是否可以让 Okta 在 ServiceNow 中复制 AD 组(及其成员)?
Is it possible to have Okta replicate AD groups (and their members) in ServiceNow?
我们在 Active Directory 中有包含成员的组,我们在 ServiceNow 中有包含相同成员的相同组。
计划使用 Okta 作为单点登录解决方案。为此,我们可以让 Okta 从 AD 提供用户。
我们希望 Okta 也能从 AD 中配置组并维护它们的成员资格。例如:
- 当在 AD 中的组中添加或删除人员时,我们希望将这些人员从 ServiceNow 中的同一组中删除。
- 当在 AD 中添加或删除组时,我们希望在 ServiceNow 中删除相同的组。
这是否可能,如果可能,可以使用哪些 Okta 功能来实现它?
查看 Peter Raeves 链接的文档并在测试实例中进行一些试验后,似乎可以在 ServiceNow 中复制 AD 组,如下所示:
(请注意,步骤 1 和 2 可以按任何顺序完成)
- 确保 Okta 已连接到 Active Directory。这需要安装和配置 Okta AD 代理,如 here.
所述
- 使用 SAML 连接将 Okta 连接到 ServiceNow。对于较新版本的 ServiceNow,不 使用 Okta ServiceNow 插件似乎更好,因为看起来这个插件不能很好地处理 ServiceNow 中引入的 SSO 更改。通过单击 Okta ServiceNow 应用程序中 "Sign On" 选项卡下的 "View Setup Instructions",可以找到配置连接 "manually" 的说明。 确保在 Okta ServiceNow 应用程序的 "Provisioning" 选项卡下启用配置。
- 将 ServiceNow 应用程序分配给 Active Directory 用户。这可以在 Okta ServiceNow 应用程序的 "People" 选项卡下完成。这需要在第 4 步之前完成(Okta 将忽略在 未 分配给应用程序的组中找到的任何用户)。
- 将所需的 Active Directory 组推送到 ServiceNow。这可以在 Okta ServiceNow 应用程序的 "Push Groups" 选项卡下完成。如果勾选 "Push group memberships immediately" 复选框,Okta 可以在推送组时复制 ServiceNow 中的组成员资格。您还可以在添加群组后推送成员资格,方法是单击群组列表中的向下箭头,然后选择 "Push now".
请注意,用户角色仍需在 ServiceNow 中维护。由于 Okta 根本不触及角色,因此可以在 ServiceNow 的组级别添加它们,而不会冒被 Okta 覆盖的风险。
我们在 Active Directory 中有包含成员的组,我们在 ServiceNow 中有包含相同成员的相同组。
计划使用 Okta 作为单点登录解决方案。为此,我们可以让 Okta 从 AD 提供用户。
我们希望 Okta 也能从 AD 中配置组并维护它们的成员资格。例如:
- 当在 AD 中的组中添加或删除人员时,我们希望将这些人员从 ServiceNow 中的同一组中删除。
- 当在 AD 中添加或删除组时,我们希望在 ServiceNow 中删除相同的组。
这是否可能,如果可能,可以使用哪些 Okta 功能来实现它?
查看 Peter Raeves 链接的文档并在测试实例中进行一些试验后,似乎可以在 ServiceNow 中复制 AD 组,如下所示:
(请注意,步骤 1 和 2 可以按任何顺序完成)
- 确保 Okta 已连接到 Active Directory。这需要安装和配置 Okta AD 代理,如 here. 所述
- 使用 SAML 连接将 Okta 连接到 ServiceNow。对于较新版本的 ServiceNow,不 使用 Okta ServiceNow 插件似乎更好,因为看起来这个插件不能很好地处理 ServiceNow 中引入的 SSO 更改。通过单击 Okta ServiceNow 应用程序中 "Sign On" 选项卡下的 "View Setup Instructions",可以找到配置连接 "manually" 的说明。 确保在 Okta ServiceNow 应用程序的 "Provisioning" 选项卡下启用配置。
- 将 ServiceNow 应用程序分配给 Active Directory 用户。这可以在 Okta ServiceNow 应用程序的 "People" 选项卡下完成。这需要在第 4 步之前完成(Okta 将忽略在 未 分配给应用程序的组中找到的任何用户)。
- 将所需的 Active Directory 组推送到 ServiceNow。这可以在 Okta ServiceNow 应用程序的 "Push Groups" 选项卡下完成。如果勾选 "Push group memberships immediately" 复选框,Okta 可以在推送组时复制 ServiceNow 中的组成员资格。您还可以在添加群组后推送成员资格,方法是单击群组列表中的向下箭头,然后选择 "Push now".
请注意,用户角色仍需在 ServiceNow 中维护。由于 Okta 根本不触及角色,因此可以在 ServiceNow 的组级别添加它们,而不会冒被 Okta 覆盖的风险。