在Active Directory中,成员具有组,在ServiceNow中,成员具有相同的组。
有计划将Okta用作单点登录解决方案。为此,我们可以让AD提供Okta置备用户。
我们希望Okta也可以提供小组并维持其AD成员身份。因此,例如:
在AD中添加或删除人员时,我们希望将这些人员从ServiceNow的同一组中删除。 在AD中添加或删除组时,我们希望在ServiceNow中删除同一组。
这有可能吗?如果可以,可以使用什么Okta功能来实现? 在查看了Peter Raeves链接的文档之后,并在测试实例中进行了一些实验之后,似乎可以在ServiceNow中复制AD组,如下所示:
(请注意,步骤1和2可以按任意顺序进行)
确保Okta已连接到Active Directory。这需要安装和配置Okta AD代理,如here所述。 使用SAML连接将Okta连接到ServiceNow。对于较新版本的ServiceNow,似乎最好使用而不是来使用Okta ServiceNow插件,因为该插件似乎不适用于ServiceNow中引入的SSO更改。通过单击Okta ServiceNow应用程序中“登录”选项卡下的“查看设置说明”,可以找到“手动”配置连接的说明。 确保在Okta ServiceNow应用程序的“Provisioning”选项卡下启用设置。 将ServiceNow应用程序分配给Active Directory用户。这可以在Okta ServiceNow应用程序的“人”选项卡下完成。这需要在第4步之前完成(Okta将忽略在已将而非分配给应用程序的组中找到的所有用户)。 将所需的Active Directory组推到ServiceNow。这可以在Okta ServiceNow应用程序的“推送组”选项卡下完成。如果选中“立即推送组成员身份”复选框,则Okta可以在推送组时在ServiceNow中复制组成员身份。您也可以在添加组后通过单击组列表中的向下箭头并选择“立即推送”来推动成员资格。
请注意,仍然必须在ServiceNow中维护用户角色。由于Okta根本不涉及角色,因此可以将它们添加到ServiceNow中的组级别上,而不必担心被Okta覆盖。