1. дома
  2. Вопрос и ответ
  3. Возможно ли, что Okta реплицирует группы AD (и их членов) в ServiceNow?

Возможно ли, что Okta реплицирует группы AD (и их членов) в ServiceNow?

2016-02-17 4 views
3

У нас есть группы с членами в Active Directory, и у нас есть те же группы с теми же членами в ServiceNow.Возможно ли, что Okta реплицирует группы AD (и их членов) в ServiceNow?

Существует план использования Okta в качестве единого входа. Для этого у нас могут быть пользователи Okta из AD.

Мы хотели бы, чтобы Okta также предоставляла группы и поддерживала их членство от AD. Например, например:

  1. Когда люди добавляются или удаляются из группы в AD, мы хотели бы, чтобы эти люди были удалены из той же группы в ServiceNow.
  2. Когда группа добавляется или удаляется в AD, мы хотели бы удалить ту же группу в ServiceNow.

Возможно ли это, и если да, то какие функции Okta могут быть использованы для его выполнения?

источник

2016-02-17 coderworks

+0

У меня на самом деле нет времени, чтобы написать ответ, но прочитайте [это] (https://support.okta.com/help/articles/Knowledge_Article/92113353-Importing-and-Using-Groups-in-Okta). Это документация okta по предоставлению групп. В частности [это] (https://support.okta.com/help/articles/Knowledge_Article/92113353-Importing-and-Using-Groups-in-Okta#using_push). –

+1

Спасибо @PeterRaeves, я использовал ваши ссылки и некоторые эксперименты, чтобы получить то, что, по моему мнению, является правильной процедурой, и разместил это как ответ (как это может быть полезно другим людям). – coderworks

ответ

2

После просмотра документации, связанной Питером Raeves, и после того, как некоторые эксперименты в случае тест, кажется, что группы AD могут быть воспроизведены в ServiceNow следующим образом:

(Обратите внимание, что шаги 1 и 2 могут быть сделано в любом порядке)

  1. Убедитесь, что Okta подключен к Active Directory. Для этого требуется установка и настройка агента Okta AD, как описано here.
  2. Подключить Okta к ServiceNow с помощью SAML-соединения. С более новыми версиями ServiceNow лучше использовать , а не, чтобы использовать плагин Okta ServiceNow, поскольку он выглядит так, как этот плагин не работает с изменениями единого входа, которые были введены в ServiceNow. Инструкции по настройке соединения «вручную» можно найти, нажав «Просмотреть инструкции по установке» на вкладке «Вход» в приложении Okta ServiceNow. Убедитесь, что вы включили предоставление ресурсов на вкладке «Предоставление» в приложении Okta ServiceNow.
  3. Назначьте приложение ServiceNow пользователям Active Directory. Это можно сделать на вкладке «Люди» в приложении Okta ServiceNow. Это нужно сделать до шага 4 (Okta игнорирует всех пользователей, которые находятся в группах, для которых не присвоен).
  4. Направьте нужные группы Active Directory в ServiceNow. Это можно сделать на вкладке «Push Groups» в приложении Okta ServiceNow. Okta может тиражировать членство в группе в ServiceNow при нажатии группы, если вы отметите флажок «Push group membershiphips» сразу. Вы также можете нажать членство после добавления группы, нажав на стрелку вниз в списке групп и выбрав «Push now».

Обратите внимание, что роли пользователей по-прежнему необходимо поддерживать в ServiceNow. Поскольку Okta не затрагивает роли вообще, их можно добавить, например, на групповом уровне в ServiceNow, не рискуя, что они будут перезаписаны Okta.

источник

2016-02-18 21:28:17 coderworks

+0

Означает ли это, что вы не можете передавать роли от AD до SN? –

+1

Привет @PeterRaeves, я еще не нашел способ сделать это, хотя, возможно, это можно сделать, если использовать возможности сценариев в Okta Universal Directory (?). В ServiceNow роли группы не хранятся в группе (sys_user_group) таблицу, но в связанной таблице; они связаны с Группой через промежуточную таблицу под названием «sys_group_has_role». Okta каким-то образом будет запрашивать таблицу Role (sys_user_role), получать идентификатор SYS этой роли и связывать ее с конкретной группой в таблице «sys_group_has_role». – coderworks

 Смежные вопросы

  • Нет связанных вопросов^_^