Tutorial: Pembuatan Tiket ServiceNow Otomatis dengan Microsoft Entra Entitlement Management Integration

Skenario: Dalam skenario ini Anda mempelajari cara menggunakan ekstensibilitas kustom, dan Aplikasi Logika, untuk secara otomatis menghasilkan tiket ServiceNow untuk provisi manual pengguna yang telah menerima penugasan dan memerlukan akses ke aplikasi.

Dalam tutorial ini Anda akan mempelajari:

• Menambahkan Alur Kerja Aplikasi Logika ke katalog yang sudah ada.
• Menambahkan ekstensi kustom ke kebijakan dalam paket akses yang ada.
• Mendaftarkan aplikasi di ID Microsoft Entra untuk dilanjutkan alur kerja Pengelolaan Pemberian Pemberian Izin
• Mengonfigurasi ServiceNow untuk Autentikasi Otomatisasi.
• Meminta akses ke paket akses sebagai pengguna akhir.
• Menerima akses ke paket akses yang diminta sebagai pengguna akhir.

Prasyarat

• Akun pengguna Microsoft Entra dengan langganan Azure aktif. Jika Anda belum memilikinya, Anda dapat Membuat akun secara gratis.
• Salah satu peran berikut: Administrator Global, Administrator Aplikasi Cloud, Administrator Aplikasi, atau pemilik perwakilan layanan.
• Instans ServiceNow dari Roma atau yang lebih tinggi
• Integrasi SSO dengan ServiceNow. Jika ini belum dikonfigurasi, lihat:Tutorial: Integrasi akses menyeluruh (SSO) Microsoft Entra dengan ServiceNow sebelum melanjutkan.

Catatan

Disarankan untuk menggunakan peran hak istimewa paling sedikit saat menyelesaikan langkah-langkah ini.

Menambahkan Alur Kerja Aplikasi Logika ke Katalog yang sudah ada untuk Pengelolaan Pemberian Izin

Alur kerja Aplikasi Logika dapat ditambahkan ke katalog yang sudah ada. Untuk informasi selengkapnya tentang cara membuat katalog baru, lihat: Membuat dan mengelola katalog sumber daya dalam pengelolaan pemberian izin.

Setelah katalog dibuat, Anda akan menambahkan alur kerja Aplikasi Logika dengan melakukan langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

   Tip

   Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog dan pemilik grup Sumber Daya.

2. Di menu sebelah kiri, pilih Katalog.

3. Pilih katalog yang ingin Anda tambahkan ekstensi kustomnya lalu di menu sebelah kiri, pilih Ekstensi Kustom.

4. Di bilah navigasi tajuk, pilih Tambahkan Ekstensi Khusus.

5. Di tab Dasar , masukkan nama ekstensi kustom dan deskripsi alur kerja. Bidang-bidang ini muncul di tab Ekstensi Kustom dari Katalog.

6. Pilih Jenis Ekstensi sebagai "Minta alur kerja" agar sesuai dengan tahap kebijakan paket akses yang diminta dibuat.

7. Pilih Luncurkan dan tunggu di Konfigurasi Ekstensi yang akan menjeda tindakan paket akses terkait hingga setelah Aplikasi Logika yang ditautkan ke ekstensi menyelesaikan tugasnya, dan tindakan lanjutkan dikirim oleh admin untuk melanjutkan proses. Untuk informasi selengkapnya tentang proses ini, lihat: Mengonfigurasi ekstensi kustom yang menjeda proses pengelolaan pemberian izin.

8. Di tab Detail , pilih Ya di bidang "Buat Aplikasi logika baru". Tambahkan nama untuk Aplikasi Logika, bersama dengan langganan, dan grup sumber daya, tempat Anda meletakkannya.

9. Di Tinjau dan Buat, tinjau ringkasan ekstensi kustom Anda dan pastikan detail untuk Aplikasi Logika Anda, dan panggilan keluar, sudah benar. Setelah meninjau detail ini, pilih Buat.

10. Setelah dibuat, Aplikasi Logika dapat diakses di bawah Aplikasi Logika di samping ekstensi kustom di halaman ekstensi kustom. Anda dapat memanggil ini dalam kebijakan paket akses.

Tip

Untuk mempelajari selengkapnya tentang fitur ekstensi kustom yang menjeda proses pengelolaan pemberian izin, lihat: Mengonfigurasi ekstensi kustom yang menjeda proses pengelolaan pemberian izin.

Menambahkan Ekstensi Kustom ke kebijakan dalam Paket Akses yang sudah ada

Setelah menyiapkan ekstensibilitas kustom di katalog, administrator dapat membuat paket akses dengan kebijakan untuk memicu ekstensi kustom saat permintaan telah disetujui. Ini memungkinkan mereka untuk menentukan persyaratan akses tertentu dan menyesuaikan proses tinjauan akses untuk memenuhi kebutuhan organisasi mereka.

1. Di portal Tata Kelola Identitas sebagai setidaknya Administrator Tata Kelola Identitas, pilih Paket akses.

   Tip

   Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog dan manajer paket Akses.

2. Pilih paket akses yang akan Anda tambahkan ekstensi khusus (Aplikasi Logika) dari daftar paket akses yang telah dibuat.

3. Ubah ke tab kebijakan, pilih kebijakan, dan pilih Edit.

4. Di pengaturan kebijakan, buka tab Ekstensi Kustom.

5. Pada menu di bawah Tahapan, pilih peristiwa paket akses yang ingin Anda gunakan sebagai pemicu untuk ekstensi khusus ini (Aplikasi Logika). Untuk skenario kami, untuk memicu alur kerja Aplikasi Logika ekstensi kustom saat paket akses telah disetujui, pilih Permintaan disetujui.

   Catatan

   Untuk membuat tiket ServiceNow untuk penugasan kedaluwarsa yang memiliki izin yang diberikan sebelumnya, tambahkan tahap baru untuk "Penugasan dihapus", lalu pilih LogicApp.

6. Di menu di bawah Ekstensi Kustom, pilih ekstensi kustom (Aplikasi Logika) yang Anda buat di langkah-langkah di atas untuk ditambahkan ke paket akses ini. Tindakan yang Anda pilih dijalankan saat peristiwa dipilih di bidang kapan terjadi.

7. Pilih Perbarui jika Anda ingin menambahkannya ke kebijakan paket akses yang ada.

Catatan

Pilih Paket akses baru jika Anda ingin membuat paket akses baru. Untuk informasi selengkapnya tentang cara membuat paket akses, lihat: Membuat paket akses baru dalam pengelolaan pemberian hak. Untuk informasi selengkapnya tentang cara mengedit paket akses yang sudah ada, lihat: Mengubah pengaturan permintaan untuk paket akses di pengelolaan pemberian hak Microsoft Entra.

Mendaftarkan aplikasi dengan rahasia di pusat admin Microsoft Entra

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Dengan Azure, Anda dapat menggunakan Azure Key Vault untuk menyimpan rahasia aplikasi seperti kata sandi. Untuk mendaftarkan aplikasi dengan rahasia dalam pusat admin Microsoft Entra, ikuti langkah-langkah berikut:

1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.

2. Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.

3. Di bawah Kelola, pilih Pendaftaran aplikasi > Pendaftaran baru.

4. Masukkan Nama tampilan aplikasi Anda.

5. Pilih "Akun dalam direktori organisasi ini saja" dalam jenis akun yang didukung.

6. Pilih Daftarkan.

Setelah mendaftarkan aplikasi, Anda harus menambahkan rahasia klien dengan mengikuti langkah-langkah berikut:

1. Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.

2. pilih aplikasi Anda.

3. Pilih Sertifikat & rahasia > Rahasia > klien Rahasia klien baru.

4. Tambahkan deskripsi untuk rahasia klien Anda.

5. Pilih kedaluwarsa untuk rahasia atau tentukan masa pakai kustom.

6. Pilih Tambahkan.

Catatan

Untuk menemukan informasi lebih rinci tentang mendaftarkan aplikasi, lihat: Mulai Cepat: Mendaftarkan aplikasi di platform identitas Microsoft:

Untuk mengotorisasi aplikasi yang dibuat untuk memanggil API resume MS Graph, Anda akan melakukan langkah-langkah berikut:

1. Menavigasi ke Pusat admin Microsoft Entra Identity Governance - Pusat admin Microsoft Entra

2. Di menu sebelah kiri, pilih Katalog.

3. Pilih katalog yang telah Anda tambahkan ekstensi kustomnya.

4. Pilih menu "Peran dan administrator" dan pilih "+ Tambahkan manajer penetapan paket akses".

5. Dalam kotak dialog Pilih anggota, cari aplikasi yang dibuat berdasarkan nama atau Pengidentifikasi aplikasi. Pilih aplikasi dan pilih tombol "Pilih" .

Tip

Anda dapat menemukan informasi lebih rinci tentang delegasi dan peran pada dokumentasi resmi Microsoft yang terletak di sini: Delegasi dan peran dalam pengelolaan pemberian hak.

Mengonfigurasi ServiceNow untuk Autentikasi Otomatisasi

Pada titik ini, saatnya untuk mengonfigurasi ServiceNow untuk mengambil kembali alur kerja pengelolaan pemberian hak setelah penutupan tiket ServiceNow:

1. Daftarkan aplikasi Microsoft Entra di ServiceNow Application Registry dengan mengikuti langkah-langkah berikut:
   1. Masuk ke ServiceNow dan navigasikan ke Registri Aplikasi.
   2. Pilih "Baru" lalu pilih "Sambungkan ke Penyedia OAuth pihak ketiga".
   3. Berikan nama untuk aplikasi, dan pilih Kredensial Klien dalam jenis Pemberian Default.
   4. Masukkan Nama Klien, ID, Rahasia Klien, URL Otorisasi, URL Token yang dihasilkan saat Anda mendaftarkan aplikasi Microsoft Entra di pusat admin Microsoft Entra.
   5. Kirimkan aplikasi.
2. Buat pesan SYSTEM Web Service REST API dengan mengikuti langkah-langkah berikut:
   1. Buka bagian Pesan REST API di bawah System Web Services.
   2. Pilih tombol "Baru" untuk membuat pesan REST API baru.
   3. Isi semua bidang yang diperlukan, yang mencakup penyediaan URL Titik Akhir: https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/${AccessPackageAssignmentRequestId}/resume
   4. Untuk Autentikasi, pilih OAuth2.0 dan pilih profil OAuth yang dibuat selama proses pendaftaran aplikasi.
   5. Pilih tombol "Kirim" untuk menyimpan perubahan.
   6. Kembali ke bagian Pesan REST API di bawah System Web Services.
   7. Pilih Permintaan Http lalu pilih "Baru". Masukkan nama, dan pilih "POST" sebagai metode Http.
   8. Dalam permintaan Http, tambahkan konten untuk parameter kueri Http menggunakan Skema API berikut:

      {
      "data": {
          "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
          "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
          "customExtensionStageInstanceId": "${StageInstanceId}",
          "stage": "${Stage}"
                },
                "source": "ServiceNow",
                  "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
                  }
      

   9. Pilih "Kirim" untuk menyimpan perubahan.
3. Ubah skema tabel permintaan: Untuk mengubah skema tabel permintaan, buat perubahan pada tiga tabel yang diperlihatkan dalam gambar berikut: Tambahkan label tiga kolom dan ketik sebagai string:
   • AccessPackageAssignmentRequestId
   • AccessPackageAssignmentStage
   • StageInstanceId
4. Untuk mengotomatiskan alur kerja dengan Flow Designer, Anda akan melakukan hal berikut:
   1. Masuk ke ServiceNow dan buka Flow Designer.
   2. Pilih tombol "Baru" dan buat tindakan baru.
   3. Tambahkan tindakan untuk memanggil pesan SYSTEM Web Service REST API yang dibuat di langkah sebelumnya. Skrip untuk tindakan: (Perbarui skrip dengan label Kolom yang dibuat di langkah sebelumnya):

      (function execute(inputs, outputs) {
          gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
          gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
          gs.info("Stage: " + inputs['assignmentstage']);
          var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
          r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
          r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
          r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
          var response = r.execute();
          var responseBody = response.getBody();
          var httpStatus = response.getStatusCode();
          var requestBody =  r.getRequestBody();
          gs.info("requestBody: " + requestBody);
          gs.info("responseBody: " + responseBody);
          gs.info("httpStatus: " + httpStatus);
          })(inputs, outputs); 
      

   4. Simpan Tindakan
   5. Pilih tombol "Baru" untuk membuat alur baru.
   6. Masukkan nama alur, pilih Jalankan sebagai – Pengguna Sistem dan pilih kirim.
5. Untuk membuat pemicu dalam ServiceNow, Anda akan mengikuti langkah-langkah berikut:
   1. Pilih "Tambahkan Pemicu" lalu pilih pemicu "diperbarui" dan jalankan pemicu untuk setiap pembaruan.
   2. Tambahkan kondisi filter dengan memperbarui kondisi seperti yang ditunjukkan pada gambar berikut:
   3. Pilih selesai.
   4. Pilih tambahkan tindakan
   5. Pilih Tindakan lalu pilih tindakan yang dibuat di langkah sebelumnya.
   6. Seret dan letakkan kolom yang baru dibuat dari rekaman permintaan ke parameter tindakan yang sesuai.
   7. Pilih "Selesai", "Simpan" lalu "Aktifkan".

Meminta akses ke paket akses sebagai pengguna akhir

Saat pengguna akhir meminta akses ke paket akses, permintaan dikirim ke pemberi izin yang sesuai. Setelah pemberi persetujuan memberikan persetujuan, Pengelolaan Pemberian Hak memanggil Aplikasi Logika. Aplikasi Logika kemudian memanggil ServiceNow untuk membuat permintaan/tiket baru dan Pengelolaan Pemberian Izin menunggu panggilan balik dari ServiceNow.

Menerima akses ke paket akses yang diminta sebagai pengguna akhir

Tim Dukungan TI bekerja pada tiket sebelumnya yang dibuat untuk melakukan provisi yang diperlukan, dan menutup tiket ServiceNow. Saat tiket ditutup, ServiceNow memicu panggilan untuk melanjutkan alur kerja Pengelolaan Pemberian Izin. Setelah permintaan selesai, pemohon menerima pemberitahuan dari pengelolaan pemberian izin bahwa permintaan telah terpenuhi. Alur kerja yang disederhanakan ini memastikan bahwa permintaan akses terpenuhi secara efisien, dan pengguna segera diberi tahu.

Catatan

Pengguna akhir akan melihat "penugasan gagal" di portal MyAccess jika tiket tidak ditutup dalam waktu 14 hari.

Langkah berikutnya

Lanjutkan ke artikel berikutnya untuk mempelajari cara membuat...

Memicu Logic Apps dengan ekstensi kustom dalam pengelolaan pemberian izin