ServiceNow UDプロビジョニング移行ガイド

概要

本ドキュメントは既存のServiceNow統合を移行してUniversal Directory(UD)を使用する手順を説明します。

新機能

ServiceNow UDで以下の新機能が使えるようになりました。

  • ServiceNow Genevaバージョン以上をサポート
  • 無制限のカスタム属性を持つユーザーのスキーマ検出をサポート
  • フレキシブルなユーザー属性マッピングをサポート
  • プロビジョニングでOkta ServiceNowプラグインが不要

開始する前に

現在のServiceNowアプリインスタンスに使用している設定を知っておく必要があります。

新しいServiceNowUDアプリインスタンスを、現在のServiceNowインスタンスにできるだけ近くなるように構成する必要があります。

手順

既存のServiceNow統合を移行して UDを使用するには、新しいインスタンスを構成し、既存のServiceNowアプリインスタンスにできるだけ近くなるように構成し、既存のユーザーをそのインスタンスに転送して、最後に既存のマッピングがある場合はそれをコピーする必要があります。必要な手順は次のとおりです。

  1. Oktaで、ServiceNow - Eureka and laterリリースのアプリインスタンスに移動します。
  2. このアプリの [Sign On(サインオン)] タブを選択し、以下を確認します。
    • SSOモードSWAまたは SAML 。新しいServiceNow UDアプリにも同じモードを使用する必要があります。
    • SWAで構成されたアプリの場合は、パスワード設定を確認します(User sets username and password(ユーザーがユーザー名とパスワードを設定)など)。新しいServiceNow UDアプリにも同じ設定を使用する必要があります。
    • SWAで構成されたアプリの場合は、 [Application username format(アプリケーション・ユーザー名のフォーマット)] をオンにします。新しいServiceNow UDアプリにも同じ値を使用する必要があります。

  3. 左側のナビゲーションで [Provisioning(プロビジョニング)] タブと [To Apps(アプリへ)]を選択し、有効になっている機能をメモします。ユーザーのデータの欠落や上書きを防ぐために、新しいServiceNow UDアプリで同じ機能を有効にする必要があります。Oktaからすべてのユーザーのデータを管理する場合は、すべてのプロビジョニング機能を有効にします。

    重要:

    • 既存のServiceNowアプリで[Sync Password(パスワードの同期)]機能 を無効にしている場合は、 [Sign On(サインオン)]タブの[Secure Web Authentication(セキュリティ保護されたWeb認証)]で選択した設定に応じて、エンドユーザーがパスワードを設定できるようにすることができます。

      • Administrator sets username and password(管理者がユーザー名とパスワードを設定):この場合、移行されたすべてのユーザーのパスワードを手動で入力する必要があります。Oktaでは、移行前にこの機能を有効にすることをお勧めします。これにより、移行されたすべてのユーザーのパスワードを手動で入力する必要がなくなります。

      • User sets username and password(ユーザーがユーザー名とパスワードを設定):この場合、移行後、エンドユーザーは現在のServiceNow SWAアプリに使用している有効なユーザー名とパスワードを入力する必要があります。

      • Administrator sets username, user sets password(管理者がユーザー名を設定し、ユーザーがパスワードを設定): この場合、移行後にエンドユーザーは現在ServiceNow SWAアプリで使用している有効なパスワードを入力する必要があります。

    • 既存のServiceNowアプリでユーザー属性の更新機能を無効にしている場合、同期されていないユーザーがいる可能性があり、移行中に見落とされる可能性があります。ServiceNowに更新されたプロファイル(更新された電子メールアドレスなど)を持つユーザーが存在する場合、これらのユーザーはインポート中に自動確認できません。このようなユーザーを移行するには、手動で確認する必要があります。

    • 既存のServiceNowアプリで Deacticvation(非アクティブ化)機能を無効 にしている場合、ユーザーを新しいServiceNowUDインスタンスに移行するときに問題が発生する可能性があります。既存のServiceNowアプリから割り当てられていないユーザーが存在するが、実際にはServiceNow側で非アクティブ化されていない場合、これらのユーザーは新しいServiceNowUDアプリに対して自動確認されます。手動で移行した後、そのようなユーザーの割り当てを手動で解除できます。

  4. プロファイル エディターを開き、現在のServiceNowアプリを見つけて、マッピングを確認します。これらを新しいServiceNowUDアプリにコピーする必要があります。カスタムマッピングがある場合は、これらもコピーする必要があります。

  1. Oktaで[Applications(アプリケーション)]タブを選択し、[Add Application(アプリケーションの追加)]をクリックします。

  2. ServiceNow UD を見つけ、[Add(追加)]をクリックします。

  3. ServiceNowテナントの ベースURL を入力し、[[Next(次へ)]をクリックします。

  4. 現在のServiceNow-Eurekaアプリインスタンスと同じ [SIGN ON METHOD(サインオン方式)] を選択し、 [Done(完了)]をクリックします。

    を参照してください。

  5. [Provisioning(プロビジョニング)]タブを選択して[Configure API Integration(API統合を設定)]をクリックします。

  6. 左側のナビゲーションで[To App(アプリへ)]を選択し、[Go to Profile Editor(プロファイル エディターに進む)]をクリックします。

    7. :現在のService Now-Eurekaアプリに Location(位置) 属性がある場合は、次のように新しいServiceNowUDアプリに追加する必要があります。

    [Add Attribute(属性を追加)]をクリックし、 [Location(位置)] 属性を選択して、[Save(保存)]をクリックします。

  7. [Map Attributes(属性をマップ)]をクリックし、 Okta to ServiceNowUDに移動します。
  8. 重複するすべての属性で現在のServiceNow ‐ Eurekaからマッピングをコピーして貼り付け、[Save Mappings(マッピングを保存)]をクリックします。

現在のServiceNowアプリをActiveDirectoryで構成している場合は、すべての属性のマッピングをコピーして貼り付け、現在のアプリと同じにする必要があります。

現在のServiceNowアプリでカスタム マッピングがあり(adUser.tshirt > oktaUser.title > snowUser.titleなど)、ServiceNowプロビジョニングでtitle属性の列名としてtshirtを設定している場合、以下のように新規アプリ インスタンスでも同じマッピングを構成する必要があります。

  1. ServiceNowからユーザー属性をインポートします。

  2. tshirt 属性をユーザー プロファイルに追加します。

  3. 次のようにマッピングを構成します:adUser.tshirt > oktaUser.tshirt > snowUser.tshirt

たとえば、Oktaプロファイルに T-shirt Size(Tシャツのサイズ) 属性があり、ServiceNow title属性は、現在組織で使用されていない場合、

  1. マッピングは user.tshirt→ServiceNowappuser.titleに設定されます

  2. ServiceNowアプリのプロビジョニング セクションでは、 tshirt は、 title がマップされる列名として構成されます。

    3. マッピングは次のようになります。

現在のServiceNowアプリがSWAまたはSAML SSOで構成されている場合、移行手順が異なる部分を以下に記載します。

  1. 既存のServiceNowアプリのすべてのプロビジョニング機能を無効にします。
  2. 新しいServiceNowUDアプリ インスタンスを構成します。 を参照してください。
  3. 現在のServiceNowアプリ統合の構成方法に応じて、2つの別々の移行フローをお勧めします。

    • 次の基準が満たされている場合はこの方法を使用し、そうでない場合は します。

      • 現在のServiceNow-Eurekaアプリ インスタンスで、グループレベルですべてのユーザーが割り当てられています。
      • グループ内のすべてのユーザーは、以下の属性で並べ替えられ、同じ値を持ちます:部門、コストセンター、場所(追加されている場合- を参照)
      • グループ内のすべてのユーザーは、ServiceNow側の属性TimezoneとCompanyに同じ値を持っています。これらの属性は古いService Nowアプリではサポートされていませんが、新しいUDアプリではサポートされています

      :移行中にすべてのユーザーの一部の属性値が上書きされる可能性があることを理解しておく必要があります。これが重要でない場合は、グループの割り当てを使用する移行フローに進みます。

Oktaサポートに連絡して、組織でAPPLICATION_ENTITLEMENT_POLICY機能フラグが有効になっていることを確認してください。この機能を使用すると、グループ割り当ての静的な値の代わりにユーザー属性をマッピングできます(たとえば、グループ内のすべてのユーザーに対して、[財務]の代わりに[部門])。

移行の前に、テスト移行を試すことをお勧めします。

現在のServiceNowアプリがActive Directoryで構成されておらず、すべての属性がOktaユーザー プロファイルにマップされている場合

  1. Oktaで新しいテスト・グループを作成します。
  2. Oktaで新しいテストユーザーを作成し、ServiceNowにマッピングされた属性(マネージャー、部門、コストセンターなど)の値を設定します。
  3. このユーザーをテスト・グループに追加します。
  4. 現在のServiceNowアプリにテスト・グループを割り当て(プロビジョニング機能が有効になっていることを確認してください)、ServiceNow側でユーザーが正しい属性値で作成されていることを確認します。
  5. 現在のServiceNowアプリのプロビジョニングを無効にします。

  6. テスト・グループを新しいServiceNow UDアプリに割り当て、同じActive Directory属性をマッピングします。

  7. ユーザーがリンクされていること、および古いServiceNowアプリに存在しない属性についてのみServiceNowでユーザーのプロファイルが更新されていることを確認します。

現在のServiceNowアプリがActive Directoryで構成されている場合:

  1. Active Directoryで新しいテスト・グループを作成します。
  2. Active Directoryで新しいテスト・ユーザーを作成し、Active DirectoryからServiceNowにマッピングされるすべての属性(マネージャー、部門、コスト・センターなど)を設定します。
  3. 新しいテスト・ユーザーをテスト・グループに追加します。
  4. Oktaに移動し、Active Directoryからインポートを実行します。
  5. テスト・ユーザーがOktaに存在することを確認します。
  6. テスト・ユーザーを含むテスト・グループを古いServiceNowアプリに割り当てます。
  7. ユーザーが正しい属性値で作成されていることを確認してください。
  8. 古いServiceNowアプリのプロビジョニングを無効にします。

  9. テスト・グループを新しいServiceNow UDアプリに割り当て、同じActive Directory属性をマッピングします。

  10. ユーザーとそのプロファイルを確認します。

移行のテスト中に問題が発生した場合は、設定に不整合がないか確認し、修正して再試行してください。テスト移行が成功したら、すべてのグループの移行プロセスを開始できます。

ユーザーのプロファイルの紛失と書き直しが一切なく、すべてのユーザーの移行が100%成功することを保証することはできません。

テストが完了したら、移行を続行できます。

  1. 現在のServiceNow統合に割り当てられているすべてのユーザーをまとめて含む1つ以上のグループをOktaで特定します。
  2. 現在のServiceNowアプリのプロビジョニング機能が無効になっていることを確認してください。
  3. 新しいServiceNowUDアプリに移動し、グループを割り当てます。
  4. 割り当て中に、それに応じてすべてのグループレベルの属性を設定します。

グループ内のユーザーの一部の属性に空白の値がある場合は、ドロップダウンリストから [Not Selected(未選択)] を設定するか、必要な値を指定できます。

古いServiceNowアプリを非表示または非アクティブ化する

新しいServiceNow UDアプリがセットアップされて割り当てられました。混乱を避けるために、古いServiceNowアプリケーションのタイルをエンド・ユーザーのOktaコンソールで非表示にするか非アクティブ化することをお勧めします。これを行うには、次の手順を実行します。

非表示
  1. 旧ServiceNowアプリに進み、[General(一般)]タブを選択します。
  2. [Edit(編集)]をクリックします
  3. [Do not display application icon to users(アプリケーションのアイコンをユーザーに表示しない)]チェックボックスをオンにします。
  4. [Save(保存)]をクリックします。
非アクティブ化

この場合、以前にインポートされた古いServiceNow []アプリのグループはすべてOktaで削除されます。

  1. 古いServiceNowアプリを開きます。
  2. [ アクティブ ]ボタンをクリックし、 [ 非アクティブ化]を選択します。

  3. [Save(保存)]をクリックします。

 

エンドユーザーの移行フロー

新しいServiceNow UDアプリ(新しいアプリケーション・タイル)を割り当てたら、エンド・ユーザーはコンソールの新しいアプリケーション・タイルをクリックするだけです。ServiceNowにログインできる場合は、何もする必要はありません。

移行の前に、テスト移行を試すことをお勧めします。

  1. 既存のServiceNowUDアプリ インスタンスで、 [Provisioning(プロビジョニング)] タブを選択し、左側のナビゲーションで[To Okta(Oktaへ)]を選択します。 [User Creation & Matching(ユーザーの作成とマッチング)] セクションで、[Imported user is an exact match to Okta user if - Email matches(メールアドレスが一致する場合、インポートされたユーザーはOktaユーザーと完全に一致)]を選択します。

  2. 新しいServiceNowUDインスタンスに新しいユーザーをインポートします。すべてのユーザーが一致し、既存のユーザーにリンクできることを確認します。

    • 既存のServiceNowアプリで [Push Profile(プロファイルをプッシュ)] 機能を無効にしている場合、新しいService NowUDアプリに移行した後に一部のユーザーが失われます。移行後に手動で確認する必要があります。
    • 既存のServiceNowアプリで 非アクティブ化機能を無効にしている場合、現在のServiceNowアプリに割り当てられていないユーザーに一致するものが見つかる可能性があります。移行後に、これらのユーザーの割り当てを手動で解除する必要があります。
    • ServiceNowに同じメール・アドレスを持つ異なるユーザーがいる場合、不一致の問題が発生する可能性があります。この場合、 を参照してください。
  3. テスト・ユーザーを確認し、インポートが成功することを確認します。

移行のテスト中に問題が発生した場合は、設定に不整合がないか確認し、現在のServiceNowアプリと同じになるように修正してから再試行してください。テスト移行が成功したら、すべてのユーザーの移行プロセスを開始できます。

ユーザーのプロファイルの紛失と書き直しが一切なく、すべてのユーザーの移行が100%成功することを保証することはできません。

テストが完了したら、移行を続行できます。

  1. ServiceNow UDアプリインスタンスで、[Provisioning(プロビジョニング)] タブを選択し、左側のナビゲーションで[To Okta(Oktaへ)]を選択します。次に、 User Creation & Matching(ユーザーの作成とマッチング)]セクションで、[Imported user is an exact match to Okta user if - Email matches and Auto-confirm exact matches(Eメールが一致し自動確認が完全一致する場合、インポートされたユーザーはOktaユーザーと完全一致)]を選択します。

  2. 新しいServiceNowUDインスタンスに新しいユーザーをインポートします。既存のユーザーはすべて自動確認される必要があります。また、新しいServiceNow UDでもすべてのグループがインポートされるため、グループが重複する可能性があります。
  3. 古いServiceNowアプリの構成によっては、次の追加のアクションが必要になる場合があります。

    • 古いServiceNowアプリでプロファイルのプッシュ機能を無効にしていて、新しいServiceNowUDアプリへの移行中に一部のユーザーを見逃した場合。手動で確認する必要があります。

      重要:既存のユーザーをリンクするだけで新規ユーザーを作成しないでください。

      [1] ユーザーを探す → [2] 「矢印」をクリック → [3] 「指定した既存のOktaユーザー」を選択し、既存のユーザーのユーザー名を入力します。

    • 既存のServiceNowアプリで 非アクティブ化機能を無効 にしていて、確認されていないユーザーが見つかった場合。このようなユーザーは、移行後に手動で割り当て解除できます。
    • SWA構成の場合のみ:既存のServiceNowアプリでAdministrator sets username and password(管理者がユーザー名とパスワードを設定)を指定した場合は、移行されたすべてのユーザーのパスワードを手動で入力する必要があります。 [Assignment(割り当て)]に進む →ユーザーを選択→ [Edit(編集)]をクリック →パスワードを設定します。
    • SWA構成の場合のみ: User sets username and password(ユーザーがユーザー名とパスワードを設定)を指定した場合、エンドユーザーは移行後に現在のServiceNow SWAアプリに使用している有効なユーザー名とパスワードを入力する必要があります。「エンドユーザーの移行フロー」を参照してください。
    • SWA構成の場合のみ: Administrator sets username, user sets password(管理者がユーザー名を設定し、ユーザーがパスワードを設定)を指定した場合、エンドユーザーは移行後に現在のServiceNowSWAアプリに使用している有効なパスワードを入力する必要があります。「エンドユーザーの移行フロー」を参照してください。
  4. インポートが完了したら、Oktaは、エンドユーザーのOktaダッシュボードから古いServiceNowアプリ チクレットを 非表示 または 非アクティブ化 することを提案します。

古いServiceNowアプリを非表示または非アクティブ化する

新しいServiceNow UDアプリがセットアップされて割り当てられました。混乱を避けるために、古いServiceNowアプリケーションのタイルをエンド・ユーザーのOktaコンソールで非表示にするか非アクティブ化することをお勧めします。これを行うには、次の手順を実行します。

非表示
  1. 旧ServiceNowアプリに進み、[General(一般)]タブを選択します。
  2. [Edit(編集)]をクリックします
  3. [Do not display application icon to users(アプリケーションのアイコンをユーザーに表示しない)]チェックボックスをオンにします。
  4. [Save(保存)]をクリックします。
非アクティブ化

この場合、以前にインポートされた古いServiceNow []アプリのグループはすべてOktaで削除されます。

  1. 古いServiceNowアプリを開きます。
  2. [ アクティブ ]ボタンをクリックし、 [ 非アクティブ化]を選択します。

  3. [Save(保存)]をクリックします。

 

エンドユーザーの移行フロー

新しいServiceNow UDアプリ(新しいアプリケーション・タイル)を割り当てたら、エンド・ユーザーはコンソールの新しいアプリケーション・タイルをクリックするだけです。ServiceNowにログインできる場合は、何もする必要はありません。

ServiceNowで同じメール・アドレスを持つユーザーを移行する場合は、次のように単一のユーザー割り当てを使用することをお勧めします。

  1. 現在または古いServiceNowアプリ・インスタンスのプロビジョニングが無効になっていることを確認してください。
  2. ServiceNowとOktaの両方で同じメールアドレスを持つユーザーをOktaで特定します。
  3. 値が上書きされないように、OktaユーザーとServiceNowユーザーの両方の属性値が同じであることを確認します。
  4. これらのユーザーを新しいServiceNowUDアプリインスタンスに割り当てます。
  5. ServiceNowでユーザーを確認します。ユーザー プロファイルは、新しい属性に対してのみ更新する必要があります。
  1. 旧ServiceNow - Eureka以降のリリースのアプリ インスタンスに進み、リンクを解除して、プッシュされたグループを削除します。
  2. 新しいServiceNow UDアプリ・インスタンスに移動して、このグループをプッシュします。

注:古いServiceNowアプリから同じグループを削除せずに、新しいServiceNowアプリからプッシュしようとすると、次のエラーが表示されます。

移行は次のように確認できます。

  • ユーザーのインポートについてシステムログを確認します。
  • インポートされたユーザーの数が、既存のServiceNowアプリ インスタンスの既存のユーザーの数と一致することを確認します。
  • 新しいServiceNowUDアプリのアプリケーション タイルを介してログインし、ユーザーの権限を確認します。
  • ダッシュボードにエラーがないか確認してください。