
      InterfaceAção
      IU principal Selecione Criar nova conexão e credencial Link relacionado no formulário de perfil de integração SSO.
      Espaço de ativos de software
      1. Selecionando o ícone de visualização ( Ícone de visualização.) ao lado de Conexão e credencial campo
      2. Selecione Abrir registro na visualização do registro.
      3. No formulário Aliases de conexão e credencial, selecione Criar nova conexão e credencial link relacionado.
    6. Na caixa de diálogo, preencha os campos.
      Tabela 3. Caixa de diálogo Criar conexão e credencial
      Campo Descrição
      Nome Nome da conexão. Por exemplo, Conexão Okta .
      URL de conexão URL da conexão. Insira https:// SeuOktaDomain >.com , em que > SeuOktaDomain > é o domínio da sua organização.
      URL de Autorização URL do endpoint de autorização do OAuth. Insira https:// SeuOktaDomain >.com/oauth2/v1/authorize , em que > SeuOktaDomain > é o domínio da sua organização.
      URL de Token URL do endpoint OAuth que recupera e atualiza tokens de acesso. Insira https:// SeuOktaDomain >.com/oauth2/v1/token , em que > SeuOktaDomain > é o domínio da sua organização.
      URL de revogação do token URL do endpoint OAuth que revoga tokens de acesso. Insira https:// SeuOktaDomain >.com/oauth2/v1/revogar , em que > SeuOktaDomain > é o domínio da sua organização.
      ID do cliente do OAuth ID do cliente atribuído ao seu Oktaaplicação.
      Segredo do cliente do OAuth Segredo do cliente atribuído ao seu Oktaaplicação.
      URL de redirecionamento do OAuth URL do provedor OAuth para o qual os usuários são redirecionados após a autenticação. Este campo é definido automaticamente como https://<instance-name>.service-now.com/oauth_redirect.do , em que > nome da instância > é o nome do seu ServiceNowinstância.
    7. Selecione Criar e obter um Token do OAuth.
      Nota:
      Para obter a função necessária para executar esta etapa, consulte Permissões mínimas do usuário tabela.
    8. Em Oktalogin no portal, insira seu Oktae selecione Entre .
      Nota:
      Você deve fazer login usando as mesmas credenciais das funções Superadministrador, administrador de aplicações ou administrador de gestão de acesso à API.
      A caixa de diálogo é fechada e você retorna automaticamente para o formulário Perfil de integração SSO.
    9. Selecione Salvar.
    10. No formulário de perfil de integração, selecione Validar conexão para verificar os detalhes de conexão e credencial desta integração.
    11. Depois que a conexão for verificada, selecione Publicar .
    12. Na caixa de diálogo Confirmação de publicação, selecione OK .
      Se você limpar Atividade de download após a publicação do perfil de integração, você deve revalidar as conexões porque ocorrem os seguintes eventos:
      • . Valide a conexão o botão aparece no formulário.
      • A última atividade para usuários das aplicações conectadas não foi mais extraída.

    Resultado

    Os trabalhos agendados e os trabalhos de diretório baixam uma lista de todas as aplicações, usuários, grupos e assinaturas de software associadas ao Oktaaplicação. Exiba o status do seu trabalho no Resultados de trabalhos agendados e. Resultados do trabalho de diretório do seu perfil de integração. Gestão de ativos de softwareCria automaticamente modelos de software para aplicações com um ID de catálogo externo que corresponde a um Identificador Na tabela Definições de produto de assinatura [samp_sw_subscription_product-definition].

    O que Fazer Depois

    Se você selecionou Criar assinaturas do Okta e este perfil de integração for publicado, um perfil de integração direta para Oktacriado. Você pode navegar até o perfil de integração direta selecionando Perfil de integração direta link na mensagem informativa.

    Depois de navegar até o perfil de integração direta, você poderá exibir Oktaselecionando Assinaturas de software . Para obter mais informações, consulte Okta Perfil de integração direta de SSO.

    Aviso:

    Quando seu token OAuth expirar, seu OktaO perfil de integração exibe uma mensagem de erro indicando que você deve obter um novo token OAuth. Selecione o link na mensagem de erro para obter o novo token OAuth.

    Não exclua o registro de credencial do OAuth 2,0 associado ao registro de conexão do Oktaperfil de integração. Se você excluir o registro de credencial do OAuth 2,0, não será possível obter um novo token do OAuth depois que o token atual do OAuth expirar.

    Depois de publicar o perfil de integração e conectar aplicações ao perfil, você pode exibir eventos realizados por usuários individuais até 60 dias antes da data atual. Para obter mais informações, consulte Revise uma regra de recuperação de software.

    Okta Perfil de integração direta de SSO

    OktaO perfil de integração direta de SSO ajuda você a gerenciar Oktalicenças de usuário criando assinaturas para Oktausuários ao configurar um OktaIntegração de SSO.

    Tabela 4. Perfil de integração direta de SSO do OKTA
    Campo Descrição
    Nome de exibição Nome do perfil de integração.
    Status Status do perfil de integração.

    Este campo é definido automaticamente como Publicado .

    Tipo de perfil Tipo de perfil de integração.

    Este campo é definido automaticamente como Assinatura do Okta .

    Baixar subfluxo de assinatura
    Subfluxo Este campo é definido automaticamente como Okta Baixar assinaturas .

    Conectar aplicações SSO

    Conete uma aplicação SSO para monitorar todos os usuários e grupos que têm acesso a essa aplicação. Você também pode rastrear dados de login do usuário e recuperar licenças não usadas.

    Antes de Iniciar

    ServiceNow Função necessária: sam_integrator ou admin

    Por Que e Quando Desempenhar Esta Tarefa

    ServiceNow® Gestão de licenças de SaaS oferece integrações diretas com algumas aplicações. As integrações diretas fornecem os dados de uso mais abrangentes. Para obter uma lista de integrações diretas disponíveis, consulte Integre com aplicações SaaS.

    Se você já tiver criado uma integração direta para uma aplicação, conectar a mesma aplicação em uma integração SSO criará registros de assinatura duplicados no ServiceNowinstância. Você só deve usar a integração direta. Se você conectar uma aplicação em uma integração SSO, mas quiser criar uma integração direta para essa aplicação, desconecte a aplicação antes de criar a integração direta.

    Procedimento

    1. Navegar até Tudo > Licença de SaaS > Aplicações de SSO.
    2. Selecione a aplicação que você deseja conectar.
    3. . Modelo de software o campo está vazio, adicione um modelo de software para a aplicação.
      Para que você possa conectar uma aplicação, ela deve ser associada a um modelo de software. ServiceNow® Gestão de ativos de softwareCria automaticamente modelos de software para aplicações com um ID de catálogo externo que corresponde a um Identificador Na tabela Definições de produto de assinatura [samp_sw_subscription_product_definition]. Para todas as outras aplicações, você pode criar um modelo de software manualmente. Para obter instruções detalhadas, consulte Crie modelos de software em Gestão de ativos de softwareclássico.
    4. Selecione a data em que você deseja analisar a última atividade em Analise a última atividade de campo.

      Você pode começar a analisar dados de login de usuários individuais e aplicações a partir da data atual ou de até 60 dias antes. O valor padrão é 30 dias. Se você selecionar uma data anterior à data atual, pode levar mais tempo para que os resultados apareçam devido à quantidade de dados que você deseja analisar.

      Depois de enviar um valor no Analise a última atividade de , o campo se torna somente leitura.

    5. Selecione Conectar.
      Dica:
      Para conectar várias aplicações simultaneamente, marque a caixa de seleção de cada aplicação que você deseja conectar na lista de aplicações SSO. Selecione as ações no menu de linha selecionado e selecione Conectar . Se alguma aplicação não estiver associada a um modelo de software, o nome do Conectar o item de menu é atualizado para indicar que somente algumas das aplicações serão conectadas. Por exemplo, A. Conectar (1 de 4) o item de menu indica que apenas 1 dos quatro apps selecionados serão conectados. Adicione modelos de software às aplicações restantes para prosseguir com as conexões.

    O que Fazer Depois

    Depois que a aplicação SSO se conectar, seu ServiceNowa instância cria automaticamente usuários, grupos, assinaturas e regras de recuperação que são atualizadas diariamente. Se você excluir um usuário, aplicação, grupo ou associação de grupo do OktaConsole do desenvolvedor, as mudanças são refletidas em seu ServiceNowinstância.

    Revise todas as regras de recuperação geradas automaticamente para garantir que elas atendam às suas especificações para recuperar assinaturas de usuário. Para obter mais informações, consulte Revise uma regra de recuperação de software.

    Crie direitos de software para os modelos de software gerados automaticamente para rastrear o software usado em relação ao software próprio. Para obter mais informações sobre como criar direitos de software no Gestão de ativos de softwareaplicação clássica, consulte Crie direitos em Gestão de ativos de softwareclássico. Para obter mais informações sobre como criar direitos de software no Espaço de ativos de software, consulte Crie direitos no espaço. Para obter mais informações sobre como criar direitos de software usando o. Gestão de ativos de softwarePlaybook, consulte Crie direitos usando o passo-a-passo guiado.

    A reconciliação também é executada em suas assinaturas como um trabalho agendado ou sob demanda. Você pode exibir seus resultados de reconciliação no Workbench de licença ( Gestão de ativos de softwareaplicação clássica) ou o. Exibição de uso de licença (Espaço de ativos de software). Use estes resultados para determinar sua posição de conformidade de licença e corrigir qualquer não conformidade. Para obter mais informações sobre como executar reconciliação no Gestão de ativos de softwareaplicação clássica, consulte Execute a reconciliação de software em Gestão de ativos de softwareclássico. Para obter mais informações sobre como executar a reconciliação no Espaço de ativos de software, consulte Execute a reconciliação de software no espaço.