Tutoriel : Création automatisée de tickets ServiceNow avec intégration de la gestion des droits d’utilisation Microsoft Entra

Scénario : dans ce scénario, vous allez apprendre à utiliser l’extensibilité personnalisée et une application logique pour générer automatiquement des tickets ServiceNow pour l’approvisionnement manuel des utilisateurs qui ont reçu des affectations et qui ont besoin d’accéder aux applications.

Dans ce tutoriel, vous allez apprendre à :

• Ajout d’un Workflow d’Application logique à un catalogue existant.
• Ajout d’une extension personnalisée à une stratégie dans un package d’accès existant.
• Inscrivez une application dans Microsoft Entra ID pour reprendre le workflow de gestion des droits d’utilisation
• Configuration de ServiceNow pour l’Authentification Automation.
• Requête d’accès à un package d’accès en tant qu’utilisateur final.
• Réception de l’accès au package d’accès demandé en tant qu’utilisateur final.

Prérequis

• Un compte d’utilisateur Microsoft Entra avec un abonnement Azure actif. Si vous n’en avez pas encore, vous pouvez créer un compte gratuitement.
• Un des rôles suivants : Administrateur général, Administrateur d’application cloud, Administrateur d’application ou propriétaire du principal de service.
• Une instance ServiceNow de Rome ou version ultérieure
• Intégration de l’authentification unique à ServiceNow. Si ce n’est pas déjà configuré, consultez :Tutoriel : Intégration de l’authentification unique Microsoft Entra avec ServiceNow avant de continuer.

Remarque

Nous vous recommandons d’utiliser un rôle de privilège minimum lorsque vous effectuez ces étapes.

Ajout d’un Workflow d’Application logique à un Catalogue existant pour la Gestion des droits d’utilisation

Pour ajouter un Workflow d’application logique à un catalogue existant, vous utilisez le modèle ARM pour la création de l’application logique ici :

.

Fournissez l’abonnement Azure, les détails du groupe de ressources, ainsi que le nom de l’application logique et l’ID de catalogue pour associer l’application logique et sélectionner l’achat. Pour plus d’informations sur la création d’un nouveau catalogue, suivez les étapes décrites dans ce document : Créer et gérer un catalogue de ressources dans la gestion des droits d’utilisation.

1. Accédez au centre d’administration Microsoft Entra Gouvernance des identités – centre d’administration Microsoft Entra avec au minimum le rôle d’Administrateur de la gouvernance des identités.

   Conseil

   D’autres rôles de privilège minimum pouvant effectuer cette tâche incluent le Propriétaire du catalogue et le Propriétaire du groupe de ressources.

2. Dans le menu de gauche, sélectionnez Catalogues.

3. Sélectionnez le catalogue pour lequel vous souhaitez ajouter une extension personnalisée puis, dans le menu de gauche, sélectionnez Extensions personnalisées.

4. Dans la barre de navigation de l’en-tête, sélectionnez Ajouter une extension personnalisée.

5. Sous l’onglet De base, entrez le nom de l’extension personnalisée et une description du flux de travail. Ces champs s’affichent sous l’onglet Extensions personnalisées du catalogue.

6. Sélectionnez le Type d’extension « Flux de travail de requête » pour correspondre à l’étape de stratégie du package d’accès demandé en cours de création.

7. Sélectionnez Lancer et attendre dans la Configuration de l’extension, ce qui interrompra l’action du package d’accès associé jusqu’à ce que l’Application logique liée à l’extension ait terminé sa tâche, et que l’administrateur ait envoyé une action de reprise pour poursuivre le processus. Pour plus d’informations sur ce processus, consultez : Configuration des extensions personnalisées qui interrompent les processus de gestion des droits d’utilisation.

8. Sous l’onglet Détails, choisissez Non dans le champ « Créer une nouvelle application logique », car l’Application logique a déjà été créée dans les étapes précédentes. Toutefois, vous devez fournir les détails de l’abonnement Azure et du groupe de ressources, ainsi que le nom de l’Application logique.

9. Dans Examiner et Créer, examinez le résumé de votre extension personnalisée, puis vérifiez que les détails de la légende de votre Application logique sont corrects. Sélectionnez ensuite Créer.

10. Cette extension personnalisée de l’application logique liée apparaît maintenant sous l’onglet Extensions personnalisées dans Catalogues. Vous pouvez l’appeler dans des stratégies de package d’accès.

Conseil

Pour en savoir plus sur la fonctionnalité d’extension personnalisée qui interrompt les processus de gestion des droits d’utilisation, consultez : Configuration des extensions personnalisées qui interrompent les processus de gestion des droits d’utilisation.

Ajout d’une extension personnalisée à une stratégie dans un Package d’accès existant

Après avoir configuré l’extensibilité personnalisée dans le catalogue, les administrateurs peuvent créer un package d’accès avec une stratégie pour déclencher l’extension personnalisée lorsque la requête a été approuvée. Cela leur permet de définir des exigences d’accès spécifiques et d’adapter le processus de révision d’accès pour répondre aux besoins de leur organisation.

1. Dans portail Gouvernance des identités avec au minimum le rôle Administrateur de la gouvernance des identités, sélectionnez Packages d’accès.

   Conseil

   D’autres rôles de privilège minimum pouvant effectuer cette tâche incluent le Propriétaire du catalogue et le Gestionnaire de package d’accès.

2. Sélectionnez le package d’accès auquel vous souhaitez ajouter une extension personnalisée (application logique) dans la liste des packages d’accès qui ont déjà été créés.

3. Accédez à l’onglet de stratégie, sélectionnez la stratégie, puis sélectionnez Modifier.

4. Dans les paramètres de stratégie, accédez à l’onglet Extensions personnalisées.

5. Dans le menu Index ci-dessous, sélectionnez l’événement de package d’accès que vous souhaitez utiliser comme déclencheur pour cette extension personnalisée (application logique). Pour notre scénario, afin de déclencher le flux de travail d’application logique d’extension personnalisée lorsque le package d’accès a été approuvé, sélectionnez La requête est approuvée.

Notes

Pour créer un ticket ServiceNow pour une affectation expirée qui avait l’autorisation accordée précédemment, ajoutez une nouvelle étape pour « L’affectation est supprimée », puis sélectionnez LogicApp.

1. Dans le menu Extension personnalisée ci-dessous, sélectionnez l’extension personnalisée (Application logique) que vous avez créée lors des étapes précédentes pour l’ajouter à ce package d’accès. L’action que vous sélectionnez s’exécute quand l’événement sélectionné dans le champ quand se produit.

2. Sélectionnez Mettre à jour pour l’ajouter à une stratégie du package d’accès existant.

Notes

Sélectionnez Nouveau package d’accès si vous souhaitez créer un package d’accès. Si vous souhaitez en savoir plus sur la création d’un package d’accès, consultez : Créer un package d’accès dans la gestion des droits d’utilisation. Pour plus d’informations sur la modification d’un package d’accès existant, consultez : Modifier les paramètres de requête d’un package d’accès dans la fonctionnalité de gestion des droits d’utilisation Microsoft Entra.

Inscrire une application avec des secrets dans le centre d’administration Microsoft Entra

Conseil

Les étapes décrites dans cet article pourraient varier légèrement en fonction du portail de départ.

Avec Azure, vous pouvez utiliser Azure Key Vault pour stocker des secrets d’application tels que des mots de passe. Pour inscrire une application avec des secrets dans le Centre d’administration Microsoft Entra, procédez comme suit :

1. Connectez-vous au centre d’administration de Microsoft Entra en tant qu’Administrateur de la gouvernance des identités.

2. Accédez à Identité>Applications>Inscriptions d’applications.

3. Sous Gérer, sélectionnez Inscriptions d’applications > Nouvelle inscription.

4. Entrez un nom d’affichage pour votre application.

5. Sélectionnez « Comptes dans ce répertoire organisationnel uniquement » dans le type de compte pris en charge.

6. Sélectionnez Inscription.

Après avoir inscrit votre application, vous devez ajouter une clé secrète client en procédant comme suit :

1. Accédez à Identité>Applications>Inscriptions d’applications.

2. sélectionnez votre application.

3. Sélectionnez Certificats et secrets > Clé secrète client > Nouvelle clé secrète client.

4. Ajoutez une description pour votre clé secrète client.

5. Sélectionnez un délai d’expiration pour le secret ou spécifiez une durée de vie personnalisée.

6. Sélectionnez Ajouter.

Notes

Pour obtenir des informations plus détaillées sur l’inscription d’une application, consultez Démarrage rapide : Inscrire une application dans la plateforme d'identités Microsoft :

Pour autoriser l’application créée à appeler l’API de reprise MS Graph, procédez comme suit :

1. Accédez à Microsoft Entra centre d’administration Gouvernance des identités – centre d’administration Microsoft Entra

2. Dans le menu de gauche, sélectionnez Catalogues.

3. Sélectionnez le catalogue pour lequel vous avez ajouté l’extension personnalisée.

4. Sélectionnez le menu « Rôles et administrateurs », puis sélectionnez « + Ajouter le gestionnaire d’affectation de package d’accès ».

5. Dans la boîte de dialogue Sélectionner des membres, recherchez l’application créée par nom ou Identificateur d’application. Sélectionnez l’application et choisissez le bouton « Sélectionner ».

Conseil

Vous trouverez des informations plus détaillées sur la délégation et les rôles dans la documentation officielle de Microsoft disponible ici : Délégation et rôles dans la gestion des droits d’utilisation.

Configuration de ServiceNow pour l’Authentification Automation

À ce stade, il est temps de configurer ServiceNow pour la reprise du flux de travail de gestion des droits d’utilisation après la fermeture du ticket ServiceNow :

1. Inscrivez une application Microsoft Entra dans le Registre d’applications ServiceNow en procédant comme suit :
   1. Connectez-vous à ServiceNow et accédez au Registre des applications.
   2. Sélectionnez « Nouveau », puis « Se connecter à un fournisseur OAuth tiers ».
   3. Fournissez un nom pour l’application, puis sélectionnez Informations d’identification du client dans le type d’autorisation par défaut.
   4. Entrez le nom du client, l’ID, la clé secrète client, l’URL d’autorisation et l’URL du jeton générés lors de l’inscription de l’application Microsoft Entra dans le Centre d’administration Microsoft Entra.
   5. Envoyez l’application.
2. Créez un message d’API REST du service web du système en procédant comme suit :
   1. Accédez à la section Messages de l’API REST sous Services web du système.
   2. Sélectionnez le bouton « Nouveau » pour créer un nouveau message d’API REST.
   3. Renseignez tous les champs obligatoires, notamment en fournissant l’URL du point de terminaison : https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/${AccessPackageAssignmentRequestId}/resume
   4. Pour Authentification, sélectionnez OAuth2.0 et choisissez le profil OAuth qui a été créé pendant le processus d’inscription de l’application.
   5. Sélectionnez le bouton « Envoyer » pour enregistrer les modifications.
   6. Retournez à la section Messages de l’API REST sous Services web du système.
   7. Sélectionnez Requête HTTP, puis « Nouveau ». Entrez un nom, puis sélectionnez « POST » comme méthode HTTP.
   8. Dans la requête HTTP, ajoutez le contenu des paramètres de requête HTTP à l’aide du schéma d’API suivant :

      {
      "data": {
          "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
          "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
          "customExtensionStageInstanceId": "${StageInstanceId}",
          "stage": "${Stage}"
                },
                "source": "ServiceNow",
                  "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
                  }
      

   9. Sélectionnez « Envoyer » pour enregistrer les modifications.
3. Modifiez le schéma de table de requête : pour modifier le schéma de la table de requête, apportez des modifications aux trois tables affichées dans l’image suivante : Ajoutez l’étiquette et le type des trois colonnes sous forme de chaîne :
   • AccessPackageAssignmentRequestId
   • AccessPackageAssignmentStage
   • StageInstanceId
4. Pour automatiser le flux de travail avec Flow Designer, procédez comme suit :
   1. Connectez-vous à ServiceNow et accédez à Flow Designer.
   2. Sélectionnez le bouton « Nouveau » et créez une nouvelle action.
   3. Ajoutez une action pour appeler le message d’API REST du service web du système créé lors de l’étape précédente. Script pour l’action : (mettez à jour le script avec les étiquettes de colonne créées à l’étape précédente) :

      (function execute(inputs, outputs) {
          gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
          gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
          gs.info("Stage: " + inputs['assignmentstage']);
          var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
          r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
          r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
          r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
          var response = r.execute();
          var responseBody = response.getBody();
          var httpStatus = response.getStatusCode();
          var requestBody =  r.getRequestBody();
          gs.info("requestBody: " + requestBody);
          gs.info("responseBody: " + responseBody);
          gs.info("httpStatus: " + httpStatus);
          })(inputs, outputs); 
      

   4. Enregistrez l’action
   5. Sélectionnez le bouton « Nouveau » pour créer un nouveau flux.
   6. Entrez le nom du flux, sélectionnez Exécuter en tant qu’Utilisateur système, puis sélectionnez Envoyer.
5. Pour créer des déclencheurs dans ServiceNow, procédez comme suit :
   1. Sélectionnez « Ajouter un déclencheur », puis sélectionnez le déclencheur « mis à jour » et exécutez le déclencheur pour chaque mise à jour.
   2. Ajoutez une condition de filtrage en mettant à jour la condition comme indiqué dans l’image suivante :
   3. Sélectionnez Terminé.
   4. Sélectionnez ajouter une action
   5. Sélectionnez l’Action, puis sélectionnez l’action créée lors de l’étape précédente.
   6. Faites glisser et déposez les colonnes nouvellement créées de l’enregistrement de requête vers les paramètres d’action appropriés.
   7. Sélectionnez « Terminé », « Enregistrer », puis « Activer ».

Requête d’accès à un package d’accès en tant qu’utilisateur final

Lorsqu’un utilisateur final demande l’accès à un package d’accès, la demande est envoyée à l’approbateur approprié. Une fois que l’approbateur a accordé l’approbation, la gestion des droits d’utilisation appelle l’Application logique. L’Application logique appelle ensuite ServiceNow pour créer une nouvelle requête/un ticket et la gestion des droits d’utilisation attend un rappel de ServiceNow.

Réception de l’accès au package d’accès demandé en tant qu’utilisateur final

L’équipe de support informatique travaille sur la création de ticket ci-dessus pour effectuer les provisions nécessaires et fermer le ticket ServiceNow. Lorsque le ticket est fermé, ServiceNow déclenche un appel pour reprendre le flux de travail de gestion des droits d’utilisation. Une fois la requête terminée, le demandeur reçoit une notification de la gestion des droits d’utilisation indiquant que la requête a été satisfaite. Ce flux de travail simplifié garantit que les requêtes d’accès sont traitées efficacement et que les utilisateurs sont avertis rapidement.

Notes

L’utilisateur final verra « échec de l’affectation » dans le portail MyAccess si le ticket n’est pas fermé dans les 14 jours.

Étapes suivantes

Passez à l’article suivant pour découvrir comment créer...

Déclencher des applications logiques (Logic Apps) avec des extensions personnalisées dans la gestion des droits d’utilisation