ServiceNow UDプロビジョニング移行ガイド

ServiceNow統合を移行してUniversal Directory(UD)を使用する手順を説明します。

開始する前に

手順

現在のServiceNow構成を決定する

  1. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  2. ServiceNow - Eureka以降(ServiceNow - Eureka and later)統合を検索して選択します。
  3. サインオン(Sign On)タブを選択し、以下の設定を確認します。
    • サインオン方法([Sign on method)Secure Web Authentication(SWA)またはSAML 2.0のいずれか。新しいServiceNow UDアプリに同じモードを使用します。
    • SWAで構成されたアプリの場合は、次を行います。
      • パスワード設定(ユーザーがユーザー名とパスワードを設定する(User sets username and password)など)を確認します。新しいServiceNow UDアプリに同じ設定を使用します。
      • アプリケーションユーザー名の形式(Application username format)を確認します。新しいServiceNow UDアプリに同じ値を使用します。
  4. プロビジョニング(Provisioning)タブを選択し、アプリへ(To App)をクリックします。有効になっているプロビジョニング機能をメモします。ユーザーのデータが失われたり上書きされたりしないように、新しいServiceNow UDアプリで同じ機能を有効にします。Oktaからのユーザーデータをすべて管理する場合は、すべてのプロビジョニング機能を有効にします。
    • 既存のServiceNowアプリでパスワードの同期(Sync Password)機能が有効になっていない場合は、サインオン(Sign On)(Secure Web Authentication)タブで選択した次のSecure Web Authentication(Sign On)設定に基づき、エンドユーザーがパスワードを設定できるようにすることができます。
      • 管理者がユーザー名とパスワードを設定(Administrator sets username and password):この場合、移行されたすべてのユーザーのパスワードを手動で入力する必要があります。Oktaでは、移行前に現在のアプリインスタンスでパスワードの同期を有効にすることをお勧めします。これにより、移行されたすべてのユーザーのパスワードを手動で入力する必要がなくなります。
      • ユーザーがユーザー名とパスワードを設定する(User sets username and password):エンドユーザーは、移行後に現在のServiceNow SWAアプリに使用しているユーザー名とパスワードを入力する必要があります。
      • 管理者がユーザー名を設定し、ユーザーがパスワードを設定する(Administrator sets username, user sets password):エンドユーザーは、移行後に現在のServiceNow SWAアプリに使用しているパスワードを入力する必要があります。
    • 既存のServiceNowアプリでユーザー属性の更新(Update user attributes)機能を無効にしている場合、同期されていないユーザーがいる可能性があり、移行中に見落とされる可能性があります。ServiceNowに更新されたプロファイル(更新されたメールアドレスなど)を持つユーザーが存在する場合、これらのユーザーをインポート時に自動確認することはできません。そのため、これらのユーザーをインポートするには手動で確認する必要があります。
    • 既存のServiceNowアプリでユーザーの非アクティブ化(Deactivate Users)を無効にしている場合、ユーザーを新しいServiceNow UDインスタンスに移行するときに問題が発生する可能性があります。既存のServiceNowアプリから割り当てられていないユーザーが存在するが、ServiceNow側で非アクティブ化されていない場合、これらのユーザーは新しいServiceNow UDアプリに対して自動確認されます。移行後にこれらのユーザーの割り当てを手動で解除できます。
  5. プロファイルエディタ(Profile Editor)を開き、現在のServiceNowアプリを見つけて現在のマッピングを確認します。カスタムマッピングを含めてこれらのマッピングを新しいServiceNow UDアプリにコピーします。

新しいServiceNow UDアプリインスタンスを構成する

  1. Admin Consoleで、アプリケーション(Applications) > アプリケーション(Applications)に移動します。

  2. アプリカタログを参照(Browse App Catalog)をクリックします。
  3. ServiceNow UDのカタログを検索します。このカタログを選択して統合を追加(Add Integration)をクリックします。
  4. ServiceNowテナントのベースURL(Base URL)を入力します。
  5. ServiceNow統合でSWAを使用している場合は、SWAのベースURL(SWA Base URL)を入力します。
  6. 次へ(Next)をクリックします。
  7. 既存のアプリインスタンスと同じサインオン方式を選択し、完了(Done)をクリックします。「現在のServiceNow構成を決定する」を参照。
  8. プロビジョニング(Provisioning)タブを選択してAPI統合を構成(Configure API Integration)をクリックします。
  9. API統合を有効化(Enable API integration)を選択します。
  10. ServiceNow資格情報を入力し、保存(Save)をクリックします。
  11. アプリへ(To App) > プロファイルエディタに移動(Go to Profile Editor)をクリックします。
  12. 既存のアプリインスタンスにロケーション(Location)属性がある場合は、新しいServiceNow UDアプリに追加します。属性を追加(Add Attribute)をクリックし、ロケーション(Location) 属性を選択して保存(Save)(Save.)をクリックします。
  13. 既存のアプリインスタンスの属性と一致するように属性を構成し、マッピングを保存(Save Mappings)(Save Mappings.)をクリックします。マッピングを設定して既存のアプリインスタンスに一致させるを参照してください。

マッピングを設定して既存のアプリインスタンスに一致させる

現在のServiceNowアプリをActive Directoryで構成している場合は、すべての属性のマッピングが現在のアプリと同じである必要もあります。

現在のServiceNowアプリにカスタムマッピングがある場合は、新しいアプリインスタンスにも同じマッピングを構成する必要があります。次のカスタムマッピングがあるとします。

adUser.tshirtoktaUser.titlesnowUser.title

ServiceNowプロビジョニングでtitle属性の列名としてtshirtを構成している場合は、次のように新しいアプリインスタンスでも同じマッピングを構成する必要があります。

  1. ServiceNowからユーザー属性をインポートします。
  2. tshirt属性をユーザープロファイルに追加します。
  3. 次のようにマッピングを構成します:adUser.tshirtoktaUser.tshirtsnowUser.tshirt

たとえば、Oktaプロファイルにt-shirt size属性があり、ServiceNow title属性は、現在Orgで使用されていない場合、

  1. マッピングはuser.tshirtに設定されますServiceNow appuser.title
  2. ServiceNowアプリのプロビジョニングセクションでは、tshirtは、titleがマップされる列名として構成されます。

ServiceNowアプリの移行

現在のServiceNowアプリがSWAまたはSAML SSOで構成されている場合、移行手順が異なる可能性があります。相違点を強調表示します。

  1. 既存のServiceNowアプリのすべてのプロビジョニング機能を無効にします。
  2. 新しいServiceNow UDアプリインスタンスを構成します。「新しいServiceNow UDアプリインスタンスの構成」を参照。
  3. 現在のServiceNowアプリ統合の構成方法に応じて、次の推奨される移行フローのいずれかを選択します。
    • グループ割り当てを使用して移行する

      次の基準が満たされている場合はこの方法を使用し、そうでない場合はインポートと自動確認を使用して移行します。

      • すべてのユーザーが現在のアプリインスタンスのグループレベルで割り当てられている。
      • グループ内のすべてのユーザーが以下の属性で並べ替えられ、同じ値を持っています:DepartmentCost CenterLocation(既存のインスタンスでLocationを使用した場合。「新しいServiceNow UDアプリインスタンスを構成する」を参照)。
      • グループ内のすべてのユーザーが、ServiceNow側の属性Time zoneCompanyに対して同じ値を持っています。以前のServiceNowアプリ統合では、新しいServiceNow UD統合とは異なり、これらの属性はサポートされていません。
    • インポートと自動確認を使用して移行する

グループ割り当てを使用して移行する

Oktaサポートに連絡して、OrganizationでAPPLICATION_ENTITLEMENT_POLICY機能フラグが有効になっていることを確認してください。この機能を使用すると、グループ割り当ての静的な値の代わりにユーザー属性をマップできます(たとえば、グループ内のすべてのユーザーのFinancialではなくuser.department)。user.department

移行する前にテスト移行を試すことをお勧めします。Okta

現在のServiceNowアプリがActive Directoryで構成されておらず、すべての属性がOktaユーザープロファイルにマップされている場合

  1. Oktaでテストグループを作成します。
  2. Oktaでテストユーザーを作成し、ServiceNowにマップされた属性(マネージャー、部門、コストセンター)の値を設定します。
  3. このユーザーをテストグループに追加します。
  4. テストグループを現在のServiceNowアプリに割り当て(プロビジョニング機能が有効になっていることを確認してください)、ユーザーがServiceNow側で正しい属性値で作成されていることを確認します。
  5. 現在のServiceNowアプリのプロビジョニングを無効にします。
  6. テストグループを新しいServiceNow UDアプリに割り当て、同じActive Directory属性をマップします。
  7. ユーザーがリンクされており、古いService Nowアプリに存在しない属性についてのみ、ServiceNowでユーザーのプロファイルが更新されていることを確認してください。

現在のServiceNowアプリがActive Directoryで構成されている場合:

  1. Active Directoryにテストグループを作成します。
  2. Active Directoryにテストユーザーを作成し、Active DirectoryからServiceNowにマッピングされるすべての属性(マネージャー、部門、コストセンターなど)を設定します。
  3. 新しいテストユーザーをテストグループに追加します。
  4. Oktaに移動し、Active Directoryからインポートを実行します。
  5. テストユーザーがOktaに存在することを確認します。
  6. テストユーザーを含むテストグループを古いServiceNowアプリに割り当てます。
  7. ユーザーが正しい属性値で作成されていることを確認してください。
  8. 古いServiceNowアプリのプロビジョニングを無効にします。
  9. テストグループを新しいServiceNow UDアプリに割り当て、同じActive Directory属性をマップします。
  10. ユーザーとそのプロファイルを確認します。

テストが完了した後、移行を続行できます。

  1. 現在のServiceNow統合に割り当てられているすべてのユーザーを含むOktaの1つ以上のグループを特定します。
  2. 現在のServiceNowアプリのプロビジョニング機能が無効になっていることを確認してください。
  3. 新しいServiceNow UDアプリに移動し、グループを割り当てます。
  4. 割り当て中に、すべてのグループレベルの属性を設定します。

グループ内のユーザーの一部の属性に空白の値がある場合は、ドロップダウンリストから[Not Selected(未選択)]を設定するか、必要な値を指定できます。

古いServiceNowアプリを非表示または非アクティブ化する

新しいServiceNow UDアプリがセットアップされて割り当てられたら、混乱を避けるために、古いServiceNowアプリのタイルをOkta End-User Dashboardで非表示または非アクティブにできます。

旧ServiceNowアプリを非表示にする

  1. 旧ServiceNowアプリを開き、一般(General)タブに進みます。
  2. 編集(Edit)をクリックします。
  3. アプリケーションのアイコンをユーザーに表示しない(Do not display application icon to users)を選択します。
  4. 保存(Save)をクリックします。

旧ServiceNowアプリを非アクティブ化する

以下の手順を実行すると、以前にインポートされた古いServiceNowアプリのグループはすべてOktaで削除されます。

  1. 古いServiceNowアプリを開きます。
  2. アクティブ(Active)ボタンをクリックし、非アクティブ化(Deactivate)を選択します。
  3. 保存(Save)をクリックします。

エンドユーザーの移行フロー

新しいServiceNow UDアプリを割り当てたら、エンドユーザーはダッシュボードの新しいアプリタイルをクリックする必要があります。ServiceNowにサインインできる場合は、これ以上実行するアクションはありません。

インポートと自動確認を使用して移行する

現在の統合を移行する前に、次の手順を完了してテスト移行を試すことをお勧めします。

  1. 既存のServiceNow UDアプリインスタンスで、プロビジョニング(Provisioning)Oktaへ(To Okta)に移動します。ユーザーの作成と一致(User Creation & Matching)セクションで、メールの一致(Email matches)を選択し、インポートされたユーザーがOktaユーザーと完全に一致かどうかを定義します。
  2. 新しいServiceNow UDインスタンスに新しいユーザーをインポートします。すべてのユーザーが一致し、既存のユーザーにリンクできることを確認してください。

    注:

    • 既存のServiceNowアプリでプロファイルをプッシュ(Push Profile)機能を無効にしている場合、新しいServiceNow UDアプリに移行した後に一部のユーザーが失われることがあるので、移行後に手動で確認する必要があります。
    • 既存のServiceNowアプリで非アクティブ化(Deactivation)機能を無効にしている場合、現在のServiceNowアプリに割り当てられていないユーザーに一致するものが見つかる可能性があります。移行後に、これらのユーザーの割り当てを手動で解除します。
    • ServiceNowに同じメールアドレスを持つ異なるユーザーがいる場合、不一致の問題が発生する可能性があります。この場合、「ServiceNowで同じメールアドレスを持つユーザーを移行する」を参照してください。
  3. テストユーザーを確認し、インポートが成功したことを確認します。

テストが完了したら、移行を続行できます。

  1. ServiceNow UDアプリインスタンスで、プロビジョニング(Provisioning)Oktaへ(To Okta)に移動します。次に、ユーザーの作成と一致(User Creation & Matching)セクションで、インポートされたユーザーは、次の場合にOktaユーザーに完全一致します(Imported user is an exact match to Okta user if)メールの一致(Email matches)に、および一致したユーザーを確認(Confirm matched users)完全一致を自動確認(Auto-confirm exact matches)に設定します。
  2. 新しいServiceNow UDインスタンスに新しいユーザーをインポートします。既存のすべてのユーザーを自動確認する必要があります。また、すべてのグループが新しいServiceNow UDにもインポートされるため、グループが重複している可能性があります。
  3. 以前のServiceNowアプリの構成方法によっては、次のアクション実行する必要があるかもしれません。
    • 以前のServiceNowアプリでプロファイルのプッシュ(Push Profile)機能が無効化されていると新しいServiceNow UDアプリへの移行時に一部のユーザーが失われることがあるため、手動で確認する必要があります。

      重要:新しいユーザーは作成しないでください。代わりに、以下の手順を実行して既存のユーザーをリンクさせます。

      1. ユーザーを見つけます。
      2. 矢印をクリックしてエントリを展開します。
      3. 指定した既存のOktaユーザー(EXISTING Okta user I specify)を選択し、既存ユーザーのユーザー名を入力します。
    • 既存のServiceNowアプリで非アクティブ化(Deactivation)機能を無効にしていて、確認されていないユーザーが見つかった場合は、移行後に該当するユーザーの割り当てを手動で解除できます。
    • SWA構成の場合のみ:既存のServiceNowアプリでAdministrator sets username and password(管理者がユーザー名とパスワードを設定)を指定した場合は、移行されたすべてのユーザーのパスワードを手動で入力する必要があります。割り当て(Assignment)に進み、ユーザーを選択し、編集(Edit)をクリックしてパスワードを設定(Set password)します。
    • SWA構成の場合のみ:[ユーザーがユーザー名とパスワードを設定する]を構成した場合、エンドユーザーは移行後に現在のServiceNow SWAアプリに使用している有効なユーザー名とパスワードを入力する必要があります。
    • SWA構成の場合のみ:[管理者がユーザー名を設定し、ユーザーがパスワードを設定する]を構成した場合、エンドユーザーは移行後に現在のServiceNow SWAアプリに使用している有効なパスワードを入力する必要があります。
  4. インポートが完了したら、Oktaは、Okta End-User Dashboardから古いServiceNowアプリをOktaまたはOkta End-User Dashboardするよう推奨します。

古いServiceNowアプリを非表示または非アクティブ化する

新しいServiceNow UDアプリがセットアップされて割り当てられたら、混乱を避けるために、古いServiceNowアプリのタイルをOkta End-User Dashboardで非表示または非アクティブにできます。

旧ServiceNowアプリを非表示にする

  1. 旧ServiceNowアプリを開き、一般(General)タブに進みます。
  2. 編集(Edit)をクリックします。
  3. アプリケーションのアイコンをユーザーに表示しない(Do not display application icon to users)を選択します。
  4. 保存(Save)をクリックします。

旧ServiceNowアプリを非アクティブ化する

以下の手順を完了させると、以前にインポートされた古いServiceNowアプリのグループはすべてOktaで削除されます。

  1. 古いServiceNowアプリを開きます。
  2. アクティブ(Active)をクリックし、非アクティブ化(Deactivate)を選択します。
  3. 保存(Save)をクリックします。

エンドユーザーの移行フロー

新しいServiceNow UDアプリを割り当てたら、エンドユーザーはダッシュボードの新しいアプリタイルをクリックする必要があります。ServiceNowにサインインできる場合は、これ以上実行するアクションはありません。

ServiceNowで同じメールアドレスを持つユーザーを移行する

ServiceNowで同じメールアドレスを持つユーザーを移行する場合、Oktaでは次のようにシングルユーザー割り当てを使用することをお勧めします。

  1. 現在(古い)ServiceNowアプリインスタンスのプロビジョニングが無効になっていることを確認してください。
  2. ServiceNowとOkta両方で同じメールアドレスを持つOktaのユーザーを特定します。
  3. 値の上書きを避けるため、OktaユーザーとServiceNowユーザーの両方ですべての属性値が同じであることを確認してください。
  4. 新規ServiceNow UDアプリをこれらのユーザーに割り当てます。
  5. ServiceNowでユーザーを確認します。ユーザープロファイルは、新しい属性に対してのみ更新する必要があります。

プッシュされたグループの移行

  1. 旧ServiceNow - Eureka以降のリリースのアプリインスタンスに進み、リンクを解除して、プッシュされたグループを削除します。
  2. 新しいServiceNow UDアプリインスタンスに移動し、このグループをプッシュします。

移行の確認

  • ユーザーのインポートについては、システムログを確認してください。
  • インポートされたユーザーの数が、既存のServiceNowアプリインスタンスの既存のユーザーの数と一致していることを確認します。
  • 新しいServiceNow UDアプリのアプリタイルを使用してサインインし、ユーザーの権限を確認します。
  • End-User Dashboardでエラーが無いか確認します。