Integração com Microsoft Entra ID

  • Versão de lançamento: Yokohama
  • Atualizado 18 de fev. de 2025
  • 10 min. de leitura
  • Você pode integrar seu ServiceNowinstância com Microsoft Entra IDPara exibir o uso de software para todas as aplicações de SSO conectadas.

    Importante:
    Minimize os riscos de segurança e proteja as informações concedendo acesso somente ao usuário ou às permissões de API necessárias.
    Tabela 1. Permissões mínimas do usuário
    Processo Função de usuário necessária no Microsoft Entra IDaplicação Escopos de autenticação
    • Baixar usuários
    • Grupos de download
    • Baixar associações de grupo
    Desenvolvedor de aplicações
    • Usuário.Ler.Tudo
    • GroupMember.Ler.Tudo
    • Aplicação.Ler.Tudo
    Baixar aplicações Desenvolvedor de aplicações
    • Usuário.Ler.Tudo
    • GroupMember.Ler.Tudo
    • Aplicação.Ler.Tudo
    • Conectar aplicações
    • Atualizar aplicações conectadas
    • Leitor global/Leitor de relatórios/Segurança/Administrador/Operador de segurança/Leitor de segurança
    • Desenvolvedor de aplicações
    • AuditLog.Read.All
    • Usuário.Ler.Tudo
    • GroupMember.Ler.Tudo
    • Aplicação.Ler.Tudo
    Recuperar assinaturas Administrador de usuário ReadWrite.All

    Crie um Microsoft Entra IDaplicação

    Crie um app no Microsoft Entra IDportal para integrar com o. Now Platform.

    Antes de Iniciar

    Microsoft Entra IDFunção necessária: Consulte Permissão mínima de usuários tabela.

    Procedimento

    1. Em Azureacesso Microsoft Entra ID.
    2. Crie um Microsoft Entra IDaplicação.
      Consulte Crie um Microsoft Entra ID aplicação para obter instruções detalhadas sobre como registrar e configurar uma aplicação.
      1. Em URI de redirecionamento campo, insira https://<instance-name>.service-now.com/oauth_redirect.do , em que <instance-name> é o nome do seu ServiceNowinstância.
      2. Registre o ID da aplicação (cliente) e o ID do diretório (locatário) para registrar o app como um provedor de OAuth terceirizado em seu ServiceNowinstância.
      3. Crie um segredo do cliente e registre o valor para registrar o app como um provedor de OAuth terceirizado em seu ServiceNowinstância.
      4. Adicione permissões para acessar o. Microsoft GraphAPI.
        Permissão Tipo
        AuditLog.Read.All Delegado
        Usuário.Ler.Tudo Delegado
        ReadWrite.All Delegado
        GroupMember.Ler.Tudo Delegado
        Aplicação.Ler.Tudo Delegado
        Consulte Adicione permissões para acessar APIs da web para obter mais informações.
      5. Conceda o consentimento do administrador para sua aplicação.

    Criação do perfil de Integração Microsoft Entra ID

    Crie um Microsoft Entra IDperfil de integração no seu ServiceNowinstância.

    Antes de Iniciar

    Para criar um Microsoft Entra IDperfil de integração, solicite o. Gestão de ativos de software- Gestão de licenças de SaaSplug-in (sn_sam_saas_int) do ServiceNow Store .

    ServiceNow Função necessária: sam_integrator ou admin

    Importante:
    Você deve selecionar Spoke do Microsoft Entra ID caixa de seleção desta integração ao instalar recursos opcionais no Application Managerpágina. Para obter mais informações sobre como escolher as aplicações SaaS necessárias, consulte Solicitação Gestão de licenças de SaaS.

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    A partir da versão 7.0.0 de Gestão de ativos de software- Gestão de licenças de SaaSe a versão 3.1.0 do Microsoft Entra IDfalou, seu ServiceNowA instância cria uma conexão de Entra ID separada para cada Microsoft Entra IDperfil de integração que você cria. Cada conexão é executada independentemente uma da outra, permitindo que sua instância ofereça suporte a várias conexões independentes Microsoft Entra IDperfis de integração.

    Se você estiver usando Espaço para ativos de software, a opção para criar o. Microsoft Entra IDperfil de integração em IU principalestá inativo.

    Procedimento

    1. Navegue até o perfil de integração.
      InterfaceAção
      IU principal
      1. Navegar até Tudo > Ativo de Software > Licença de SaaS > Perfis de integração SSO.
      2. Selecione Novo.
      3. Selecione Perfil de integração do Microsoft Entra ID .
      Espaço de ativos de software
      1. Navegar até Operações de licença > Assinaturas de Usuário > Perfis de Integração SSO.
      2. Selecione Novo.
      3. Selecione Perfil de integração do Microsoft Entra ID na lista suspensa.
      4. Selecione Continuar.
    2. Em Nome de exibição insira um nome para o perfil de integração.

      Os campos restantes são preenchidos automaticamente quando você envia o formulário.

      Nota:
      A integração SSO é criada usando uma integração de diretório. A integração de diretório extrai aplicações SSO, usuários e dados de grupo que estão associados às suas integrações de SSO. Para obter mais informações, consulte Exibindo informações de assinatura de SSO.

      Se você já tiver um Microsoft Entra IDIntegração de diretório, a integração SSO usa sua integração de diretório existente. Caso contrário, um Microsoft Entra IDa integração de diretório é criada automaticamente.

    3. Na seção Configuração do processo, exiba as funções de usuário ou permissões de API necessárias para minimizar os riscos de segurança e otimizar SaaSlicenças.
      Nota:
      Para obter mais informações sobre as funções e escopos necessários, consulte Permissões mínimas do usuário tabela.
      • . Baixar aplicações, usuários e grupos a caixa de seleção está marcada por padrão e você não pode desmarcá-la.

      • . Atividade de download a caixa de seleção está marcada por padrão. Se você limpar, a última atividade das aplicações conectadas não será extraída.
      • . Recuperar assinaturas a caixa de seleção está marcada por padrão. Se você não quiser recuperar assinaturas, desmarque esta caixa de seleção. Se você limpar, os candidatos à remoção serão criados, mas o subfluxo de recuperação de assinatura não será acionado ou o processo de recuperação não será iniciado.

    4. Selecione Enviar.
      . Conexão e credencial o campo é exibido.
    5. Selecione Criar nova conexão e credencial link relacionado.
      Nota:
      Se você tiver instalado Espaço para ativos de software, Abra o registro de conexão e credencial e selecione Criar nova conexão e credencial link relacionado.
    6. No formulário, preencha os campos.
      Tabela 2. Criar formulário de conexão e credencial
      Campo Valor
      URL de autenticação https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/authorize , em que <directory-id> É o ID do diretório (locatário) do Azureportal.
      URL de Token https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/token , em que <directory-id> É o ID do diretório (locatário) do Azureportal.
      URL do token https://login.microsoftonline.com/<directory-id>/oauth2/v2.0/revoke , em que <directory-id> É o ID do diretório (locatário) do Azureportal.
      ID do cliente do OAuth ID da aplicação (cliente) para a aplicação que você criou no Azureportal.
      Segredo do cliente do OAuth Segredo do cliente para a aplicação que você criou no Azureportal.
      URL de redirecionamento do OAuth https://<instance-name>.service-now.com/oauth_redirect.do , em que <instance-name> é o nome do seu ServiceNowinstância. Este valor é preenchido automaticamente.
    7. Selecione Criar e obter um Token do OAuth.
      Você seria redirecionado para Azureportal. Para obter a função necessária para executar esta etapa, consulte Permissão mínima de usuários tabela.
    8. Na janela pop-up, entre em sua conta com Microsoft Entra IDcredenciais de administrador.
    9. No formulário de perfil de integração, selecione Validar conexão para verificar os detalhes de conexão e credencial desta integração.
    10. Depois que a conexão for verificada, selecione Publicar .
    11. Na caixa de diálogo Confirmação de publicação, selecione OK .
      Se você limpar Atividade de download após a publicação do perfil de integração, você deve revalidar as conexões porque ocorrem os seguintes eventos:
      • . Valide a conexão o botão aparece no formulário.
      • A última atividade para usuários das aplicações conectadas não foi mais extraída.
      Os trabalhos agendados e os trabalhos de diretório baixam uma lista de todas as suas aplicações, usuários e grupos. Para obter mais informações, consulte Exibindo informações de assinatura de SSO. Exiba o status de seus trabalhos nas listas relacionadas Resultados de trabalhos agendados e Resultados de trabalhos do diretório do perfil de integração. Os modelos de software são criados automaticamente para aplicações com um ID do catálogo externo que corresponde a um Identificador Na tabela Definições de produto de assinatura [samp_sw_subscription_product_definition].

    Resultado

    Depois de publicar o perfil de integração e conectar aplicações ao perfil, você pode exibir eventos realizados por usuários individuais até 60 dias antes da data atual. Para obter mais informações, consulte Revise uma regra de recuperação de software.

    Conectar apps de SSO

    Conete um app de login único (SSO) para exibir todos os usuários e grupos com acesso ao app. Rastreie os dados de login do usuário e recupere licenças não utilizadas.

    Antes de Iniciar

    Função necessária: sam_integrator ou admin

    Por Que e Quando Desempenhar Esta Tarefa

    Nota:
    Para Microsoft Entra ID. Atribuição necessária o botão de alternância na página de configuração da aplicação controla o acesso da aplicação pelos usuários.
    • Se este botão de alternância estiver definido como Sim , você deve atribuir esta aplicação ao Microsoft Entra IDe aplicações e serviços relacionados. Depois de atribuir a aplicação, Microsoft Entra IDos usuários, aplicações associadas e serviços podem acessá-lo.
    • Se este botão de alternância estiver definido como Não , todos os usuários podem fazer login na aplicação. As aplicações e serviços associados também podem obter um token de acesso a este serviço.

    Gestão de licenças de SaaS oferece integrações diretas com aplicações selecionadas. As integrações diretas fornecem os dados de uso mais robustos. Para obter uma lista de integrações diretas disponíveis, consulte Integre com aplicações SaaS. Se você tiver uma integração direta para um app, conectar o mesmo app em uma integração SSO criará registros de assinatura duplicados em seu ServiceNowinstância. Se você conectar um app SSO e decidir criar uma integração direta para esse app, desconecte o app antes de criar uma integração direta.

    Nota:
    Se você estiver usando Espaço para ativos de software, A opção de navegar até a aplicação SSO no IU principalestá inativo.

    Procedimento

    1. Navegue até a aplicação.
      InterfaceAção
      IU principal Navegar até Tudo > Ativo de Software > Licença de SaaS > Aplicações de SSO.
      Espaço de ativos de software Navegar até Operações de licença > Assinaturas de Usuário > Perfis de Integração SSO.
    2. Selecione a aplicação que você deseja conectar.
      Para Espaço para ativos de software, selecione Aplicações de SSO .
    3. . Modelo de software o campo está vazio, adicione um modelo de software para o app.
      Um app deve ter um modelo de software para que você possa conectá-lo. Os modelos de software são criados automaticamente para apps com um ID do catálogo externo que corresponde a um Identificador Na tabela Definições de produto de assinatura [samp_sw_subscription_product_definition]. Para todos os outros apps, você pode criar um modelo de software manualmente. Para obter mais informações, consulte Crie modelos de software em Gestão de ativos de softwareclássico.
    4. Selecione uma data para Analise a última atividade de campo.

      Você pode optar por começar a analisar dados de login de usuários individuais e aplicações a partir da data atual ou de até 60 dias no passado. O valor padrão é 30 dias. Escolher uma data no passado permite detectar assinaturas obsoletas sem esperar em tempo real, pois você pode ver assinaturas que não foram usadas recentemente. Como escolher uma data no passado aumenta a quantidade de dados analisados, pode levar mais tempo para que você possa exibir os resultados.

    5. Selecione Salvar.
    6. Selecione Conectar.
      Dica:
      Você também pode conectar vários apps simultaneamente do Aplicações de SSO lista.

      Em IU principal, selecione os apps usando a caixa de seleção no lado esquerdo da lista. Na parte inferior da lista, selecione Ações nas linhas selecionadas e selecione Conectar . Se alguns apps não tiverem um modelo de software, o. Conectar a ação mostra que nem todos os apps estão conectados. Por exemplo, Conectar (1 de 4) mostra que apenas 1 dos quatro apps selecionados estão conectados. Adicione modelos de software para conectar os apps restantes.

    Resultado

    Depois que a aplicação SSO se conectar, seu ServiceNowa instância cria automaticamente usuários, grupos, assinaturas e regras de recuperação que são atualizadas diariamente.
    • . Atribuição necessária o botão de alternância está definido como Sim , a assinatura é criada somente para o associado Microsoft Entra IDusuários.
    • . Atribuição necessária o botão de alternância está definido como Não , a assinatura é criada para todos os Microsoft Entra IDusuários.

    O que Fazer Depois

    Revise todas as regras de recuperação geradas automaticamente para atender às suas especificações de recuperação de assinaturas de usuário. Para obter mais informações, consulte Revise uma regra de recuperação de software.

    Crie direitos de software para os modelos de software gerados automaticamente para rastrear o software usado em relação ao software próprio. Para obter mais informações sobre como criar direitos de software no Gestão de ativos de softwareaplicação clássica, consulte Crie direitos em Gestão de ativos de softwareclássico. Para obter mais informações sobre como criar direitos de software no Espaço de ativos de software, consulte Crie direitos no espaço. Para obter mais informações sobre como criar direitos de software usando o. Gestão de ativos de softwarePlaybook, consulte Crie direitos usando o passo-a-passo guiado.

    A reconciliação também é executada em suas assinaturas como um trabalho agendado ou sob demanda. Você pode exibir seus resultados de reconciliação no Workbench de licença ( Gestão de ativos de softwareaplicação clássica) ou o. Exibição de uso de licença (Espaço de ativos de software). Use estes resultados para determinar sua posição de conformidade de licença e corrigir qualquer não conformidade. Para obter mais informações sobre como executar reconciliação no Gestão de ativos de softwareaplicação clássica, consulte Execute a reconciliação de software em Gestão de ativos de softwareclássico. Para obter mais informações sobre como executar a reconciliação no Espaço de ativos de software, consulte Execute a reconciliação de software no espaço.