Comparteix a través de

Tutorial: Creación automatizada de vales de ServiceNow con la integración de la administración de derechos de Microsoft Entra

  • Article

Escenario: en este escenario, aprenderá a usar la extensibilidad personalizada y una aplicación lógica para generar automáticamente vales de ServiceNow para el aprovisionamiento manual de usuarios que han recibido asignaciones y necesitan acceso a las aplicaciones.

En este tutorial, obtendrá información sobre cómo:

  • Agregar un flujo de trabajo de aplicación lógica a un catálogo existente.
  • Agregar una extensión personalizada a una directiva dentro de un paquete de acceso existente.
  • Registro de una aplicación en Microsoft Entra ID para reanudar el flujo de trabajo de administración de derechos
  • Configuración de ServiceNow para la autenticación de Automation.
  • Solicitar acceso a un paquete de acceso como usuario final.
  • Recibir acceso al paquete de acceso solicitado como usuario final.

Requisitos previos

Nota:

Se recomienda usar un rol con privilegios mínimos al completar estos pasos.

Agregar flujo de trabajo de aplicación lógica a un catálogo existente para la administración de derechos

Para agregar un flujo de trabajo de aplicación lógica a un catálogo existente, use la plantilla de ARM para la creación de la aplicación lógica aquí:

Implementación en Azure.

Captura de pantalla de la creación de una aplicación lógica mediante una plantilla de ARM.

Proporcione la suscripción de Azure, los detalles del grupo de recursos, junto con el nombre de la aplicación lógica y el identificador de catálogo con el que asociar la aplicación lógica y seleccione comprar. Para obtener más información sobre cómo crear un catálogo, siga los pasos descritos en este documento: Creación y administración de un catálogo de recursos en la administración de derechos.

  1. Vaya al centro de administración de Microsoft Entra Identity Governance: centro de administración de Microsoft Entra con un rol mínimo de Administrador de Identity Governance.

    Sugerencia

    Otros roles con privilegios mínimos que pueden completar esta tarea son los de Propietario del catálogo y Propietario del grupo de recursos.

  2. En el menú de la izquierda, seleccione Catálogos.

  3. Seleccione el catálogo para el que quiera agregar una extensión personalizada y, luego, en el menú izquierdo, seleccione Extensiones personalizadas.

  4. En la barra de navegación del encabezado, seleccione Agregar una extensión personalizada.

  5. En la pestaña Datos básicos, escriba el nombre de la extensión personalizada y la descripción del flujo de trabajo. Estos campos se muestran en la pestaña Extensiones personalizadas del catálogo. Captura de pantalla de la creación de una extensión personalizada para la administración de derechos.

  6. Seleccione el tipo de extensión como "Flujo de trabajo de solicitud" para que se corresponda con la fase de directiva del paquete de acceso solicitado que se va a crear. Captura de pantalla de la pestaña de acciones de comportamiento de la extensión personalizada de administración de derechos.

  7. Seleccione Iniciar y esperar en la Configuración de extensión, lo que pausará la acción del paquete de acceso asociado hasta después de que la aplicación lógica vinculada a la extensión complete su tarea y el administrador envíe una acción de reanudación para continuar con el proceso. Para obtener más información sobre este proceso, consulte : Configuración de extensiones personalizadas que pausan los procesos de administración de derechos.

  8. En la pestaña Detalles, elija No en el campo "Crear nueva aplicación lógica", ya que la aplicación lógica ya se ha creado en los pasos anteriores. Sin embargo, debe proporcionar los detalles de la suscripción y del grupo de recursos de Azure, junto con el nombre de la aplicación lógica. Captura de pantalla de la pestaña de detalles de la extensión personalizada de administración de derechos.

  9. En Revisar y crear, revise el resumen de la extensión personalizada y asegúrese de que los detalles de la llamada de la aplicación lógica son correctos. Seleccione Crear.

  10. Esta extensión personalizada a la aplicación lógica vinculada aparece ahora en la pestaña Extensiones personalizadas en Catálogos. Puede llamarla en las directivas de paquetes de acceso.

Sugerencia

Para más información sobre la característica de extensión personalizada que pausa los procesos de administración de derechos, consulte: Configuración de extensiones personalizadas que pausan los procesos de administración de derechos.

Agregar una extensión personalizada a una directiva en un paquete de acceso existente

Después de configurar la extensibilidad personalizada en el catálogo, los administradores pueden crear un paquete de acceso con una directiva para desencadenar la extensión personalizada cuando se haya aprobado la solicitud. Esto les permite definir requisitos de acceso específicos y adaptar el proceso de revisión de acceso para satisfacer las necesidades de su organización.

  1. En el portal de Identity Governance, al menos como Administrador de Identity Governance, seleccione Paquetes de acceso.

    Sugerencia

    Otros roles con privilegios mínimos que pueden completar esta tarea son los de Propietario del catálogo y Administrador de paquetes de acceso.

  2. Seleccione el paquete de acceso al que quiere agregar una extensión personalizada (aplicación lógica) en la lista de paquetes de acceso que ya se han creado.

  3. Cambie a la pestaña de directivas, seleccione la directiva y luego Editar.

  4. En la configuración de directiva, vaya a la pestaña Extensiones personalizadas.

  5. En el menú de Fase, seleccione el evento de paquete de acceso que quiere usar como desencadenador de esta extensión personalizada (aplicación lógica). En nuestro escenario, para desencadenar el flujo de trabajo de la aplicación lógica de extensión personalizada cuando se ha aprobado el paquete de acceso, seleccione Solicitud aprobada.

Nota

Para crear un vale de ServiceNow para una asignación expirada que tenía permiso concedido anteriormente, agregue una nueva fase para "Se quita la asignación" y, a continuación, seleccione LogicApp.

  1. En el menú de Extensión personalizada, seleccione la extensión personalizada (aplicación lógica) que creó en los pasos anteriores para agregar al paquete de acceso. La acción que seleccione se ejecuta cuando se produce el evento seleccionado en el campo cuándo.

  2. Seleccione Actualizar para agregarla a la directiva de un paquete de acceso existente. Captura de pantalla de los detalles de la extensión personalizada para un paquete de acceso.

Nota:

Seleccione Nuevo paquete de acceso si quiere crear un nuevo paquete de acceso. Para más información sobre cómo crear un paquete de acceso, consulte: Creación de un paquete de acceso en la administración de derechos. Para más información sobre cómo editar un paquete de acceso existente, consulte Configuración de solicitud de cambio de un paquete de acceso en la administración de derechos de Microsoft Entra.

Registrar una aplicación con secretos en el centro de administración de Microsoft Entra

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienza.

Con Azure, puede usar Azure Key Vault para almacenar secretos de aplicación, como contraseñas. Para registrar una aplicación con secretos en el centro de administración de Microsoft Entra, siga estos pasos:

  1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de Identity Governance.

  2. Vaya aIdentidad>Aplicaciones>Registros de aplicaciones.

  3. En Administrar, seleccione Registros de aplicaciones > Nuevo registro.

  4. Escriba un Nombre para mostrar para la aplicación.

  5. Seleccione "Solo las cuentas de este directorio organizativo" en tipo de cuenta admitido.

  6. Seleccione Registrar.

Después de registrar la aplicación, debe agregar un secreto de cliente siguiendo estos pasos:

  1. Vaya aIdentidad>Aplicaciones>Registros de aplicaciones.

  2. Seleccione la aplicación.

  3. Seleccione Certificados y secretos > Secretos de cliente > Nuevo secreto de cliente.

  4. Agregue una descripción para el secreto de cliente.

  5. Seleccione una expiración para el secreto o especifique una duración personalizada.

  6. Seleccione Agregar.

Nota

Para obtener información detallada sobre el registro de una aplicación, consulte Inicio rápido: Registro de una aplicación en la plataforma de identidad de Microsoft:

Para autorizar a la aplicación creada a llamar a API de reanudación de MS Graph, debe realizar los pasos siguientes:

  1. Vaya al centro de administración de Microsoft Entra Identity Governance: centro de administración de Microsoft Entra

  2. En el menú de la izquierda, seleccione Catálogos.

  3. Seleccione el catálogo para el que ha agregado la extensión personalizada.

  4. Seleccione el menú "Roles y administradores" y seleccione "+ Agregar administrador de asignación de paquetes de acceso".

  5. En el cuadro de diálogo Seleccionar miembros, busque la aplicación creada por nombre o identificador de aplicación. Seleccione la aplicación y elija el botón "Seleccionar".

Sugerencia

Puede encontrar información más detallada sobre la delegación y los roles en la documentación oficial de Microsoft que se encuentra aquí: Delegación y roles en la administración de derechos.

Configuración de ServiceNow para la autenticación de Automation

En este momento, es el momento de configurar ServiceNow para reanudar el flujo de trabajo de administración de derechos después del cierre del vale de ServiceNow:

  1. Para registrar una aplicación de Microsoft Entra en el registro de aplicaciones de ServiceNow, siga estos pasos:
    1. Inicie sesión en ServiceNow y vaya al Registro de aplicaciones.
    2. Seleccione "Nuevo" y, a continuación, seleccione "Conectar a un proveedor de OAuth de terceros".
    3. Proporcione un nombre para la aplicación y seleccione Credenciales de cliente en el tipo de concesión predeterminada.
    4. Escriba el nombre de cliente, el identificador, el secreto de cliente, la dirección URL de autorización, la dirección URL del token que se generaron al registrar la aplicación de Microsoft Entra en el centro de administración de Microsoft Entra.
    5. Envíe la aplicación. Captura de pantalla del registro de aplicaciones en ServiceNow.
  2. Cree un mensaje de API de REST de Servicios web del sistema siguiendo estos pasos:
    1. Vaya a la sección Mensajes de la API de REST en Servicios web del sistema.
    2. Seleccione el botón "Nuevo" para crear un mensaje de API de REST.
    3. Rellene todos los campos obligatorios, que incluyen proporcionar la dirección URL del punto de conexión: https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/${AccessPackageAssignmentRequestId}/resume
    4. En Autenticación, seleccione OAuth2.0 y elija el perfil de OAuth que se creó durante el proceso de registro de la aplicación.
    5. Seleccione el botón "Enviar" para agregar los cambios.
    6. Vuelva a la sección Mensajes de API de REST en Servicios web del sistema.
    7. Seleccione Solicitud HTTP y, a continuación, seleccione "Nueva". Escriba un nombre y seleccione "POST" como método Http.
    8. En la solicitud Http, agregue el contenido de los parámetros de consulta Http mediante el siguiente esquema de API: 
      {
"data": {
    "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
    "customExtensionStageInstanceId": "${StageInstanceId}",
    "stage": "${Stage}"
          },
          "source": "ServiceNow",
            "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
            }
    9. Seleccione "Enviar" para guardar los cambios. Captura de pantalla de la selección de reanudación de llamadas en ServiceNow.Captura de pantalla de la solicitud http en ServiceNow.
  3. Modificar el esquema de la tabla de solicitudes: para modificar el esquema de la tabla de solicitudes, realice cambios en las tres tablas que se muestran en la imagen siguiente: Captura de pantalla del esquema de la tabla de solicitudes en ServiceNow. Agregue la etiqueta de tres columnas y escriba como cadena:
    • AccessPackageAssignmentRequestId
    • AccessPackageAssignmentStage
    • StageInstanceId
  4. Para automatizar el flujo de trabajo con Flow Designer, debe hacer lo siguiente:
    1. Inicie sesión en ServiceNow y vaya a Flow Designer.
    2. Seleccione el botón "Nuevo" y cree una nueva acción.
    3. Agregue una acción para invocar el mensaje de la API de REST del servicio web del sistema que se creó en el paso anterior. Captura de pantalla del script de diseño de flujos para reanudar el proceso de administración de derechos en ServiceNow. Script para la acción: (Actualice el script con las etiquetas de columna creadas en el paso anterior): 
      (function execute(inputs, outputs) {
    gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
    gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
    gs.info("Stage: " + inputs['assignmentstage']);
    var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
    r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
    r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
    r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
    var response = r.execute();
    var responseBody = response.getBody();
    var httpStatus = response.getStatusCode();
    var requestBody =  r.getRequestBody();
    gs.info("requestBody: " + requestBody);
    gs.info("responseBody: " + responseBody);
    gs.info("httpStatus: " + httpStatus);
    })(inputs, outputs);
    4. Guarde la acción
    5. Seleccione el botón "Nuevo" para crear un nuevo flujo.
    6. Escriba el nombre del flujo, seleccione Ejecutar como: usuario del sistema y seleccione Enviar.
  5. Para crear desencadenadores en ServiceNow, siga estos pasos:
    1. Seleccione "Agregar desencadenador" y, a continuación, seleccione el desencadenador "actualizado" y ejecute el desencadenador para cada actualización.
    2. Añada una condición de filtro actualizando la condición como se muestra en la siguiente imagen: Captura de pantalla de la API de reanudación de la administración de derechos de llamada de ServiceNow
    3. Seleccione Listo.
    4. Seleccione añadir una acción Captura de pantalla del desencadenador del diagrama de flujo.
    5. Seleccione la acción y, a continuación, seleccione la acción creada en el paso anterior. Captura de pantalla de la selección de acciones del diseñador de flujos.
    6. Arrastre y coloque las columnas recién creadas del registro de solicitud para los parámetros de acción adecuados.
    7. Seleccione "Listo", "Guardar" y, a continuación, "Activar". Captura de pantalla de guardar y activar en el diseñador de flujos.

Solicitar acceso a un paquete de acceso como usuario final

Cuando un usuario final solicita acceso a un paquete de acceso, la solicitud se envía al aprobador adecuado. Una vez que el aprobador concede la aprobación, la administración de derechos llama a la aplicación lógica. A continuación, la aplicación lógica llama a ServiceNow para crear una nueva solicitud o vale y la administración de derechos espera una devolución de llamada de ServiceNow.

Captura de pantalla de la solicitud de un paquete de acceso.

Recibir acceso al paquete de acceso solicitado como usuario final

El equipo de soporte técnico de TI trabaja en la incidencia creada anteriormente para realizar las disposiciones necesarias y cerrar el vale de ServiceNow. Cuando se cierra el vale, ServiceNow desencadena una llamada para reanudar el flujo de trabajo de administración de derechos. Una vez completada la solicitud, el solicitante recibe una notificación de la administración de derechos de que se ha completado la solicitud. Este flujo de trabajo simplificado garantiza que las solicitudes de acceso se cumplan de forma eficaz y que se notifiquen rápidamente a los usuarios.

Captura de pantalla del historial de solicitudes del portal Mi acceso.

Nota

El usuario final verá "error de asignación" en el portal de Mi acceso si el vale no está cerrado en un plazo de 14 días.

Pasos siguientes

Pase al siguiente artículo, donde aprenderá a crear...

Desencadenamiento de Logic Apps con extensiones personalizadas en la administración de derechos