Intégration à Okta

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 13 minutes de lecture

    • Vous pouvez intégrer votre ServiceNow instance à Okta pour afficher l’utilisation du logiciel pour toutes les applications SSO connectées.

    Important :
    Minimisez les risques de sécurité et protégez les informations en accordant l’accès uniquement aux autorisations nécessaires de l’utilisateur ou de l’API.
    Tableau 1. Autorisations utilisateur minimales
    Processus Rôle d’utilisateur requis dans l’application Okta Périmètres d’authentification
    Télécharger les utilisateurs Administrateur en lecture seule okta.users.read
    • Télécharger les groupes
    • Télécharger les appartenances au groupe
    		 Administrateur en lecture seule okta.groups.read
    Télécharger les applications Administrateur en lecture seule
    • okta.apps.read
    • okta.logs.read
    Connecter les applications Administrateur en lecture seule okta.logs.read
    Mettre à jour les applications connectées Administrateur en lecture seule
    • okta.apps.read
    • okta.logs.read
    Récupérer les abonnements Administrateur d’application okta.apps.manage

    Créer une Okta application

    Créez une Okta application que vous pouvez intégrer au ServiceNow AI Platform.

    Avant de commencer

    Okta Rôle requis : consultez la table Autorisations utilisateur minimales .

    Consultez Rôles et autorisations d’administrateur pour plus de détails sur Okta les rôles et les champs d’application administrateur et les points de terminaison pris en charge pour en savoir plus sur Okta les champs d’application OAuth.

    Procédure

    1. Depuis un navigateur Web, connectez-vous à la console d’administration Okta.
    2. Créez une application avec la Okta fonctionnalité OAuth 2.0.

      Consultez Créer une application OAuth 2.0 pour Okta pour obtenir des instructions détaillées.

      Gardez à l’esprit les points suivants lorsque vous créez votre Okta application :
      • Dans les champs URI de redirection de connexion et URI de redirection de déconnexion , saisissez https://<nom-instance>.service-now.com/oauth_redirect.do, où <nom-instance> correspond au nom de votre ServiceNow instance.
      • Copiez les valeurs dans les champs ID client et Secret client . Conservez-les dans un endroit sûr pour une utilisation ultérieure.
      • Accordez les champs d’application suivants à votre Okta application OAuth 2.0 :
        • okta.groups.read
        • okta.apps.read
        • okta.users.read
        • okta.logs.read
        • okta.apps.manage
      • Cochez la case Actualiser le jeton sous le type d’accord Client agissant pour le compte d’un utilisateur sur le portail Okta.

    Créer un profil d’intégration Okta

    Créez un profil d’intégration Okta dans votre ServiceNow instance.

    Avant de commencer

    Pour créer un profil d’intégration, demandez le module d’extension OktaGestion des actifs logiciels - Gestion des licences SaaS (sn_sam_saas_int) auprès de ServiceNow Store.

    ServiceNow Rôle requis : sam_integrator ou admin

    Important :
    Vous devez cocher la case Spoke Okta pour cette intégration lors de l’installation des fonctionnalités facultatives sur la Application Manager page. Pour plus d’informations sur le choix des applications SaaS requises, reportez-vous à la section Demander le Gestion des licences SaaS.

    Pourquoi et quand exécuter cette tâche

    Remarque :
    À partir de la version 7.0.0 de - Gestion des licences SaaS et de Gestion des actifs logiciels la Okta version 4.1.2 du spoke, votre ServiceNow instance crée une connexion distincte Okta pour chaque Okta profil d’intégration que vous créez. Chaque connexion s’exécute indépendamment l’une de l’autre, ce qui permet à votre instance de prendre en charge plusieurs profils d’intégration indépendants Okta .

    Si vous utilisez Software Asset Workspace, l’option de création du profil d’intégration Okta dans Interface utilisateur principale est inactive.

    Procédure

    1. Accédez au profil d’intégration.
      InterfaceAction
      Interface utilisateur principale
      1. Accédez à la Tous > Actifs Logiciels > Licence SaaS > Profils d'intégration SSO.
      2. Sélectionnez Nouveau.
      3. Sélectionnez le profil d’intégration Okta.
      Espace de travail actifs logiciels
      1. Accédez à la Opérations de licence > Abonnements de l'utilisateur > Profils d'intégration SSO.
      2. Sélectionnez Nouveau.
      3. Sélectionnez Okta dans la liste déroulante.
      4. Sélectionnez Continuer.
    2. Remplissez les champs du formulaire.
      Tableau 2. Formulaire de profil d’intégration SSO
      Champ Description
      Nom complet Nom du profil d’intégration. Par exemple, Okta Integration.
      Statut État du profil d'intégration.
      • Si vous n’avez pas publié le profil d’intégration, ce champ est automatiquement défini sur Brouillon.
      • Si vous avez déjà publié le profil d’intégration, ce champ est automatiquement défini sur Publié.
      Intégration de répertoire Référence au profil d’intégration d’annuaire, qui est utilisé pour extraire les utilisateurs Active Directory, les groupes et les appartenances à des groupes d’une organisation.
      • S’il existe un enregistrement Okta d’intégration d’annuaire, vous pouvez sélectionner l’enregistrement existant.
      • Si aucun enregistrement Okta d’intégration d’annuaire n’existe, un nouvel enregistrement est créé lorsque vous enregistrez ou soumettez ce formulaire.
      Type de profil Type du profil d’intégration.

      Ce champ est automatiquement défini sur Okta.
      Connexion et informations d'identification

      Référence à l’alias de connexion et d’informations d’identification utilisé dans l’annuaire et l’intégration SSO.

      • Si un enregistrement d’intégration d’annuaire existe et que vous le sélectionnez dans le champ d’intégration d’annuaire, ce champ est automatiquement défini sur l’alias de connexion et d’informations d’identification de l’enregistrement d’intégration d’annuaire.
      • Si aucune valeur d’intégration de répertoire n’existe, ce champ est automatiquement renseigné.
      Créer des abonnements Okta Option de création d’un profil d’intégration directe pour afficher Okta les abonnements après la publication de ce profil d’intégration.

      Valeur par défaut : faux
    3. Dans la section Configuration du processus, affichez les rôles d’utilisateur requis ou les autorisations d’API pour minimiser les risques de sécurité et optimiser SaaS les licences.
      Remarque :
      Pour plus d’informations sur les rôles et les champs d’application requis, consultez Table des autorisations utilisateur minimales .

      • La case à cocher Télécharger les applications, les utilisateurs et les groupes est sélectionnée par défaut et vous ne pouvez pas la décocher.

      • La case Télécharger l’activité est cochée par défaut. Si vous l’effacez, la dernière activité pour les applications connectées n’est pas extraite.

      • La case Récupérer les abonnements est cochée par défaut. Si vous ne souhaitez pas récupérer les abonnements, vous pouvez décocher cette case. Si vous l’effacez, les candidats à la suppression sont créés, mais le flux secondaire d’abonnement de récupération n’est pas déclenché ou le processus de réclamation n’est pas initié.

    4. Sélectionnez Soumettre.
      Le champ Connexion et informations d’identification est automatiquement défini sur sn_okta_spoke.okta_apps_users_groups_activity_and_reclaim.
      Remarque :
      La valeur renseignée automatiquement dans le champ Connexion et informations d’identification change en fonction de la sélection dans les cases à cocher Activité de téléchargement et Récupérer les abonnements .
      Tableau 3. Valeurs de connexion et d’informations d’identification renseignées automatiquement en fonction de la sélection
      Sélection Valeur de connexion et d’informations d’identification
      Les abonnements Télécharger l’activité et Récupérer sont sélectionnés. sn_okta_spoke.okta_apps_users_groups_activity_and_reclaim
      Seule l’activité Télécharger est sélectionnée. sn_okta_spoke.okta_demo_profile_apps_users_groups_activity
      Seuls les abonnements de récupération sont sélectionnés. sn_okta_spoke.okta_demo_profile_apps_users_groups_activity_and_reclaim
      Les abonnements Activité de téléchargement et Récupération ne sont pas sélectionnés. sn_okta_spoke.okta_demo_profile_apps_users_groups_activity
    5. Ouvrez la boîte de dialogue Créer une connexion et des informations d’identification.
      InterfaceAction
      Interface utilisateur principale Sélectionnez le lien connexe Créer une connexion et des informations d’identification sur le formulaire de profil d’intégration SSO.
      Espace de travail actifs logiciels
      1. Sélection de l’icône d’aperçu ( icône d’aperçu.) en regard du champ Connexion et informations d’identification
      2. Sélectionnez Ouvrir l’enregistrement dans l’aperçu de l’enregistrement.
      3. Dans le formulaire Alias de connexion et d’informations d’identification, sélectionnez le lien connexe Créer une nouvelle connexion et informations d’identification .
    6. Renseignez les champs de la boîte de dialogue.
      Tableau 4. Boîte de dialogue Créer une connexion et des informations d’identification
      Champ Description
      Nom Nom de la connexion. Par exemple, Connexion Okta.
      URL de connexion URL de connexion. Saisissez https://<votreOktaDomaine>.com, où <votreOktaDomaine> est le domaine de votre organisation.
      URL d'autorisation URL du point de terminaison d’autorisation OAuth. Saisissez https://<votreOktaDomaine>.com/oauth2/v1/autoriser, où <votreOktaDomaine> est le domaine de votre organisation.
      URL de jeton URL du point de terminaison OAuth qui récupère et actualise les jetons d’accès. Saisissez https://<votreOktaDomaine>.com/oauth2/v1/jeton, où <votreOktaDomaine> est le domaine de votre organisation.
      URL de révocation du jeton URL du point de terminaison OAuth qui révoque les jetons d’accès. Saisissez https://<yourOktaDomain>.com/oauth2/v1/revoke, où <yourOktaDomain> est le domaine de votre organisation.
      ID client OAuth ID client qui est affecté à votre Okta application.
      Secret client OAuth Clé secrète du client qui est affectée à votre Okta application.
      URL de redirection OAuth URL du fournisseur OAuth vers lequel les utilisateurs sont redirigés après authentification. Ce champ est automatiquement défini sur https://<nom-instance>.service-now.com/oauth_redirect.do, où <nom-instance> correspond au nom de votre ServiceNow instance.
    7. Sélectionnez Créer et obtenir un jeton OAuth.
      Remarque :
      Vous devez vous connecter à l’aide des mêmes informations d’identification que l’utilisateur disposant du rôle requis. Pour connaître le rôle requis pour effectuer cette étape, consultez la table Autorisations utilisateur minimales .
    8. Sur le formulaire de profil d’intégration, sélectionnez Valider la connexion pour vérifier les détails de connexion et d’informations d’identification de cette intégration.
    9. Une fois la connexion vérifiée, sélectionnez Publier.
    10. Dans la boîte de dialogue Publier la confirmation, sélectionnez OK.
      Si vous décochez la case Télécharger l’activité après la publication du profil d’intégration, vous devez revalider les connexions, car les événements suivants se produisent :
      • Le bouton Valider la connexion s’affiche sur le formulaire.
      • La dernière activité des utilisateurs des applications connectées n’est plus extraite.

    Résultats

    Les travaux planifiés et les travaux de répertoire téléchargent une liste de toutes les applications, utilisateurs, groupes et abonnements logiciels associés à votre Okta application. Affichez l’état de votre tâche dans les onglets Résultats des travaux planifiés et Résultats des tâches de répertoire de votre profil d’intégration. Gestion des actifs logiciels crée automatiquement des modèles logiciels pour les applications dont l’ID de catalogue externe correspond à un identificateur de la table Définitions de produits d’abonnement [samp_sw_subscription_product-definition].

    Que faire ensuite

    Si vous avez coché la case Créer des abonnements Okta et que ce profil d’intégration est publié, un profil d’intégration directe pour Okta est créé. Vous pouvez accéder au profil d’intégration directe en sélectionnant le lien Profil d’intégration directe dans le message d’information.

    Une fois que vous avez accédé au profil d’intégration directe, vous pouvez afficher Okta les abonnements en sélectionnant l’onglet Abonnements logiciels . Pour plus d'informations, consultez Okta Profil d’intégration directe SSO.

    Avertissement :

    Lorsque votre jeton OAuth expire, votre Okta profil d’intégration affiche un message d’erreur indiquant que vous devez obtenir un nouveau jeton OAuth. Sélectionnez le lien dans le message d’erreur pour obtenir le nouveau jeton OAuth.

    Ne supprimez pas l’enregistrement d’informations d’identification OAuth 2.0 associé à l’enregistrement de connexion de votre Okta profil d’intégration. Si vous supprimez l’enregistrement d’informations d’identification OAuth 2.0, vous ne pourrez pas obtenir un nouveau jeton OAuth après l’expiration de votre jeton OAuth actuel.

    Après avoir publié le profil d’intégration et connecté les applications au profil, vous pouvez afficher les événements effectués par des utilisateurs individuels jusqu’à 60 jours avant la date actuelle. Pour plus d'informations, consultez Examiner une règle de réclamation de logiciel.

    Okta Profil d’intégration directe SSO

    Okta Le profil d’intégration directe SSO vous aide à gérer Okta les licences utilisateur en créant des abonnements pour Okta les utilisateurs lors de la configuration d’une Okta intégration SSO.

    Tableau 5. Profil d’intégration directe de l’authentification unique OKTA
    Champ Description
    Nom complet Nom du profil d’intégration.
    Statut État du profil d'intégration.

    Ce champ est automatiquement défini sur Publié.
    Type de profil Type de profil d'intégration.

    Ce champ est automatiquement défini sur Abonnement Okta.
    Télécharger le flux secondaire d'abonnement
    Flux secondaire Ce champ est automatiquement défini sur Abonnements de téléchargement Okta.

    Connecter les applications SSO

    Connectez une application SSO pour surveiller tous les utilisateurs et groupes qui ont accès à cette application. Alors que l’intégration SSO fournit un résumé de l’utilisation et de l’activité de l’application, l’intégration directe offre des informations détaillées sur ces mesures.

    Avant de commencer

    ServiceNow Rôle requis : sam_integrator ou admin

    Pourquoi et quand exécuter cette tâche

    ServiceNow® Gestion des licences SaaS offre des intégrations directes avec certaines applications. Les intégrations directes fournissent les données d’utilisation les plus complètes. Pour obtenir la liste des intégrations directes disponibles, reportez-vous à la section Intégrer aux applications SaaS.

    Si vous avez déjà créé une intégration directe pour une application, la connexion de la même application dans une intégration SSO crée des enregistrements d’abonnement en double dans votre ServiceNow instance. Vous ne devez utiliser que l’intégration directe. Si vous connectez une application dans une intégration SSO, mais que vous souhaitez créer ultérieurement une intégration directe pour cette application, déconnectez l’application avant de créer l’intégration directe.

    Procédure

    1. Accédez à la Tous > Licence SaaS > Applications SSO.
    2. Sélectionnez l’application à connecter.
    3. Si le champ Modèle logiciel est vide, ajoutez un modèle logiciel pour l’application.
      Avant de pouvoir connecter une application, elle doit être associée à un modèle logiciel. ServiceNow® Gestion des actifs logiciels crée automatiquement des modèles logiciels pour les applications dont l’ID de catalogue externe correspond à un identificateur de la table Définitions de produits d’abonnement [samp_sw_subscription_product_definition]. Pour toutes les autres applications, vous pouvez créer un modèle logiciel manuellement. Pour obtenir des instructions, consultez Créer des modèles logiciels au format Gestion des actifs logiciels classique.
    4. Facultatif : Cochez la case Activer le modèle logiciel basé sur le groupe pour mapper un groupe SSO à un modèle logiciel spécifique pour l’application.

      Par exemple, si une application possède plusieurs modèles de licence liés à des groupes spécifiques, vous pouvez mapper un groupe à un modèle logiciel pour optimiser l’utilisation de la licence.

      Important :
      Si vous sélectionnez cette option, vous devez créer un mappage pour le groupe SSO avant de connecter l’application. Une fois le mappage terminé, les abonnements SSO sont automatiquement créés ou mis à jour en fonction du modèle logiciel mappé. Pour plus d'informations, consultez Créer un mappage de modèle logiciel de groupe SSO.
    5. Sélectionnez la date à partir de laquelle vous souhaitez analyser la dernière activité dans le champ Analyser la dernière activité de .

      Vous pouvez commencer à analyser les données de connexion pour des utilisateurs et des applications individuels à partir de la date actuelle ou jusqu’à 60 jours plus tôt. La valeur par défaut est de 30 jours. Si vous sélectionnez une date antérieure à la date actuelle, l’affichage des résultats peut prendre plus de temps en raison de la quantité de données que vous souhaitez analyser.

      Une fois que vous avez soumis une valeur dans le champ Analyser la dernière activité à partir de , le champ passe en lecture seule.

    6. Sélectionnez Connexion.
      Conseil :
      Pour connecter plusieurs applications simultanément, cochez la case en regard de chaque application que vous souhaitez connecter dans la liste des applications SSO. Sélectionnez Actions dans le menu de ligne sélectionné, puis sélectionnez Connexion. Si aucune application n’est associée à un modèle logiciel, le nom de l’élément de menu Connexion est mis à jour pour indiquer que seules certaines des applications sont connectées. Par exemple, un élément de menu Connect (1 sur 4) indique qu’une seule des quatre applications que vous avez sélectionnées est connectée. Ajoutez des modèles logiciels aux applications restantes pour poursuivre les connexions.

    Que faire ensuite

    Une fois l’application SSO connectée, votre ServiceNow instance crée automatiquement des utilisateurs, des groupes, des abonnements et des règles de réclamation qui sont actualisés quotidiennement. Si vous supprimez un utilisateur, une application, un groupe ou une appartenance à un groupe de la Okta Developer Console, les modifications sont répercutées sur votre ServiceNow instance.

    Passez en revue toutes les règles de réclamation générées automatiquement pour confirmer qu’elles répondent à vos spécifications de récupération des abonnements utilisateur. Pour plus d'informations, consultez Examiner une règle de réclamation de logiciel.

    Après avoir connecté l’application SSO, affichez les informations relatives au profil SSO dans le Software Asset Workspace en accédant à Opérations de licence > Abonnement de l'utilisateur > Profils d'intégration SSO. Vous pouvez sélectionner un profil d’intégration pour afficher les listes connexes suivantes.
    • Applications SSO
    • Utilisateurs de répertoires
    • Travaux planifiés
    • Résultats de la tâche planifiée
    • Tâches de répertoire
    • Résultats des tâches de répertoire
    • Règle d'exclusion de l'utilisateur de l'abonnement

    Après avoir créé un profil d’intégration, vous pouvez définir des règles d’exclusion des abonnements afin d’exclure certains abonnements du calcul des coûts de licence. Pour plus d'informations, consultez Exclusions d’abonnements pour SaaS les applications SSO et.

    Créez des autorisations logicielles pour les modèles logiciels générés automatiquement afin de suivre les logiciels utilisés par rapport aux logiciels possédés. Pour plus d’informations sur la création d’autorisations d’utilisation du logiciel dans l’application Gestion des actifs logiciels classique, reportez-vous à la section Créer des autorisations au format Gestion des actifs logiciels classique. Pour plus d’informations sur la création d’autorisations logicielles dans Software Asset Workspace, reportez-vous à la section Créer des autorisations dans l’espace de travail. Pour plus d’informations sur la création d’autorisations logicielles à l’aide du Gestion des actifs logiciels playbook, reportez-vous à la section Créer des autorisations à l’aide de la visite guidée.

    Le rapprochement s’exécute également sur vos abonnements en tant que tâche planifiée ou à la demande. Vous pouvez afficher vos résultats de rapprochement dans la console de licence (Gestion des actifs logiciels application classique) ou dans la vue Utilisation de la licence (Software Asset Workspace). Utilisez ces résultats pour déterminer votre position en matière de conformité de licence et corriger toute non-conformité. Pour plus d’informations sur l’exécution du rapprochement dans l’application Gestion des actifs logiciels classique, reportez-vous à la section Exécuter le rapprochement de logiciel au format Gestion des actifs logiciels classique. Pour plus d’informations sur l’exécution du rapprochement dans Software Asset Workspace, reportez-vous à la section Exécuter le rapprochement de logiciel dans l’espace de travail.