Samouczek: automatyczne tworzenie biletów usługi ServiceNow za pomocą integracji zarządzania upoważnieniami firmy Microsoft

Scenariusz: W tym scenariuszu dowiesz się, jak używać niestandardowej rozszerzalności i aplikacji logiki, aby automatycznie generować bilety usługi ServiceNow na potrzeby ręcznej aprowizacji użytkowników, którzy otrzymali przydziały i potrzebują dostępu do aplikacji.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

Wymagania wstępne

• Konto użytkownika Microsoft Entra z aktywną subskrypcją platformy Azure. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
• Jedna z następujących ról: administrator globalny, administrator aplikacji w chmurze, administrator aplikacji lub właściciel jednostki usługi.
• Wystąpienie usługi ServiceNow w Rzymie lub wyższym
• Integracja logowania jednokrotnego z usługą ServiceNow. Jeśli jeszcze tego nie skonfigurowano, zobacz:Tutorial: Microsoft Entra single sign-on (SSO) integration with ServiceNow (Samouczek: Integracja logowania jednokrotnego firmy Microsoft z usługą ServiceNow ) przed kontynuowaniem.

Dodawanie przepływu pracy aplikacji logiki do istniejącego wykazu na potrzeby zarządzania upoważnieniami

Aby dodać przepływ pracy aplikacji logiki do istniejącego katalogu, użyj szablonu usługi ARM do tworzenia aplikacji logiki tutaj:

.

Podaj szczegóły subskrypcji platformy Azure, grupy zasobów wraz z nazwą aplikacji logiki i identyfikatorem wykazu, aby skojarzyć aplikację logiki z i wybrać pozycję zakup. Aby uzyskać więcej informacji na temat tworzenia nowego wykazu, zobacz: Tworzenie wykazu zasobów i zarządzanie nim w zarządzaniu upoważnieniami.

1. Przejdź do witryny Microsoft Entra Admin Center Identity Governance — Centrum administracyjne firmy Microsoft Entra jako co najmniej rola administratora zarządzania tożsamościami.

   Napiwek

   Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i właściciela grupy zasobów.

2. W menu po lewej stronie wybierz pozycję Wykazy.

3. Wybierz katalog, dla którego chcesz dodać rozszerzenie niestandardowe, a następnie w menu po lewej stronie wybierz pozycję Rozszerzenia niestandardowe.

4. Na pasku nawigacyjnym nagłówka wybierz pozycję Dodaj rozszerzenie niestandardowe.

5. Na karcie Podstawy wprowadź nazwę rozszerzenia niestandardowego i opis przepływu pracy. Te pola są wyświetlane na karcie Rozszerzenia niestandardowe wykazu.

6. Wybierz typ rozszerzenia jako "Przepływ pracy żądania", aby odpowiadać etapowi zasad tworzonego pakietu dostępu.

7. Wybierz pozycję Uruchom i zaczekaj w konfiguracji rozszerzenia, która wstrzyma skojarzona akcja pakietu dostępu do momentu, gdy aplikacja logiki połączona z rozszerzeniem zakończy swoje zadanie, a administrator wyśle akcję wznawiania, aby kontynuować proces. Aby uzyskać więcej informacji na temat tego procesu, zobacz: Konfigurowanie niestandardowych rozszerzeń wstrzymujących procesy zarządzania upoważnieniami.

8. Na karcie Szczegóły wybierz pozycję Nie w polu "Utwórz nową aplikację logiki", ponieważ aplikacja logiki została już utworzona w poprzednich krokach. Należy jednak podać szczegóły subskrypcji i grupy zasobów platformy Azure wraz z nazwą aplikacji logiki.

9. W obszarze Przeglądanie i tworzenie przejrzyj podsumowanie rozszerzenia niestandardowego i upewnij się, że szczegóły wywołania aplikacji logiki są poprawne. Następnie wybierz Utwórz.

10. To rozszerzenie niestandardowe połączonej aplikacji logiki jest teraz wyświetlane na karcie Rozszerzenia niestandardowe w obszarze Wykazy. Możesz wywołać tę funkcję w zasadach pakietu dostępu.

Dodawanie rozszerzenia niestandardowego do zasad w istniejącym pakiecie dostępu

Po skonfigurowaniu niestandardowej rozszerzalności w wykazie administratorzy mogą utworzyć pakiet dostępu z zasadami, aby wyzwolić rozszerzenie niestandardowe po zatwierdzeniu żądania. Dzięki temu można zdefiniować określone wymagania dostępu i dostosować proces przeglądu dostępu do potrzeb organizacji.

1. W portalu zarządzania tożsamościami co najmniej administrator zarządzania tożsamościami wybierz pozycję Pakiety dostępu.

   Napiwek

   Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela katalogu i menedżera pakietów programu Access.

2. Wybierz pakiet dostępu, do którego chcesz dodać rozszerzenie niestandardowe (aplikacja logiki) z listy pakietów dostępu, które zostały już utworzone.

3. Przejdź do karty zasady, wybierz zasady, a następnie wybierz pozycję Edytuj.

4. W ustawieniach zasad przejdź do karty Rozszerzenia niestandardowe.

5. W menu poniżej etapu wybierz zdarzenie pakietu dostępu, którego chcesz użyć jako wyzwalacza dla tego rozszerzenia niestandardowego (aplikacja logiki). W naszym scenariuszu, aby wyzwolić niestandardowy przepływ pracy aplikacji logiki rozszerzenia po zatwierdzeniu pakietu dostępu, wybierz pozycję Żądanie zostanie zatwierdzone.

1. W menu poniżej rozszerzenia niestandardowego wybierz rozszerzenie niestandardowe (aplikacja logiki) utworzone w powyższych krokach, aby dodać go do tego pakietu dostępu. Wybrana akcja jest wykonywana po wybraniu zdarzenia w polu, w którym występuje.

2. Wybierz pozycję Aktualizuj , aby dodać go do zasad istniejącego pakietu dostępu.

Rejestrowanie aplikacji przy użyciu wpisów tajnych w centrum administracyjnym firmy Microsoft Entra

Za pomocą platformy Azure możesz przechowywać wpisy tajne aplikacji, takie jak hasła, za pomocą usługi Azure Key Vault . Aby zarejestrować aplikację przy użyciu wpisów tajnych w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:

1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.

2. Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.

3. W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.

4. Wprowadź nazwę wyświetlaną aplikacji.

5. Wybierz pozycję "Konta tylko w tym katalogu organizacyjnym" w obsługiwanym typie konta.

6. Wybierz pozycję Zarejestruj.

Po zarejestrowaniu aplikacji należy dodać klucz tajny klienta, wykonując następujące kroki:

1. Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.

2. wybierz aplikację.

3. Wybierz pozycję Certyfikaty i wpisy tajne Klienta Wpisy > tajne > Nowego klienta.

4. Dodaj opis wpisu tajnego klienta.

5. Wybierz datę wygaśnięcia klucza tajnego lub określ niestandardowy okres ważności.

6. Wybierz Dodaj.

Aby autoryzować utworzoną aplikację do wywoływania interfejsu API wznawiania programu MS Graph, wykonaj następujące czynności:

1. Przejdź do centrum administracyjnego microsoft Entra Identity Governance — Microsoft Entra admin center

2. W menu po lewej stronie wybierz pozycję Wykazy.

3. Wybierz wykaz, dla którego dodano rozszerzenie niestandardowe.

4. Wybierz menu "Role i administratorzy" i wybierz pozycję "+ Dodaj menedżera przypisań pakietów dostępu".

5. W oknie dialogowym Wybieranie członków wyszukaj aplikację utworzoną według nazwy lub identyfikatora aplikacji. Wybierz aplikację i wybierz przycisk "Wybierz".

Konfigurowanie usługi ServiceNow na potrzeby uwierzytelniania automatyzacji

W tym momencie nadszedł czas, aby skonfigurować usługę ServiceNow do wznowienia przepływu pracy zarządzania upoważnieniami po zamknięciu biletu usługi ServiceNow:

1. Zarejestruj aplikację Firmy Microsoft Entra w rejestrze aplikacji Usługi ServiceNow, wykonując następujące kroki:
   1. Zaloguj się do usługi ServiceNow i przejdź do rejestru aplikacji.
   2. Wybierz pozycję "Nowy", a następnie wybierz pozycję "Połącz z dostawcą OAuth innej firmy".
   3. Podaj nazwę aplikacji i wybierz pozycję Poświadczenia klienta w domyślnym typie udzielania.
   4. Wprowadź nazwę klienta, identyfikator, klucz tajny klienta, adres URL autoryzacji, adres URL tokenu wygenerowany podczas rejestrowania aplikacji Microsoft Entra w centrum administracyjnym firmy Microsoft.
   5. Prześlij aplikację.
2. Utwórz komunikat interfejsu API REST usługi sieci Web systemu, wykonując następujące czynności:
   1. Przejdź do sekcji Komunikaty interfejsu API REST w obszarze Systemowe usługi sieci Web.
   2. Wybierz przycisk "Nowy", aby utworzyć nowy komunikat interfejsu API REST.
   3. Wypełnij wszystkie wymagane pola, w tym podaj adres URL punktu końcowego: https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/${AccessPackageAssignmentRequestId}/resume
   4. W obszarze Uwierzytelnianie wybierz pozycję OAuth2.0 i wybierz profil OAuth utworzony podczas procesu rejestracji aplikacji.
   5. Wybierz przycisk "Prześlij", aby zapisać zmiany.
   6. Wróć do sekcji Komunikaty interfejsu API REST w obszarze Systemowe usługi sieci Web.
   7. Wybierz pozycję Żądanie HTTP, a następnie wybierz pozycję "Nowy". Wprowadź nazwę i wybierz pozycję "POST" jako metodę Http.
   8. W żądaniu HTTP dodaj zawartość parametrów zapytania Http przy użyciu następującego schematu interfejsu API:

      {
      "data": {
          "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
          "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
          "customExtensionStageInstanceId": "${StageInstanceId}",
          "stage": "${Stage}"
                },
                "source": "ServiceNow",
                  "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
                  }
      

   9. Wybierz pozycję "Prześlij", aby zapisać zmiany.
3. Zmodyfikuj schemat tabeli żądań: Aby zmodyfikować schemat tabeli żądań, wprowadź zmiany w trzech tabelach przedstawionych na poniższej ilustracji: Dodaj etykietę trzech kolumn i wpisz ciąg:
   • AccessPackageAssignmentRequestId
   • AccessPackageAssignmentStage
   • Identyfikator wystąpienia etapu
4. Aby zautomatyzować przepływ pracy za pomocą narzędzia Flow Designer, należy wykonać następujące czynności:
   1. Zaloguj się do usługi ServiceNow i przejdź do projektanta przepływu.
   2. Wybierz przycisk "Nowy" i utwórz nową akcję.
   3. Dodaj akcję w celu wywołania komunikatu interfejsu API REST usługi sieci Web systemu, który został utworzony w poprzednim kroku. Skrypt akcji: (Zaktualizuj skrypt za pomocą etykiet kolumn utworzonych w poprzednim kroku):

      (function execute(inputs, outputs) {
          gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
          gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
          gs.info("Stage: " + inputs['assignmentstage']);
          var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
          r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
          r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
          r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
          var response = r.execute();
          var responseBody = response.getBody();
          var httpStatus = response.getStatusCode();
          var requestBody =  r.getRequestBody();
          gs.info("requestBody: " + requestBody);
          gs.info("responseBody: " + responseBody);
          gs.info("httpStatus: " + httpStatus);
          })(inputs, outputs); 
      

   4. Zapisz akcję
   5. Wybierz przycisk "Nowy", aby utworzyć nowy przepływ.
   6. Wprowadź nazwę przepływu, wybierz pozycję Uruchom jako — użytkownik systemowy i wybierz pozycję Prześlij.
5. Aby utworzyć wyzwalacze w usłudze ServiceNow, wykonaj następujące kroki:
   1. Wybierz pozycję "Dodaj wyzwalacz", a następnie wybierz wyzwalacz "zaktualizowany" i uruchom wyzwalacz dla każdej aktualizacji.
   2. Dodaj warunek filtru, aktualizując warunek, jak pokazano na poniższej ilustracji:
   3. Wybierz pozycję Gotowe.
   4. Wybierz pozycję Dodaj akcję
   5. Wybierz akcję, a następnie wybierz akcję utworzoną w poprzednim kroku.
   6. Przeciągnij i upuść nowo utworzone kolumny z rekordu żądania do odpowiednich parametrów akcji.
   7. Wybierz pozycję "Gotowe", "Zapisz", a następnie pozycję "Aktywuj".

Żądanie dostępu do pakietu dostępu jako użytkownik końcowy

Gdy użytkownik końcowy żąda dostępu do pakietu dostępu, żądanie jest wysyłane do odpowiedniego osoby zatwierdzającej. Gdy osoba zatwierdzająca przyzna zatwierdzenie, zarządzanie upoważnieniami wywołuje aplikację logiki. Następnie aplikacja logiki wywołuje usługę ServiceNow, aby utworzyć nowe żądanie/bilet i zarządzanie upoważnieniami czeka na wywołanie zwrotne z usługi ServiceNow.

Odbieranie dostępu do żądanego pakietu dostępu jako użytkownik końcowy

Zespół pomocy technicznej IT pracuje nad poprzednim biletem utworzonym w celu wykonania niezbędnych aprowizuje i zamknij bilet usługi ServiceNow. Po zamknięciu biletu usługa ServiceNow wyzwala wywołanie w celu wznowienia przepływu pracy zarządzania upoważnieniami. Po zakończeniu żądania żądający otrzyma powiadomienie z zarządzania upoważnieniami, które zostało spełnione. Ten usprawniony przepływ pracy zapewnia efektywne wypełnianie żądań dostępu, a użytkownicy są powiadamiani natychmiast.

Następne kroki

Przejdź do następnego artykułu, aby dowiedzieć się, jak utworzyć...