Konfigurieren von ServiceNow für die automatische Benutzerbereitstellung

In diesem Artikel werden die Schritte beschrieben, die Sie sowohl in ServiceNow als auch in Microsoft Entra ID ausführen, um die automatische Benutzerbereitstellung zu konfigurieren. Wenn diese Funktion konfiguriert ist, stellt Microsoft Entra ID über den Microsoft Entra-Bereitstellungsdienst automatisch Benutzer*innen und Gruppen für ServiceNow bereit und hebt Bereitstellungen ggf. wieder auf.

Weitere Informationen zum automatischen Microsoft Entra-Benutzerbereitstellungsdienst finden Sie unter Automatisieren der Bereitstellung und Bereitstellungsaufhebung von Benutzer*innen für SaaS-Anwendungen mit Microsoft Entra ID.

Unterstützte Funktionen

  • Erstellen Sie Benutzern in ServiceNow.
  • Entfernen Sie Benutzer aus ServiceNow, wenn diese keinen Zugriff mehr benötigen.
  • Synchronisieren von Benutzerattributen zwischen Microsoft Entra ID und ServiceNow
  • Stellen Sie Gruppen und Gruppenmitgliedschaften in ServiceNow bereit.
  • Lassen Sie das einmalige Anmelden (SSO) bei ServiceNow (empfohlen) zu.

Voraussetzungen

Hinweis

Diese Integration kann auch über die Microsoft Entra US Government-Cloud-Umgebung verwendet werden. Sie finden diese Anwendung im Microsoft Entra-Anwendungskatalog für die US Government-Cloud. Sie können sie auf die gleiche Weise wie in der öffentlichen Cloud konfigurieren.

Schritt 1: Planen der Bereitstellung

Schritt 2: Konfigurieren von ServiceNow für die Unterstützung der Bereitstellung mit Microsoft Entra ID

  1. Identifizieren Sie den Namen Ihrer ServiceNow-Instanz. Sie finden den Instanznamen in der URL, die Sie für den Zugriff auf ServiceNow verwenden. Im folgenden Beispiel lautet der Instanzname dev35214.

    Screenshot: ServiceNow-Instanz

  2. Rufen Sie Anmeldeinformationen für einen Administrator in ServiceNow ab. Navigieren Sie zu dem Benutzerprofil in ServiceNow, und stellen Sie sicher, dass der Benutzer Administratorrechte hat.

    Screenshot: ServiceNow-Administratorrolle

Fügen Sie ServiceNow aus dem Microsoft Entra-Anwendungskatalog hinzu, um mit dem Verwalten der Bereitstellung für ServiceNow zu beginnen. Wenn Sie ServiceNow zuvor für einmaliges Anmelden (Single Sign-On, SSO) eingerichtet haben, können Sie dieselbe Anwendung verwenden. Wir empfehlen jedoch, beim Testen der Integration eine separate App zu erstellen. Hier erfahren Sie mehr über das Hinzufügen einer Anwendung aus dem Katalog.

Schritt 4: Definieren der Benutzer für den Bereitstellungsbereich

Mit dem Microsoft Entra-Bereitstellungsdienst können Sie anhand der Zuweisung zur Anwendung und/oder anhand von Attributen für Benutzer*innen bzw. die Gruppe festlegen, wer in die Bereitstellung einbezogen werden soll. Wenn Sie sich dafür entscheiden, anhand der Zuweisung festzulegen, wer für Ihre App bereitgestellt werden soll, können Sie der Anwendung mithilfe dieser Schritte Benutzer und Gruppen zuweisen. Wenn Sie allein anhand der Attribute des Benutzers oder der Gruppe auswählen möchten, wer bereitgestellt wird, können Sie einen Bereichsfilter verwenden.

Beachten Sie folgende Tipps:

  • Beim Zuweisen von Benutzern und Gruppen zu ServiceNow müssen Sie eine andere Rolle als „Standardzugriff“ auswählen. Benutzer mit der Rolle „Standardzugriff“ werden von der Bereitstellung ausgeschlossen und in den Bereitstellungsprotokollen als „nicht effektiv berechtigt“ gekennzeichnet. Wenn für die Anwendung nur die Rolle „Standardzugriff“ verfügbar ist, können Sie das Anwendungsmanifest aktualisieren und weitere Rollen hinzufügen.

  • Wenn Sie zusätzliche Rollen benötigen, können Sie das Anwendungsmanifest so ändern, dass neue Rollen hinzugefügt werden.

Schritt 5: Konfigurieren der automatischen Benutzerbereitstellung für ServiceNow

In diesem Abschnitt werden die Schritte zum Konfigurieren des Microsoft Entra-Bereitstellungsdiensts zum Erstellen, Aktualisieren und Deaktivieren von Benutzer*innen und Gruppen in TestApp erläutert. Als Grundlage für die Konfiguration können Sie Benutzer- und Gruppenzuweisungen in Microsoft Entra ID verwenden.

So konfigurieren Sie die automatische Benutzerbereitstellung für ServiceNow in Microsoft Entra ID

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Browsen Sie zu Identität>Anwendungen>Unternehmensanwendungen.

    Screenshot: Bereich „Unternehmensanwendungen“

  3. Wählen Sie in der Liste der Anwendungen den Eintrag ServiceNow aus.

  4. Wählen Sie die Registerkarte Bereitstellung.

  5. Legen Sie Bereitstellungsmodus auf Automatisch fest.

  6. Geben Sie im Abschnitt Administratoranmeldeinformationen die Anmeldeinformationen und den Benutzernahmen für den ServiceNow-Administrator ein. Wählen Sie Verbindung testen aus, um sicherzustellen, dass Microsoft Entra ID eine Verbindung mit ServiceNow herstellen kann. Wenn die Verbindung nicht möglich ist, müssen Sie sicherstellen, dass Ihr ServiceNow-Konto über Administratorberechtigungen verfügt. Versuchen Sie es anschließend noch einmal.

  7. Geben Sie im Feld Benachrichtigungs-E-Mail die E-Mail-Adresse einer Person oder einer Gruppe ein, die Benachrichtigungen zu Bereitstellungsfehlern erhalten soll. Aktivieren Sie dann das Kontrollkästchen Bei Fehler E-Mail-Benachrichtigung senden.

  8. Wählen Sie Speichern aus.

  9. Wählen Sie im Abschnitt Zuordnungen die Option Microsoft Entra-Benutzer mit ServiceNow synchronisieren aus.

  10. Überprüfen Sie im Abschnitt Attributzuordnungen die Benutzerattribute, die von Microsoft Entra ID mit ServiceNow synchronisiert werden. Beachten Sie, dass die als übereinstimmende Eigenschaften ausgewählten Attribute zum Abgleichen der Benutzerkonten in ServiceNow bei Updatevorgängen verwendet werden.

    Wenn Sie sich dafür entscheiden, das übereinstimmende Zielattribut zu ändern, müssen Sie sicherstellen, dass die ServiceNow-API das Filtern von Benutzern anhand dieses Attributs unterstützt.

    Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

  11. Wählen Sie im Abschnitt Zuordnungen die Option Microsoft Entra-Gruppen mit ServiceNow synchronisieren aus.

  12. Überprüfen Sie im Abschnitt Attributzuordnungen die Gruppenattribute, die von Microsoft Entra ID mit ServiceNow synchronisiert werden. Die als übereinstimmende Eigenschaften ausgewählten Attribute werden bei Updatevorgängen in ServiceNow für den Abgleich der Gruppen verwendet. Wählen Sie die Schaltfläche Speichern, um alle Änderungen zu übernehmen.

  13. Wenn Sie Bereichsfilter konfigurieren möchten, folgen Sie den Anleitungen im Tutorial Bereichsfilter.

  14. Ändern Sie im Abschnitt Einstellungen den Bereitstellungsstatus in Ein, um den Microsoft Entra-Bereitstellungsdienst für ServiceNow zu aktivieren.

  15. Legen Sie die Benutzer und Gruppen fest, die in ServiceNow bereitgestellt werden sollen, indem Sie im Abschnitt Einstellungen unter Bereich die gewünschten Werte auswählen.

    Screenshot: Auswahlmöglichkeiten für Bereitstellungsbereich

  16. Wählen Sie Speichern aus, wenn die Bereitstellung erfolgen kann.

Durch diesen Vorgang wird der erstmalige Synchronisierungszyklus für alle Benutzer und Gruppen gestartet, die im Abschnitt Einstellungen unter Bereich definiert wurden. Der erste Zyklus nimmt mehr Zeit in Anspruch als die nachfolgenden Zyklen. Nachfolgende Zyklen erfolgen etwa alle 40 Minuten, solange der Microsoft Entra-Bereitstellungsdienst ausgeführt wird.

Schritt 6: Überwachen der Bereitstellung

Nachdem Sie die Bereitstellung konfiguriert haben, können Sie mit den folgenden Ressourcen die Bereitstellung überwachen:

  • Mithilfe der Bereitstellungsprotokolle können Sie ermitteln, welche Benutzer erfolgreich bzw. nicht erfolgreich bereitgestellt wurden.
  • Anhand der Fortschrittsleiste können Sie den Status des Bereitstellungszyklus überprüfen und den Fortschritt der Bereitstellung verfolgen.
  • Wenn sich die Bereitstellungskonfiguration in einem fehlerhaften Zustand zu befinden scheint, wird die Anwendung unter Quarantäne gestellt. Weitere Informationen zu den verschiedenen Quarantänestatus finden Sie hier.

Tipps zur Problembehandlung

  • Bei der Bereitstellung bestimmter Attribute (etwa Abteilung und Standort) in ServiceNow müssen die Werte bereits in einer Referenztabelle in ServiceNow vorhanden sein. Ist dies nicht der Fall, wird der Fehler InvalidLookupReference angezeigt.

    Beispiel: Eine bestimmte Tabelle in ServiceNow enthält möglicherweise zwei Standorte (Seattle, Los Angeles) und drei Abteilungen (Vertrieb, Finanzen, Marketing). Wenn Sie versuchen, einen Benutzer bereitzustellen, der zur Abteilung „Vertrieb“ am Standort „Seattle“ gehört, wird der Benutzer erfolgreich bereitgestellt. Wenn Sie versuchen, einen Benutzer bereitzustellen, der zur Abteilung „Vertrieb“ am Standort „LA“ gehört, wird er nicht bereitgestellt. Der Standort „LA“ muss der Referenztabelle in ServiceNow hinzugefügt werden, oder das Benutzerattribut in Microsoft Entra ID muss so aktualisiert werden, dass es dem Format in ServiceNow entspricht.

  • Wird der Fehler EntryJoiningPropertyValueIsMissing angezeigt, überprüfen Sie die Attributzuordnungen, um das passende Attribut zu ermitteln. Dieser Wert muss bei dem bereitzustellenden Benutzer bzw. der Gruppe vorhanden sein.

  • Überprüfen Sie die ServiceNow SOAP-API, um alle Anforderungen oder Beschränkungen (z. B. Format für die Angabe des Ländercodes für einen Benutzer) zu verstehen.

  • Bereitstellungsanforderungen werden standardmäßig an https://{Ihr-Instanzname}.service-now.com/{Tabellenname} gesendet. Wenn Sie eine benutzerdefinierte Mandanten-URL benötigen, können Sie die gesamte URL als Instanznamen angeben.

  • Der Fehler ServiceNowInstanceInvalid weist auf ein Problem bei der Kommunikation mit der ServiceNow-Instanz hin. Fehlertext:

    Details: Your ServiceNow instance name appears to be invalid. Please provide a current ServiceNow administrative user name and password along with the name of a valid ServiceNow instance.

    Sollten beim Testen der Verbindung Probleme auftreten, wählen Sie für die folgenden Einstellungen in ServiceNow Nein aus:

    • System Security>High security settings>Require basic authentication for incoming SCHEMA requests („Systemsicherheit“ > „Einstellungen für hohe Sicherheit“ > „Einfache Authentifizierung für eingehende SCHEMA-Anforderungen erforderlich“)

    • System Properties>Web Services>Require basic authorization for incoming SOAP requests („Systemeigenschaften“ > „Webdienste“ > „Einfache Authentifizierung für eingehende SOAP-Anforderungen erforderlich“)

      Screenshot: Option zum Autorisieren von SOAP-Anforderungen

    Wird das Problem dadurch immer noch nicht behoben, wenden Sie sich an den ServiceNow-Support, und bitten Sie ihn, zur Problembehandlung das SOAP-Debuggen zu aktivieren.

  • Der Microsoft Entra-Bereitstellungsdienst wird zurzeit unter bestimmten IP-Adressbereichen betrieben. Falls erforderlich, können Sie andere IP-Adressbereiche einschränken und diese bestimmten IP-Adressbereiche der Positivliste Ihrer Anwendung hinzufügen. Dadurch wird der Datenverkehrsfluss vom Microsoft Entra-Bereitstellungsdienst zu Ihrer Anwendung ermöglicht.

  • Selbstgehostete ServiceNow-Instanzen werden nicht unterstützt.

  • Wenn eine Aktualisierung des Attributs active in ServiceNow bereitgestellt wird, wird ebenfalls das Attribut locked_out entsprechend aktualisiert, auch wenn locked_out nicht im Azure-Bereitstellungsdienst zugeordnet ist.

Zusätzliche Ressourcen

Nächste Schritte