Возможно ли, чтобы Okta реплицировала группы AD (и их участников) в ServiceNow?

У нас есть группы с участниками в Active Directory, и у нас есть те же группы с такими же участниками в ServiceNow.

Планируется использовать Okta в качестве решения для единого входа. Для этого мы можем настроить пользователей Okta из AD.

Мы хотели бы, чтобы Okta также предоставляла группы и поддерживала их членство из AD. Так, например:

  1. Когда люди добавляются или удаляются из группы в AD, мы хотели бы, чтобы эти люди удалялись из той же группы в ServiceNow.
  2. Когда группа добавляется или удаляется в AD, мы хотели бы, чтобы эта же группа была удалена в ServiceNow.

Возможно ли это, и если да, то какой функционал Окты можно использовать для этого?


single-sign-on okta servicenow
person coderworks    schedule 17.02.2016    source источник
comment
У меня действительно нет времени, чтобы написать ответ, но прочитайте это. Это документация okta по групповой подготовке. В частности, это .   -  person Peter Raeves    schedule 17.02.2016
comment
Спасибо @PeterRaeves, я использовал ваши ссылки и некоторые эксперименты, чтобы получить то, что я считаю правильной процедурой, и опубликовал это как ответ (поскольку это может быть полезно другим людям).   -  person coderworks    schedule 19.02.2016

Ответы (1)


arrow_upward
2
arrow_downward

Изучив документацию, на которую ссылается Питер Рэйвс, и после некоторых экспериментов с тестовым экземпляром, кажется, что группы AD можно реплицировать в ServiceNow следующим образом:

(Обратите внимание, что шаги 1 и 2 можно выполнять в любом порядке)

  1. Убедитесь, что Okta подключена к Active Directory. Для этого требуется установить и настроить агент Okta AD, как описано в здесь.
  2. Подключите Okta к ServiceNow с помощью соединения SAML. В более новых версиях ServiceNow лучше не использовать подключаемый модуль Okta ServiceNow, так как этот подключаемый модуль плохо работает с изменениями единого входа, которые были введены в ServiceNow. Инструкции по настройке подключения «вручную» можно найти, нажав «Просмотреть инструкции по настройке» на вкладке «Вход» в приложении Okta ServiceNow. Убедитесь, что вы включили подготовку на вкладке "Подготовка" в приложении Okta ServiceNow.
  3. Назначьте приложение ServiceNow пользователям Active Directory. Это можно сделать на вкладке «Люди» в приложении Okta ServiceNow. Это необходимо сделать до шага 4 (Okta будет игнорировать всех пользователей, найденных в группах, которые не назначены приложению).
  4. Отправьте нужные группы Active Directory в ServiceNow. Это можно сделать на вкладке «Push Groups» в приложении Okta ServiceNow. Okta может реплицировать членство в группе в ServiceNow при отправке группы, если вы отметите флажок «Немедленно отправить членство в группу». Вы также можете отправить членство после добавления группы, щелкнув стрелку вниз в списке групп и выбрав «Отправить сейчас».

Обратите внимание, что роли пользователей по-прежнему необходимо поддерживать в ServiceNow. Поскольку Okta вообще не затрагивает роли, их можно добавить, например, на уровне группы в ServiceNow, не рискуя перезаписать их Okta.

person coderworks    schedule 18.02.2016
comment
Означает ли это, что вы не можете перенести роли из AD в SN? - person Peter Raeves; 19.02.2016
comment
Привет @PeterRaeves, я еще не нашел способ сделать это, хотя, возможно, это можно сделать, если использовать возможности сценариев в Okta Universal Directory (?). В ServiceNow роли группы не хранятся в таблице Group (sys_user_group). но в связанной таблице; они связаны с группой через промежуточную таблицу с именем sys_group_has_role. Okta каким-то образом должен запросить таблицу ролей (sys_user_role), получить SYS ID роли и связать ее с конкретной группой в таблице sys_group_has_role. - person coderworks; 19.02.2016