ServiceNow UDプロビジョニング移行ガイド

既存のServiceNow統合を移行してOkta Universal Directory(UD)を使用する手順を説明します。

最新情報

  • ServiceNow Genevaバージョン以上をサポート
  • 無制限のカスタム属性を持つユーザーのスキーマ検出をサポート
  • フレキシブルなユーザー属性マッピングをサポート
  • プロビジョニングでOkta ServiceNowプラグインが不要

開始する前に

現在のServiceNowアプリインスタンスで使用している設定を把握する必要があります。「現在のServiceNow構成を決定します」

新しいServiceNow UDアプリインスタンスを現在のServiceNowインスタンスにできるだけ近くなるように構成する必要があります。「新しいServiceNow UDアプリインスタンスを構成する」

手順

UDを使用するように既存のServiceNow統合を移行するための高度な手順:

  1. 既存のServiceNowアプリのインスタンスにできるだけ近くなるように新しいインスタンスを構成します。
  2. 既存のユーザーを新しいインスタンスに移行します。
  3. 既存のマッピングをコピーします。

詳細な手順:

現在のServiceNow構成を決定する

  1. Oktaで、ServiceNow - Eureka以降のリリースのアプリインスタンスに移動します。
  2. このアプリの[Sign On(サインオン)]タブに進み、以下の設定を確認します。
    • SSOモードSWAまたはSAML。新しいServiceNow UDアプリに同じモードを使用します。
    • SWAで構成されたアプリの場合は、パスワード設定を確認します(User sets username and password(ユーザーがユーザー名とパスワードを設定)など)。新しいServiceNow UDアプリに同じ設定を使用します。
    • SWAで構成されたアプリの場合は、[Application username format(アプリケーションユーザー名のフォーマット)]をオンにします。新しいServiceNow UDアプリに同じ値を使用します。

  3. [Provisioning(プロビジョニング)]>[To Apps(アプリへ)]に移動します。有効になっている機能をメモします。ユーザーのデータが失われたり上書きされたりしないように、新しいServiceNow UDアプリで同じ機能を有効にします。Oktaからすべてのユーザーデータを管理する場合は、すべてのプロビジョニング機能を有効にします。

    • 既存のServiceNowアプリで[Sync Password(パスワードの同期)]機能が有効になっていない場合は、[Sign On(サインオン)]タブの[Secure Web Authentication]で選択した設定に応じて、エンドユーザーがパスワードを設定できるようにすることができます。

      • [Administrator sets username and password(管理者がユーザー名とパスワードを設定)]:この場合、移行されたすべてのユーザーのパスワードを手動で入力する必要があります。Oktaでは、移行前にこの機能を有効にすることをお勧めします。これにより、移行されたすべてのユーザーのパスワードを手動で入力する必要がなくなります。

      • [User sets username and password(ユーザーがユーザー名とパスワードを設定)]:この場合、移行後、エンドユーザーは現在のServiceNow SWAアプリに使用している有効なユーザー名とパスワードを入力する必要があります。

      • [Administrator sets username, user sets password(管理者がユーザー名を設定し、ユーザーがパスワードを設定)]:この場合、移行後にエンドユーザーは現在ServiceNow SWAアプリで使用している有効なパスワードを入力する必要があります。

    • 既存のServiceNowアプリでユーザー属性の更新機能を無効にしている場合、同期されていないユーザーがいる可能性があり、移行中に見落とされる可能性があります。ServiceNowに更新されたプロファイル(更新された電子メールアドレスなど)を持つユーザーが存在する場合、これらのユーザーをインポート中に自動確認することはできません。このようなユーザーを移行するには、手動で確認する必要があります。

    • 既存のServiceNowアプリで非アクティブ化機能を無効にしている場合、ユーザーを新しいServiceNow UDインスタンスに移行するときに問題が発生する可能性があります。既存のServiceNowアプリから割り当てられていないユーザーが存在するが、実際にはServiceNow側で非アクティブ化されていない場合、これらのユーザーは新しいServiceNow UDアプリに対して自動確認されます。手動で移行した後、これらのユーザーの割り当てを手動で解除できます。

  4. [Profile Editor(プロファイルエディタ)]を開き、現在のServiceNowアプリを見つけて現在のマッピングを確認します。これらを新しいServiceNow UDアプリにコピーする必要があります。カスタムマッピングがある場合は、それらもコピーする必要があります。

新しいServiceNow UDアプリインスタンスを構成する

  1. 管理コンソールで、[Applications(アプリケーション)][Applications(アプリケーション)]に移動します。

  2. ServiceNow UDを見つけ、[Add(追加)]をクリックします。

  3. ServiceNowテナントのベースURLを入力し、[Next(次へ)]をクリックします。

  4. 現在のServiceNow-Eurekaアプリインスタンスと同じ[SIGN ON METHOD(サインオン方式)]を選択し、[Done(完了)]をクリックします。

    「現在のServiceNow構成を決定する」を参照。

  5. [Provisioning(プロビジョニング)]タブを選択して[Configure API Integration(API統合を設定)]をクリックします。

  6. [To App(アプリへ)]>[Go to Profile Editor(プロファイルエディタに移動)]をクリックします。

    7. 注:現在のService Now-EurekaアプリにLocation(位置)属性がある場合は、次のように新しいServiceNow UDアプリに追加する必要があります。

    [Add Attribute(属性を追加)]をクリックし、[Location(位置)]属性を選択して、[Save(保存)]をクリックします。

  7. [Map Attributes(属性をマップ)]をクリックし、Okta to ServiceNow UDに移動します。
  8. 重複するすべての属性で現在のServiceNow ‐ Eurekaからマッピングをコピーして貼り付け、[Save Mappings(マッピングを保存)]をクリックします。

現在のServiceNowアプリをActive Directoryで構成している場合は、すべての属性のマッピングをコピーして貼り付け、現在のアプリと同じにする必要があります。

現在のServiceNowアプリでカスタムマッピングがあり(adUser.tshirt > oktaUser.title > snowUser.titleなど)、ServiceNowプロビジョニングでtitle属性の列名としてtshirtを設定している場合、以下のように新規アプリインスタンスでも同じマッピングを構成する必要があります。

  1. ServiceNowからユーザー属性をインポートします。

  2. tshirt属性をユーザープロファイルに追加します。

  3. 次のようにマッピングを構成します:adUser.tshirt > oktaUser.tshirt > snowUser.tshirt

たとえば、OktaプロファイルにT-shirt Size(Tシャツのサイズ)属性があり、ServiceNow title属性は、現在組織で使用されていない場合、

  1. マッピングはuser.tshirt→ServiceNow appuser.titleに設定されます

  2. ServiceNowアプリのプロビジョニングセクションでは、tshirtは、titleがマップされる列名として構成されます。

    3. これで、マッピングは次のようになります。

ServiceNowアプリの移行

現在のServiceNowアプリがSWAまたはSAML SSOで構成されている場合、移行手順が異なる可能性があります。相違点を強調表示します。

  1. 既存のServiceNowアプリのすべてのプロビジョニング機能を無効にします。
  2. 新しいServiceNow UDアプリインスタンスを構成します。「新しいServiceNow UDアプリインスタンスの構成」を参照。
  3. 現在のServiceNowアプリ統合の構成方法に応じて、次の2つの異なる移行フローをお勧めします。

    • グループ割り当てを使用して移行する

      次の基準が満たされている場合はこの方法を使用し、そうでない場合はインポートと自動確認を使用して移行します。

      • 現在のServiceNow - Eurekaアプリインスタンスで、すべてのユーザーがグループレベルで割り当てられています。
      • グループ内のすべてのユーザーが以下の属性で並べ替えられ、同じ値を持っています:部門、コストセンター、場所(追加されている場合。「新しいServiceNow UDアプリインスタンスの構成」を参照)
      • グループ内のすべてのユーザーが、ServiceNow側の属性TimezoneとCompanyに対して同じ値を持っています。これらの属性は、古いService Nowアプリではサポートされていませんが、新しいUDアプリではサポートされています

      注:移行中にすべてのユーザーの一部の属性値が上書きされる可能性があります。これが重要でない場合は、グループの割り当てを使用して移行フローを進めてください。

    • インポートと自動確認を使用して移行する

グループ割り当てを使用して移行する

Oktaサポートに連絡して、組織でAPPLICATION_ENTITLEMENT_POLICY機能フラグが有効になっていることを確認してください。この機能を使用すると、グループ割り当ての静的な値の代わりにユーザー属性をマップできます(たとえば、グループ内のすべてのユーザーのFinancialではなくuser.department)。

移行する前に、Oktaはテスト移行を試すことをお勧めします。

現在のServiceNowアプリがActive Directoryで構成されておらず、すべての属性がOktaユーザープロファイルにマップされている場合

  1. Oktaで新しいテストグループを作成します。
  2. Oktaで新しいテストユーザーを作成し、ServiceNowにマップされた属性(マネージャー、部門、コストセンターなど)の値を設定します。
  3. このユーザーをテストグループに追加します。
  4. テストグループを現在のServiceNowアプリに割り当て(プロビジョニング機能が有効になっていることを確認してください)、ユーザーがServiceNow側で正しい属性値で作成されていることを確認します。
  5. 現在のServiceNowアプリのプロビジョニングを無効にします。
  6. テストグループを新しいServiceNow UDアプリに割り当て、同じActive Directory属性をマップします。
  7. ユーザーがリンクされており、古いService Nowアプリに存在しない属性についてのみ、ServiceNowでユーザーのプロファイルが更新されていることを確認してください。

現在のServiceNowアプリがActive Directoryで構成されている場合:

  1. Active Directoryに新しいテストグループを作成します。
  2. Active Directoryに新しいテストユーザーを作成し、Active DirectoryからServiceNowにマップされるすべての属性(マネージャー、部門、コストセンターなど)を設定します。
  3. 新しいテストユーザーをテストグループに追加します。
  4. Oktaに移動し、Active Directoryからインポートを実行します。
  5. テストユーザーがOktaに存在することを確認します。
  6. テストユーザーを含むテストグループを古いServiceNowアプリに割り当てます。
  7. ユーザーが正しい属性値で作成されていることを確認してください。
  8. 古いServiceNowアプリのプロビジョニングを無効にします。
  9. テストグループを新しいServiceNow UDアプリに割り当て、同じActive Directory属性をマップします。
  10. ユーザーとそのプロファイルを確認します。

テストの移行中に問題が発生した場合は、設定に不整合がないか確認し、修正してから再試行してください。テスト移行が成功すると、すべてのグループの移行プロセスを開始できます。

移行中に一部のユーザーのデータが失われ、ユーザーのプロファイルの書き換えが必要になる場合があります。

テストが完了した後、移行を続行できます。

  1. 現在のServiceNow統合に割り当てられているすべてのユーザーを含むOktaの1つ以上のグループを特定します。
  2. 現在のServiceNowアプリのプロビジョニング機能が無効になっていることを確認してください。
  3. 新しいServiceNow UDアプリに移動し、グループを割り当てます。
  4. 割り当て中に、すべてのグループレベルの属性を設定します。

グループ内のユーザーの一部の属性に空白の値がある場合は、ドロップダウンリストから[Not Selected(未選択)]を設定するか、必要な値を指定できます。

古いServiceNowアプリを非表示または非アクティブ化する

新しいServiceNow UDアプリがセットアップされて割り当てられたら、混乱を避けるために、Okta End-User Dashboard旧ServiceNowアプリを非表示にするか、旧ServiceNowアプリを非アクティブ化することができます。

旧ServiceNowアプリを非表示にする
  1. 旧ServiceNowアプリを開き、[General(一般)]タブに進みます。
  2. [Edit(編集)]をクリックします。
  3. [Do not display application icon to users(アプリケーションのアイコンをユーザーに表示しない)]を選択します。
  4. [Save(保存)]をクリックします。
旧ServiceNowアプリを非アクティブ化する

この場合、以前にインポートされた古いServiceNowアプリのグループはすべてOktaで削除されます。

  1. 古いServiceNowアプリを開きます。
  2. [Active(アクティブ)]ボタンをクリックし、[Deactivate(非アクティブ化)]を選択します。
  3. [Save(保存)]をクリックします。

エンドユーザーの移行フロー

新しいServiceNow UDアプリ(新しいアプリケーションタイル)を割り当てたら、エンドユーザーはダッシュボードの新しいアプリケーションタイルをクリックする必要があります。ServiceNowにサインインできる場合は、これ以上実行するアクションはありません。

インポートと自動確認を使用して移行する

移行する前に、Oktaはテスト移行を試すことをお勧めします。

  1. 既存のServiceNow UDアプリインスタンスで、[Provisioning(プロビジョニング)]>[To Okta(Oktaへ)]に移動します。[User Creation & Matching(ユーザーの作成とマッチング)]セクションで、[Imported user is an exact match to Okta user if - Email matches(メールアドレスが一致する場合、インポートされたユーザーはOktaユーザーと完全に一致)]を選択します。

  2. 新しいServiceNow UDインスタンスに新しいユーザーをインポートします。すべてのユーザーが一致し、既存のユーザーにリンクできることを確認してください。

    3. 注:

    • 既存のServiceNowアプリで[Push Profile(プロファイルをプッシュ)]機能を無効にしている場合、新しいServiceNow UDアプリに移行した後に一部のユーザーが失われることがあるので、移行後に手動で確認する必要があります。
    • 既存のServiceNowアプリで非アクティブ化機能を無効にしている場合、現在のServiceNowアプリに割り当てられていないユーザーに一致するものが見つかる可能性があります。移行後に、これらのユーザーの割り当てを手動で解除する必要があります。
    • ServiceNowに同じメールアドレスを持つ異なるユーザーがいる場合、不一致の問題が発生する可能性があります。この場合、「ServiceNowで同じメールアドレスを持つユーザーを移行する」を参照してください。
  3. テストユーザーを確認し、インポートが成功したことを確認します。

注:

  • テストの移行中に問題が発生した場合は、設定に不整合がないか確認し、現在のServiceNowアプリと同じになるように修正した後、再試行してください。テスト移行が成功すると、すべてのユーザーの移行プロセスを開始できます。

  • 移行中に一部のユーザーのデータが失われ、ユーザーのプロファイルの書き換えが必要になる場合があります。

テストが完了したら、移行を続行できます。

  1. ServiceNow UDアプリインスタンスで、[Provisioning(プロビジョニング)]>[To Okta(Oktaへ)]に移動します。次に、[User Creation & Matching(ユーザーの作成とマッチング)]セクションで、[Imported user is an exact match to Okta user if - Email matches and Auto-confirm exact matches(Eメールが一致し自動確認が完全一致する場合、インポートされたユーザーはOktaユーザーと完全一致)]を選択します。

  2. 新しいServiceNow UDインスタンスに新しいユーザーをインポートします。既存のすべてのユーザーを自動確認する必要があります。また、すべてのグループが新しいServiceNow UDにもインポートされるため、グループが重複している可能性があります。
  3. 古いServiceNowアプリの構成方法によっては、次の追加のアクションが必要になる場合があります。

    • 古いServiceNowアプリでプロファイルのプッシュ機能を無効にしていて、新しいServiceNow UDアプリへの移行中に一部のユーザーが失われることがあるので、移行後に手動で確認する必要があります。

      重要:新しいユーザーは作成しないでください。次のように、既存のユーザーのみをリンクさせます。

      [1]ユーザーを検索→[2]「矢印」をクリック→[3][EXISTING Okta user I specify(指定した既存のOktaユーザー)]を選択し、既存のユーザーのユーザー名を入力します。

    • 既存のServiceNowアプリで非アクティブ化機能を無効にしていて、確認されていないユーザーが見つかった場合は、移行後に該当するユーザーの割り当てを手動で解除できます。
    • SWA構成の場合のみ:既存のServiceNowアプリでAdministrator sets username and password(管理者がユーザー名とパスワードを設定)を指定した場合は、移行されたすべてのユーザーのパスワードを手動で入力する必要があります。[Assignment(割り当て)]に進み、ユーザーを選択し、[Edit(編集)]をクリックしてパスワードを設定します。
    • SWA構成の場合のみ:[User sets username and password(ユーザーがユーザー名とパスワードを設定)]を構成した場合、エンドユーザーは移行後に現在のServiceNow SWAアプリに使用している有効なユーザー名とパスワードを入力する必要があります。
    • SWA構成の場合のみ:[Administrator sets username, user sets password(管理者がユーザー名を設定し、ユーザーがパスワードを設定)]を構成した場合、エンドユーザーは移行後に現在のServiceNow SWAアプリに使用している有効なパスワードを入力する必要があります。
  4. インポートが完了したら、Oktaは、Okta End-User Dashboardから古いServiceNowアプリを非表示または非アクティブ化するよう推奨します。

古いServiceNowアプリを非表示または非アクティブ化する

新しいServiceNow UDアプリがセットアップされて割り当てられたら、混乱を避けるために、Okta End-User Dashboard旧ServiceNowアプリを非表示にするか、旧ServiceNowアプリを非アクティブ化することができます。

旧ServiceNowアプリを非表示にする
  1. 旧ServiceNowアプリを開き、[General(一般)]タブに進みます。
  2. [Edit(編集)]をクリックします。
  3. [Do not display application icon to users(アプリケーションのアイコンをユーザーに表示しない)]を選択します。
  4. [Save(保存)]をクリックします。
旧ServiceNowアプリを非アクティブ化する

この場合、以前にインポートされた古いServiceNowアプリのグループはすべてOktaで削除されます。

  1. 古いServiceNowアプリを開きます。
  2. [Active(アクティブ)]ボタンをクリックし、[Deactivate(非アクティブ化)]を選択します。
  3. [Save(保存)]をクリックします。

エンドユーザーの移行フロー

新しいServiceNow UDアプリ(新しいアプリケーションタイル)を割り当てたら、エンドユーザーはダッシュボードの新しいアプリケーションタイルをクリックする必要があります。ServiceNowにサインインできる場合は、これ以上実行するアクションはありません。

ServiceNowで同じメールアドレスを持つユーザーを移行する

ServiceNowで同じ電子メールアドレスを持つユーザーを移行する場合、Oktaは次のようにシングルユーザー割り当てを使用することをお勧めします。

  1. 現在(古い)ServiceNowアプリインスタンスのプロビジョニングが無効になっていることを確認してください。
  2. ServiceNowとOktaの両方で同じメールアドレスを持つOktaのユーザーを特定します。
  3. 値の上書きを避けるため、OktaユーザーとServiceNowユーザーの両方ですべての属性値が同じであることを確認してください。
  4. 新規ServiceNow UDアプリをこれらのユーザーに割り当てます。
  5. ServiceNowでユーザーを確認します。ユーザープロファイルは、新しい属性に対してのみ更新する必要があります。

プッシュされたグループの移行

  1. 旧ServiceNow - Eureka以降のリリースのアプリインスタンスに進み、リンクを解除して、プッシュされたグループを削除します。
  2. 新しいServiceNow UDアプリインスタンスに移動し、このグループをプッシュします。

注:最初に古いServiceNowアプリから削除せずに、新しいServiceNowアプリから同じグループをプッシュしようとすると、次のエラーが表示されます。

移行の確認

  • ユーザーのインポートについては、System Logを確認してください。
  • インポートされたユーザーの数が、既存のServiceNowアプリインスタンスの既存のユーザーの数と一致していることを確認します。
  • 新しいServiceNow UDアプリのアプリケーションタイルを介してサインインし、ユーザーの権限を確認します。
  • ダッシュボードでエラーが無いか確認します。