Tutorial: Pembuatan Tiket ServiceNow Otomatis dengan Microsoft Entra Entitlement Management Integration
Skenario: Dalam skenario ini Anda mempelajari cara menggunakan ekstensibilitas kustom, dan Aplikasi Logika, untuk secara otomatis menghasilkan tiket ServiceNow untuk provisi manual pengguna yang telah menerima penugasan dan memerlukan akses ke aplikasi.
Dalam tutorial ini, Anda akan mempelajari cara:
- Menambahkan Alur Kerja Aplikasi Logika ke katalog yang sudah ada.
- Menambahkan ekstensi kustom ke kebijakan dalam paket akses yang ada.
- Mendaftarkan aplikasi di ID Microsoft Entra untuk dilanjutkan alur kerja Pengelolaan Pemberian Izin
- Mengonfigurasi ServiceNow untuk Autentikasi Otomatisasi.
- Meminta akses ke paket akses sebagai pengguna akhir.
- Menerima akses ke paket akses yang diminta sebagai pengguna akhir.
Prasyarat
- Akun pengguna Microsoft Entra dengan langganan Azure aktif. Jika Anda belum memilikinya, Anda dapat Membuat akun secara gratis.
- Salah satu peran berikut: Administrator Global, Administrator Aplikasi Cloud, Administrator Aplikasi, atau pemilik perwakilan layanan.
- Instans ServiceNow dari Roma atau yang lebih tinggi
- Integrasi SSO dengan ServiceNow. Jika ini belum dikonfigurasi, lihat:Tutorial: Integrasi akses menyeluruh (SSO) Microsoft Entra dengan ServiceNow sebelum melanjutkan.
Catatan
Disarankan untuk menggunakan peran hak istimewa paling sedikit saat menyelesaikan langkah-langkah ini.
Menambahkan Alur Kerja Aplikasi Logika ke Katalog yang sudah ada untuk Pengelolaan Pemberian Izin
Untuk menambahkan alur kerja Aplikasi Logika ke katalog yang sudah ada, gunakan templat ARM untuk pembuatan Aplikasi Logika di sini:
.
Berikan langganan Azure, detail grup sumber daya, bersama dengan nama Aplikasi Logika dan ID Katalog untuk mengaitkan Aplikasi Logika dengan dan pilih pembelian. Untuk informasi selengkapnya tentang cara membuat katalog baru, ikuti langkah-langkah dalam dokumen ini: Membuat dan mengelola katalog sumber daya dalam pengelolaan pemberian izin.
Buka Microsoft Entra admin center Identity Governance - Pusat admin Microsoft Entra sebagai setidaknya peran Administrator Tata Kelola Identitas.
Tip
Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog dan pemilik grup Sumber Daya.
Di menu sebelah kiri, pilih Katalog.
Pilih katalog yang ingin Anda tambahkan ekstensi kustomnya lalu di menu sebelah kiri, pilih Ekstensi Kustom.
Di bilah navigasi tajuk, pilih Tambahkan Ekstensi Khusus.
Di tab Dasar , masukkan nama ekstensi kustom dan deskripsi alur kerja. Bidang-bidang ini muncul di tab Ekstensi Kustom dari Katalog.
Pilih Jenis Ekstensi sebagai "Minta alur kerja" agar sesuai dengan tahap kebijakan paket akses yang diminta dibuat.
Pilih Luncurkan dan tunggu di Konfigurasi Ekstensi yang akan menjeda tindakan paket akses terkait hingga setelah Aplikasi Logika yang ditautkan ke ekstensi menyelesaikan tugasnya, dan tindakan lanjutkan dikirim oleh admin untuk melanjutkan proses. Untuk informasi selengkapnya tentang proses ini, lihat: Mengonfigurasi ekstensi kustom yang menjeda proses pengelolaan pemberian izin.
Di tab Detail , pilih Tidak di bidang "Buat aplikasi logika baru" karena Aplikasi Logika telah dibuat di langkah-langkah sebelumnya. Namun, Anda perlu memberikan detail grup langganan dan sumber daya Azure, bersama dengan nama Aplikasi Logika.
Di Tinjau dan Buat, tinjau ringkasan ekstensi kustom Anda dan pastikan detail untuk panggilan Aplikasi Logika Anda sudah benar. Lalu pilih Buat.
Ekstensi kustom ini ke Aplikasi Logika tertaut ini sekarang muncul di tab Ekstensi Kustom Anda di bawah Katalog. Anda dapat memanggil ini dalam kebijakan paket akses.
Tip
Untuk mempelajari selengkapnya tentang fitur ekstensi kustom yang menjeda proses pengelolaan pemberian izin, lihat: Mengonfigurasi ekstensi kustom yang menjeda proses pengelolaan pemberian izin.
Menambahkan Ekstensi Kustom ke kebijakan dalam Paket Akses yang sudah ada
Setelah menyiapkan ekstensibilitas kustom di katalog, administrator dapat membuat paket akses dengan kebijakan untuk memicu ekstensi kustom saat permintaan telah disetujui. Ini memungkinkan mereka untuk menentukan persyaratan akses tertentu dan menyesuaikan proses tinjauan akses untuk memenuhi kebutuhan organisasi mereka.
Di portal Tata Kelola Identitas sebagai setidaknya Administrator Tata Kelola Identitas, pilih Paket akses.
Tip
Peran hak istimewa terkecil lainnya yang dapat menyelesaikan tugas ini termasuk pemilik Katalog dan manajer paket Akses.
Pilih paket akses yang akan Anda tambahkan ekstensi khusus (Aplikasi Logika) dari daftar paket akses yang telah dibuat.
Ubah ke tab kebijakan, pilih kebijakan, dan pilih Edit.
Di pengaturan kebijakan, buka tab Ekstensi Kustom.
Pada menu di bawah Tahapan, pilih peristiwa paket akses yang ingin Anda gunakan sebagai pemicu untuk ekstensi khusus ini (Aplikasi Logika). Untuk skenario kami, untuk memicu alur kerja Aplikasi Logika ekstensi kustom saat paket akses telah disetujui, pilih Permintaan disetujui.
Catatan
Untuk membuat tiket ServiceNow untuk penugasan kedaluwarsa yang memiliki izin yang diberikan sebelumnya, tambahkan tahap baru untuk "Penugasan dihapus", lalu pilih LogicApp.
Di menu di bawah Ekstensi Kustom, pilih ekstensi kustom (Aplikasi Logika) yang Anda buat di langkah-langkah di atas untuk ditambahkan ke paket akses ini. Tindakan yang Anda pilih dijalankan saat peristiwa dipilih di bidang kapan terjadi.
Pilih Perbarui jika Anda ingin menambahkannya ke kebijakan paket akses yang ada.
Catatan
Pilih Paket akses baru jika Anda ingin membuat paket akses baru. Untuk informasi selengkapnya tentang cara membuat paket akses, lihat: Membuat paket akses baru dalam pengelolaan pemberian hak. Untuk informasi selengkapnya tentang cara mengedit paket akses yang sudah ada, lihat: Mengubah pengaturan permintaan untuk paket akses di pengelolaan pemberian hak Microsoft Entra.
Mendaftarkan aplikasi dengan rahasia di pusat admin Microsoft Entra
Tip
Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.
Dengan Azure, Anda dapat menggunakan Azure Key Vault untuk menyimpan rahasia aplikasi seperti kata sandi. Untuk mendaftarkan aplikasi dengan rahasia dalam pusat admin Microsoft Entra, ikuti langkah-langkah berikut:
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Tata Kelola Identitas.
Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
Di bawah Kelola, pilih Pendaftaran aplikasi > Pendaftaran baru.
Masukkan Nama tampilan aplikasi Anda.
Pilih "Akun dalam direktori organisasi ini saja" dalam jenis akun yang didukung.
Pilih Daftarkan.
Setelah mendaftarkan aplikasi, Anda harus menambahkan rahasia klien dengan mengikuti langkah-langkah berikut:
Telusuri Aplikasi >Identitas>Pendaftaran aplikasi.
pilih aplikasi Anda.
Pilih Sertifikat & rahasia > Rahasia > klien Rahasia klien baru.
Tambahkan deskripsi untuk rahasia klien Anda.
Pilih kedaluwarsa untuk rahasia atau tentukan masa pakai kustom.
Pilih Tambahkan.
Catatan
Untuk menemukan informasi lebih rinci tentang mendaftarkan aplikasi, lihat: Mulai Cepat: Mendaftarkan aplikasi di platform identitas Microsoft:
Untuk mengotorisasi aplikasi yang dibuat untuk memanggil API resume MS Graph, Anda akan melakukan langkah-langkah berikut:
Menavigasi ke Pusat admin Microsoft Entra Identity Governance - Pusat admin Microsoft Entra
Di menu sebelah kiri, pilih Katalog.
Pilih katalog yang telah Anda tambahkan ekstensi kustomnya.
Pilih menu "Peran dan administrator" dan pilih "+ Tambahkan manajer penetapan paket akses".
Dalam kotak dialog Pilih anggota, cari aplikasi yang dibuat berdasarkan nama atau Pengidentifikasi aplikasi. Pilih aplikasi dan pilih tombol "Pilih" .
Tip
Anda dapat menemukan informasi lebih rinci tentang delegasi dan peran pada dokumentasi resmi Microsoft yang terletak di sini: Delegasi dan peran dalam pengelolaan pemberian hak.
Mengonfigurasi ServiceNow untuk Autentikasi Otomatisasi
Pada titik ini, saatnya untuk mengonfigurasi ServiceNow untuk mengambil kembali alur kerja pengelolaan pemberian hak setelah penutupan tiket ServiceNow:
- Daftarkan aplikasi Microsoft Entra di ServiceNow Application Registry dengan mengikuti langkah-langkah berikut:
- Masuk ke ServiceNow dan navigasikan ke Registri Aplikasi.
- Pilih "Baru" lalu pilih "Koneksi ke Penyedia OAuth pihak ketiga".
- Berikan nama untuk aplikasi, dan pilih Kredensial Klien dalam jenis Pemberian Default.
- Masukkan Nama Klien, ID, Rahasia Klien, URL Otorisasi, URL Token yang dihasilkan saat Anda mendaftarkan aplikasi Microsoft Entra di pusat admin Microsoft Entra.
- Kirimkan aplikasi.
- Buat pesan SYSTEM Web Service REST API dengan mengikuti langkah-langkah berikut:
- Buka bagian Pesan REST API di bawah System Web Services.
- Pilih tombol "Baru" untuk membuat pesan REST API baru.
- Isi semua bidang yang diperlukan, yang mencakup penyediaan URL Titik Akhir:
https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/${AccessPackageAssignmentRequestId}/resume - Untuk Autentikasi, pilih OAuth2.0 dan pilih profil OAuth yang dibuat selama proses pendaftaran aplikasi.
- Pilih tombol "Kirim" untuk menyimpan perubahan.
- Kembali ke bagian Pesan REST API di bawah System Web Services.
- Pilih Permintaan Http lalu pilih "Baru". Masukkan nama, dan pilih "POST" sebagai metode Http.
- Dalam permintaan Http, tambahkan konten untuk parameter kueri Http menggunakan Skema API berikut:
{ "data": { "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData", "customExtensionStageInstanceDetail": "Resuming-Assignment for user", "customExtensionStageInstanceId": "${StageInstanceId}", "stage": "${Stage}" }, "source": "ServiceNow", "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}" } - Pilih "Kirim" untuk menyimpan perubahan.
- Ubah skema tabel permintaan: Untuk mengubah skema tabel permintaan, buat perubahan pada tiga tabel yang diperlihatkan dalam gambar berikut:
Tambahkan label tiga kolom dan ketik sebagai string: - AccessPackageAssignmentRequestId
- AccessPackageAssignmentStage
- StageInstanceId
- Untuk mengotomatiskan alur kerja dengan Flow Designer, Anda akan melakukan hal berikut:
- Masuk ke ServiceNow dan buka Flow Designer.
- Pilih tombol "Baru" dan buat tindakan baru.
- Tambahkan tindakan untuk memanggil pesan SYSTEM Web Service REST API yang dibuat di langkah sebelumnya.
Skrip untuk tindakan: (Perbarui skrip dengan label Kolom yang dibuat di langkah sebelumnya): (function execute(inputs, outputs) { gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']); gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] ); gs.info("Stage: " + inputs['assignmentstage']); var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME'); r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']); r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] ); r.setStringParameterNoEscape('Stage', inputs['assignmentstage']); var response = r.execute(); var responseBody = response.getBody(); var httpStatus = response.getStatusCode(); var requestBody = r.getRequestBody(); gs.info("requestBody: " + requestBody); gs.info("responseBody: " + responseBody); gs.info("httpStatus: " + httpStatus); })(inputs, outputs); - Simpan Tindakan
- Pilih tombol "Baru" untuk membuat alur baru.
- Masukkan nama alur, pilih Jalankan sebagai – Pengguna Sistem dan pilih kirim.
- Untuk membuat pemicu dalam ServiceNow, Anda akan mengikuti langkah-langkah berikut:
- Pilih "Tambahkan Pemicu" lalu pilih pemicu "diperbarui" dan jalankan pemicu untuk setiap pembaruan.
- Tambahkan kondisi filter dengan memperbarui kondisi seperti yang ditunjukkan pada gambar berikut:
- Pilih selesai.
- Pilih tambahkan tindakan
- Pilih Tindakan lalu pilih tindakan yang dibuat di langkah sebelumnya.
- Seret dan letakkan kolom yang baru dibuat dari rekaman permintaan ke parameter tindakan yang sesuai.
- Pilih "Selesai", "Simpan" lalu "Aktifkan".
Meminta akses ke paket akses sebagai pengguna akhir
Saat pengguna akhir meminta akses ke paket akses, permintaan dikirim ke pemberi izin yang sesuai. Setelah pemberi persetujuan memberikan persetujuan, Pengelolaan Pemberian Hak memanggil Aplikasi Logika. Aplikasi Logika kemudian memanggil ServiceNow untuk membuat permintaan/tiket baru dan Pengelolaan Pemberian Izin menunggu panggilan balik dari ServiceNow.
Menerima akses ke paket akses yang diminta sebagai pengguna akhir
Tim Dukungan TI bekerja pada pembuatan tiket di atas untuk melakukan provisi yang diperlukan dan menutup tiket ServiceNow. Saat tiket ditutup, ServiceNow memicu panggilan untuk melanjutkan alur kerja Pengelolaan Pemberian Izin. Setelah permintaan selesai, pemohon menerima pemberitahuan dari pengelolaan pemberian izin bahwa permintaan telah terpenuhi. Alur kerja yang disederhanakan ini memastikan bahwa permintaan akses terpenuhi secara efisien, dan pengguna segera diberi tahu.
Catatan
Pengguna akhir akan melihat "penugasan gagal" di portal MyAccess jika tiket tidak ditutup dalam waktu 14 hari.
Langkah berikutnya
Lanjutkan ke artikel berikutnya untuk mempelajari cara membuat...
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk