ServiceNow UDプロビジョニング移行ガイド
ServiceNow統合を移行してUniversal Directory(UD)を使用する手順を説明します。
このガイドでは、以下の製品バージョンと機能がサポートされます。
- ServiceNow Genevaバージョン以降
- 無制限のカスタム属性を持つユーザーのスキーマ検出
- フレキシブルなユーザー属性マッピング
- プロビジョニングでOkta ServiceNowプラグインが不要
開始する前に
- 現在のServiceNowアプリインスタンスに使用している設定を把握します。「現在のServiceNow構成を決定する」を参照。
- 新しいServiceNow UDアプリインスタンスを、現在のServiceNowインスタンスにできるだけ近くなるように構成します。新しいServiceNow UDアプリインスタンスを構成するで記載されている手順に従います。
手順
- 現在のServiceNow構成を決定する
- 新しいServiceNow UDアプリインスタンスを構成する
- ServiceNowアプリの移行
- グループ割り当てを使用して移行する
- ServiceNow UDプロビジョニング移行ガイド
- ServiceNowで同じメールアドレスを持つユーザーを移行する
- プッシュされたグループの移行
- 移行の確認
現在のServiceNow構成を決定する
-
Admin Consoleで、 に移動します。
- [ServiceNow - Eureka and later(ServiceNow - Eureka以降)]統合を検索して選択します。
- [Sign On(サインオン)]タブを選択し、以下の設定を確認します。
- [Sign on method(サインオン方法):[Secure Web Authentication](SWA)または[SAML 2.0]のいずれか。新しいServiceNow UDアプリに同じモードを使用します。
- SWAで構成されたアプリの場合は、次を行います。
- パスワード設定([User sets username and password(ユーザーがユーザー名とパスワードを設定する)]など)を確認します。新しいServiceNow UDアプリに同じ設定を使用します。
- [Application username format(アプリケーションユーザー名の形式)]を確認します。新しいServiceNow UDアプリに同じ値を使用します。
- [Provisioning(プロビジョニング)]タブを選択し、[To App(アプリへ)]をクリックします。有効になっているプロビジョニング機能をメモします。ユーザーのデータが失われたり上書きされたりしないように、新しいServiceNow UDアプリで同じ機能を有効にします。Oktaからのユーザーデータをすべて管理する場合は、すべてのプロビジョニング機能を有効にします。
- 既存のServiceNowアプリで[Sync Password(パスワードの同期)]機能が有効になっていない場合は、[Sign On(サインオン)]タブで選択した次の[Secure Web Authentication]設定に基づき、エンドユーザーがパスワードを設定できるようにすることができます。
- [Administrator sets username and password(管理者がユーザー名とパスワードを設定)]:この場合、移行されたすべてのユーザーのパスワードを手動で入力する必要があります。Oktaでは、移行前に現在のアプリインスタンスでパスワードの同期を有効にすることをお勧めします。これにより、移行されたすべてのユーザーのパスワードを手動で入力する必要がなくなります。
- [User sets username and password(ユーザーがユーザー名とパスワードを設定する)]:エンドユーザーは、移行後に現在のServiceNow SWAアプリに使用しているユーザー名とパスワードを入力する必要があります。
- [Administrator sets username, user sets password(管理者がユーザー名を設定し、ユーザーがパスワードを設定する)]:エンドユーザーは、移行後に現在のServiceNow SWAアプリに使用しているパスワードを入力する必要があります。
- 既存のServiceNowアプリでUpdate user attributes(ユーザー属性の更新)機能を無効にしている場合、同期されていないユーザーがいる可能性があり、移行中に見落とされる可能性があります。ServiceNowに更新されたプロファイル(更新されたメールアドレスなど)を持つユーザーが存在する場合、これらのユーザーをインポート時に自動確認することはできません。そのため、これらのユーザーをインポートするには手動で確認する必要があります。
- 既存のServiceNowアプリで[Deactivate Users(ユーザーの非アクティブ化)]を無効にしている場合、ユーザーを新しいServiceNow UDインスタンスに移行するときに問題が発生する可能性があります。既存のServiceNowアプリから割り当てられていないユーザーが存在するが、ServiceNow側で非アクティブ化されていない場合、これらのユーザーは新しいServiceNow UDアプリに対して自動確認されます。移行後にこれらのユーザーの割り当てを手動で解除できます。
- 既存のServiceNowアプリで[Sync Password(パスワードの同期)]機能が有効になっていない場合は、[Sign On(サインオン)]タブで選択した次の[Secure Web Authentication]設定に基づき、エンドユーザーがパスワードを設定できるようにすることができます。
- [Profile Editor(プロファイルエディタ)]を開き、現在のServiceNowアプリを見つけて現在のマッピングを確認します。カスタムマッピングを含めてこれらのマッピングを新しいServiceNow UDアプリにコピーします。
新しいServiceNow UDアプリインスタンスを構成する
-
Admin Consoleで、 に移動します。
- [Browse App Catalog(アプリカタログを参照)]をクリックします。
- ServiceNow UDのカタログを検索します。このカタログを選択して[Add Integration(統合を追加)]をクリックします。
- ServiceNowテナントの[Base URL(ベースURL)]を入力します。
- ServiceNow統合でSWAを使用している場合は、[SWA Base URL(SWAのベースURL)]を入力します。
- [Next(次へ)]をクリックします。
- 既存のアプリインスタンスと同じサインオン方式を選択し、[Done(完了)]をクリックします。「現在のServiceNow構成を決定する」を参照。
- [Provisioning(プロビジョニング)]タブを選択して[Configure API Integration(API統合を構成)]をクリックします。
- [Enable API integration(API統合を有効化)]を選択します。
- ServiceNow資格情報を入力し、[Save(保存)]をクリックします。
- をクリックします。
- 既存のアプリインスタンスに[Location(ロケーション)]属性がある場合は、新しいServiceNow UDアプリに追加します。[Add Attribute(属性を追加)]をクリックし、[Location(ロケーション)] 属性を選択して[Save(保存)]をクリックします。
- 既存のアプリインスタンスの属性と一致するように属性を構成し、[Save Mappings(マッピングを保存)]をクリックします。「マッピングを設定して既存のアプリインスタンスに一致させる」を参照してください。
マッピングを設定して既存のアプリインスタンスに一致させる
現在のServiceNowアプリをActive Directoryで構成している場合は、すべての属性のマッピングが現在のアプリと同じである必要もあります。
現在のServiceNowアプリにカスタムマッピングがある場合は、新しいアプリインスタンスにも同じマッピングを構成する必要があります。次のカスタムマッピングがあるとします。
adUser.tshirt → oktaUser.title → snowUser.title
ServiceNowプロビジョニングでtitle属性の列名としてtshirtを構成している場合は、次のように新しいアプリインスタンスでも同じマッピングを構成する必要があります。
- ServiceNowからユーザー属性をインポートします。
- tshirt属性をユーザープロファイルに追加します。
- 次のようにマッピングを構成します:adUser.tshirt → oktaUser.tshirt → snowUser.tshirt。
たとえば、Oktaプロファイルにt-shirt size属性があり、ServiceNow title属性は、現在Orgで使用されていない場合、
- マッピングはuser.tshirt→ServiceNow appuser.titleに設定されます
- ServiceNowアプリのプロビジョニングセクションでは、tshirtは、titleがマップされる列名として構成されます。
ServiceNowアプリの移行
現在のServiceNowアプリがSWAまたはSAML SSOで構成されている場合、移行手順が異なる可能性があります。相違点を強調表示します。
- 既存のServiceNowアプリのすべてのプロビジョニング機能を無効にします。
- 新しいServiceNow UDアプリインスタンスを構成します。「新しいServiceNow UDアプリインスタンスの構成」を参照。
- 現在のServiceNowアプリ統合の構成方法に応じて、次の推奨される移行フローのいずれかを選択します。
- グループ割り当てを使用して移行する
次の基準が満たされている場合はこの方法を使用し、そうでない場合は「ServiceNow UDプロビジョニング移行ガイド」を使用します。
- すべてのユーザーが現在のアプリインスタンスのグループレベルで割り当てられている。
- グループ内のすべてのユーザーが以下の属性で並べ替えられ、同じ値を持っています:Department、Cost Center、Location(既存のインスタンスでLocationを使用した場合。「新しいServiceNow UDアプリインスタンスを構成する」を参照)。
- グループ内のすべてのユーザーが、ServiceNow側の属性Time zoneとCompanyに対して同じ値を持っている。以前のServiceNowアプリ統合では、新しいServiceNow UD統合とは異なり、これらの属性はサポートされていません。
移行時にすべてのユーザーに対して一部の属性値が上書きされる可能性があります。これが重要でない場合は、グループの割り当てを使用して移行フローを進めてください。
- ServiceNow UDプロビジョニング移行ガイド
- グループ割り当てを使用して移行する
グループ割り当てを使用して移行する
Oktaサポートに連絡して、OrganizationでAPPLICATION_ENTITLEMENT_POLICY機能フラグが有効になっていることを確認してください。この機能を使用すると、グループ割り当ての静的な値の代わりにユーザー属性をマップできます(たとえば、グループ内のすべてのユーザーのFinancialではなくuser.department)。
移行する前にテスト移行を試すことをお勧めします。
現在のServiceNowアプリがActive Directoryで構成されておらず、すべての属性がOktaユーザープロファイルにマップされている場合
- Oktaでテストグループを作成します。
- Oktaでテストユーザーを作成し、ServiceNowにマップされた属性(マネージャー、部門、コストセンター)の値を設定します。
- このユーザーをテストグループに追加します。
- テストグループを現在のServiceNowアプリに割り当て(プロビジョニング機能が有効になっていることを確認してください)、ユーザーがServiceNow側で正しい属性値で作成されていることを確認します。
- 現在のServiceNowアプリのプロビジョニングを無効にします。
- テストグループを新しいServiceNow UDアプリに割り当て、同じActive Directory属性をマップします。
- ユーザーがリンクされており、古いService Nowアプリに存在しない属性についてのみ、ServiceNowでユーザーのプロファイルが更新されていることを確認してください。
現在のServiceNowアプリがActive Directoryで構成されている場合:
- Active Directoryにテストグループを作成します。
- Active Directoryにテストユーザーを作成し、Active DirectoryからServiceNowにマッピングされるすべての属性(マネージャー、部門、コストセンターなど)を設定します。
- 新しいテストユーザーをテストグループに追加します。
- Oktaに移動し、Active Directoryからインポートを実行します。
- テストユーザーがOktaに存在することを確認します。
- テストユーザーを含むテストグループを古いServiceNowアプリに割り当てます。
- ユーザーが正しい属性値で作成されていることを確認してください。
- 古いServiceNowアプリのプロビジョニングを無効にします。
- テストグループを新しいServiceNow UDアプリに割り当て、同じActive Directory属性をマップします。
- ユーザーとそのプロファイルを確認します。
- テスト移行時に問題が発生した場合は、設定に不整合がないか確認し、必要な修正を行ってから再試行してください。テスト移行が成功すると、すべてのユーザーの移行プロセスを開始できます。
- 移行時に一部のユーザーのデータが失われ、ユーザーのプロファイルの書き換えが必要になる場合があります。
テストが完了した後、移行を続行できます。
- 現在のServiceNow統合に割り当てられているすべてのユーザーを含むOktaの1つ以上のグループを特定します。
- 現在のServiceNowアプリのプロビジョニング機能が無効になっていることを確認してください。
- 新しいServiceNow UDアプリに移動し、グループを割り当てます。
- 割り当て中に、すべてのグループレベルの属性を設定します。
グループ内のユーザーの一部の属性に空白の値がある場合は、ドロップダウンリストから[Not Selected(未選択)]を設定するか、必要な値を指定できます。
古いServiceNowアプリを非表示または非アクティブ化する
新しいServiceNow UDアプリがセットアップされて割り当てられたら、混乱を避けるために、古いServiceNowアプリのタイルをOkta End-User Dashboardで非表示または非アクティブにできます。
旧ServiceNowアプリを非表示にする
- 旧ServiceNowアプリを開き、[General(一般)]タブに進みます。
- [Edit(編集)]をクリックします。
- [Do not display application icon to users(アプリケーションのアイコンをユーザーに表示しない)]を選択します。
- [Save(保存)]をクリックします。
旧ServiceNowアプリを非アクティブ化する
以下の手順を実行すると、以前にインポートされた古いServiceNowアプリのグループはすべてOktaで削除されます。
- 古いServiceNowアプリを開きます。
- [Active(アクティブ)]ボタンをクリックし、[Deactivate(非アクティブ化)]を選択します。
- [Save(保存)]をクリックします。
エンドユーザーの移行フロー
新しいServiceNow UDアプリを割り当てたら、エンドユーザーはダッシュボードの新しいアプリタイルをクリックする必要があります。ServiceNowにサインインできる場合は、これ以上実行するアクションはありません。
インポートと自動確認を使用して移行する
現在の統合を移行する前に、次の手順を完了してテスト移行を試すことをお勧めします。
- 既存のServiceNow UDアプリインスタンスで、[User Creation & Matching(ユーザーの作成と一致)]セクションで、[Email matches(メールの一致)]を選択し、インポートされたユーザーがOktaユーザーと完全に一致かどうかを定義します。 [To Okta(Oktaへ)]に移動します。
- 新しいServiceNow UDインスタンスに新しいユーザーをインポートします。すべてのユーザーが一致し、既存のユーザーにリンクできることを確認してください。
注:
- 既存のServiceNowアプリで[Push Profile(プロファイルをプッシュ)]機能を無効にしている場合、新しいServiceNow UDアプリに移行した後に一部のユーザーが失われることがあるので、移行後に手動で確認する必要があります。
- 既存のServiceNowアプリで[Deactivation(非アクティブ化)]機能を無効にしている場合、現在のServiceNowアプリに割り当てられていないユーザーに一致するものが見つかる可能性があります。移行後に、これらのユーザーの割り当てを手動で解除します。
- ServiceNowに同じメールアドレスを持つ異なるユーザーがいる場合、不一致の問題が発生する可能性があります。この場合、「ServiceNowで同じメールアドレスを持つユーザーを移行する」を参照してください。
- テストユーザーを確認し、インポートが成功したことを確認します。
- テスト移行時に問題が発生した場合は、設定に不整合がないか確認し、現在のServiceNowアプリと同じになるように修正した後、再試行してください。テスト移行が成功すると、すべてのユーザーの移行プロセスを開始できます。
- 移行中に一部のユーザーのデータが失われ、ユーザーのプロファイルの書き換えが必要になる場合があります。
テストが完了したら、移行を続行できます。
- ServiceNow UDアプリインスタンスで、[User Creation & Matching(ユーザーの作成と一致)]セクションで、[Imported user is an exact match to Okta user if(インポートされたユーザーは、次の場合にOktaユーザーに完全一致します)]を[Email matches(メールの一致)]に、および[Confirm matched users(一致したユーザーを確認)]を[Auto-confirm exact matches(完全一致を自動確認)]に設定します。 [To Okta(Oktaへ)]に移動します。次に、
- 新しいServiceNow UDインスタンスに新しいユーザーをインポートします。既存のすべてのユーザーを自動確認する必要があります。また、すべてのグループが新しいServiceNow UDにもインポートされるため、グループが重複している可能性があります。
- 以前のServiceNowアプリの構成方法によっては、次のアクション実行する必要があるかもしれません。
- 以前のServiceNowアプリで[Push Profile(プロファイルのプッシュ)]機能が無効化されていると新しいServiceNow UDアプリへの移行時に一部のユーザーが失われることがあるため、手動で確認する必要があります。
重要:新しいユーザーは作成しないでください。代わりに、以下の手順を実行して既存のユーザーをリンクさせます。
- ユーザーを見つけます。
- 矢印をクリックしてエントリを展開します。
- [EXISTING Okta user I specify(指定した既存のOktaユーザー)]を選択し、既存ユーザーのユーザー名を入力します。
- 既存のServiceNowアプリで[Deactivation(非アクティブ化)]機能を無効にしていて、確認されていないユーザーが見つかった場合は、移行後に該当するユーザーの割り当てを手動で解除できます。
- SWA構成の場合のみ:既存のServiceNowアプリでAdministrator sets username and password(管理者がユーザー名とパスワードを設定)を指定した場合は、移行されたすべてのユーザーのパスワードを手動で入力する必要があります。[Assignment(割り当て)]に進み、ユーザーを選択し、[Edit(編集)]をクリックしてSet password(パスワードを設定)します。
- SWA構成の場合のみ:[ユーザーがユーザー名とパスワードを設定する]を構成した場合、エンドユーザーは移行後に現在のServiceNow SWAアプリに使用している有効なユーザー名とパスワードを入力する必要があります。
- SWA構成の場合のみ:[管理者がユーザー名を設定し、ユーザーがパスワードを設定する]を構成した場合、エンドユーザーは移行後に現在のServiceNow SWAアプリに使用している有効なパスワードを入力する必要があります。
- 以前のServiceNowアプリで[Push Profile(プロファイルのプッシュ)]機能が無効化されていると新しいServiceNow UDアプリへの移行時に一部のユーザーが失われることがあるため、手動で確認する必要があります。
- インポートが完了したら、Oktaは、Okta End-User Dashboardから古いServiceNowアプリを非表示または非アクティブ化するよう推奨します。
古いServiceNowアプリを非表示または非アクティブ化する
新しいServiceNow UDアプリがセットアップされて割り当てられたら、混乱を避けるために、古いServiceNowアプリのタイルをOkta End-User Dashboardで非表示または非アクティブにできます。
旧ServiceNowアプリを非表示にする
- 旧ServiceNowアプリを開き、[General(一般)]タブに進みます。
- [Edit(編集)]をクリックします。
- [Do not display application icon to users(アプリケーションのアイコンをユーザーに表示しない)]を選択します。
- [Save(保存)]をクリックします。
旧ServiceNowアプリを非アクティブ化する
以下の手順を完了させると、以前にインポートされた古いServiceNowアプリのグループはすべてOktaで削除されます。
- 古いServiceNowアプリを開きます。
- [Active(アクティブ)]をクリックし、[Deactivate(非アクティブ化)]を選択します。
- [Save(保存)]をクリックします。
エンドユーザーの移行フロー
新しいServiceNow UDアプリを割り当てたら、エンドユーザーはダッシュボードの新しいアプリタイルをクリックする必要があります。ServiceNowにサインインできる場合は、これ以上実行するアクションはありません。
ServiceNowで同じメールアドレスを持つユーザーを移行する
ServiceNowで同じメールアドレスを持つユーザーを移行する場合、Oktaでは次のようにシングルユーザー割り当てを使用することをお勧めします。
- 現在(古い)ServiceNowアプリインスタンスのプロビジョニングが無効になっていることを確認してください。
- ServiceNowとOktaの両方で同じメールアドレスを持つOktaのユーザーを特定します。
- 値の上書きを避けるため、OktaユーザーとServiceNowユーザーの両方ですべての属性値が同じであることを確認してください。
- 新規ServiceNow UDアプリをこれらのユーザーに割り当てます。
- ServiceNowでユーザーを確認します。ユーザープロファイルは、新しい属性に対してのみ更新する必要があります。
プッシュされたグループの移行
- 旧ServiceNow - Eureka以降のリリースのアプリインスタンスに進み、リンクを解除して、プッシュされたグループを削除します。
- 新しいServiceNow UDアプリインスタンスに移動し、このグループをプッシュします。
最初に古いServiceNowアプリから削除せずに、新しいServiceNowアプリから同じグループをプッシュしようとすると、エラーが発生します。
移行の確認
- ユーザーのインポートについては、システムログを確認してください。
- インポートされたユーザーの数が、既存のServiceNowアプリインスタンスの既存のユーザーの数と一致していることを確認します。
- 新しいServiceNow UDアプリのアプリタイルを使用してサインインし、ユーザーの権限を確認します。
- End-User Dashboardでエラーが無いか確認します。