3

Active Directory にメンバーを持つグループがあり、ServiceNow にも同じメンバーを持つ同じグループがあります。

Okta をシングル サインオン ソリューションとして使用する計画があります。この目的のために、AD から Okta にユーザーをプロビジョニングさせることができます。

また、Okta がグループをプロビジョニングし、AD からのメンバーシップを維持することも望んでいます。たとえば、次のようになります。

  1. AD でグループに人が追加または削除された場合、ServiceNow の同じグループからそれらの人を削除したいと考えています。
  2. グループが AD で追加または削除された場合、同じグループを ServiceNow で削除したいと考えています。

これは可能ですか?可能である場合、それを達成するために使用できる Okta の機能は何ですか?

4

1 に答える 1

2

Peter Raeves によってリンクされたドキュメントを参照し、テスト インスタンスでいくつかの実験を行った後、次のように ServiceNow で AD グループを複製できるようです。

(ステップ 1 と 2 は任意の順序で実行できることに注意してください)

  1. Okta が Active Directory に接続されていることを確認します。これには、こちらで説明されているように、Okta AD エージェントをインストールして構成する必要があります。
  2. SAML 接続を使用して Okta を ServiceNow に接続します。ServiceNow の新しいバージョンでは、Okta ServiceNow プラグインを使用しない方がよいようです。このプラグインは、ServiceNow で導入された SSO の変更ではうまく機能しないようです。接続を「手動」で構成するための手順は、Okta ServiceNow アプリケーションの [サインオン] タブの下にある [セットアップ手順の表示] をクリックすると表示されます。Okta ServiceNow アプリケーションの [プロビジョニング] タブでプロビジョニングを有効にしてください。
  3. ServiceNow アプリケーションを Active Directory ユーザーに割り当てます。これは、Okta ServiceNow アプリケーションの [People] タブで実行できます。これは、ステップ 4 の前に行う必要があります (Okta は、アプリケーションに割り当てられていないグループで見つかったユーザーを無視します)。
  4. 目的の Active Directory グループを ServiceNow にプッシュします。これは、Okta ServiceNow アプリケーションの [プッシュ グループ] タブで実行できます。[グループ メンバーシップをすぐにプッシュする] チェックボックスをオンにすると、グループをプッシュするときに、Okta は ServiceNow でグループ メンバーシップをレプリケートできます。グループ リストの下向き矢印をクリックし、[今すぐプッシュ] を選択して、グループが追加された後にメンバーシップをプッシュすることもできます。

ユーザーの役割は引き続き ServiceNow で維持する必要があることに注意してください。Okta はロールにまったく触れないため、Okta によって上書きされる危険を冒すことなく、たとえば ServiceNow のグループレベルでロールを追加できます。

于 2016-02-18T21:28:17.183 に答える