Configurare ServiceNow per il provisioning utenti automatico

Questo articolo descrive i passaggi da eseguire sia in ServiceNow che nell'ID Microsoft Entra per configurare il provisioning utenti automatico. Quando microsoft Entra ID è configurato, effettua automaticamente il provisioning e il deprovisioning di utenti e gruppi in ServiceNow usando il servizio di provisioning Microsoft Entra.

Per altre informazioni sul servizio di provisioning utenti automatico di Microsoft Entra, vedere Automatizzare il provisioning e il deprovisioning degli utenti nelle applicazioni SaaS con Microsoft Entra ID.

Capacità supportate

  • Creare utenti in ServiceNow.
  • Rimuovere gli utenti in ServiceNow quando non hanno più bisogno dell'accesso.
  • Mantenere sincronizzati gli attributi utente tra Microsoft Entra ID e ServiceNow.
  • Effettuare il provisioning di gruppi e appartenenze a gruppi in ServiceNow.
  • Consentire l'accesso Single Sign-On a ServiceNow (scelta consigliata).

Prerequisiti

Nota

Questa integrazione è disponibile anche per l'uso dall'ambiente cloud US Government di Microsoft Entra. È possibile trovare questa applicazione nella raccolta di applicazioni cloud US Government di Microsoft Entra e configurarla con la stessa procedura usata dal cloud pubblico.

Passaggio 1: Pianificare la distribuzione del provisioning

Passaggio 2: Configurare ServiceNow per supportare il provisioning con Microsoft Entra ID

  1. Identificare il nome dell'istanza di ServiceNow. Il nome dell'istanza è disponibile nell'URL usato per accedere a ServiceNow. Nell'esempio seguente il nome dell'istanza è dev35214.

    Screenshot che mostra un'istanza di ServiceNow.

  2. Ottenere le credenziali per un amministratore in ServiceNow. Passare al profilo utente in ServiceNow e verificare che l'utente abbia il ruolo di amministratore.

    Screenshot che mostra un ruolo di amministratore di ServiceNow.

Aggiungere ServiceNow dalla raccolta di applicazioni Microsoft Entra per iniziare a gestire il provisioning in ServiceNow. Se in precedenza si configura ServiceNow per l'accesso Single Sign-On (SSO), è possibile usare la stessa applicazione. Tuttavia, è consigliabile creare un'app separata durante il test dell'integrazione. Altre informazioni sull'aggiunta di un'applicazione dalla raccolta.

Passaggio 4: Definire chi sarà nell'ambito del provisioning

Il servizio di provisioning Di Microsoft Entra consente di definire l'ambito di cui verrà effettuato il provisioning in base all'assegnazione all'applicazione o in base agli attributi dell'utente o del gruppo. Se si sceglie di definire l'ambito di chi verrà effettuato il provisioning nell'app in base all'assegnazione, è possibile usare la procedura per assegnare utenti e gruppi all'applicazione. Se si sceglie di definire l'ambito di chi verrà effettuato il provisioning in base esclusivamente agli attributi dell'utente o del gruppo, è possibile usare un filtro di ambito.

Tenere presenti i suggerimenti seguenti:

  • Quando si assegnano utenti e gruppi a ServiceNow, è necessario selezionare un ruolo diverso da Accesso predefinito. Gli utenti con il ruolo Accesso predefinito vengono esclusi dal provisioning e verranno contrassegnati come non autorizzati nei log di provisioning. Se l'unico ruolo disponibile nell'applicazione è il ruolo Accesso predefinito, è possibile aggiornare il manifesto dell'applicazione per aggiungere altri ruoli.

  • Se sono necessari ruoli aggiuntivi, è possibile aggiornare il manifesto dell'applicazione per aggiungere nuovi ruoli.

Passaggio 5: Configurare il provisioning utenti automatico in ServiceNow

Questa sezione illustra i passaggi per configurare il servizio di provisioning di Microsoft Entra per creare, aggiornare e disabilitare utenti e gruppi in TestApp. È possibile basare la configurazione sulle assegnazioni di utenti e gruppi in Microsoft Entra ID.

Per configurare il provisioning utenti automatico per ServiceNow in Microsoft Entra ID:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore applicazione cloud.

  2. Passare a Applicazioni di identità>Applicazioni>aziendali.

    Screenshot che mostra il riquadro Applicazioni aziendali.

  3. Nell'elenco delle applicazioni selezionare ServiceNow.

  4. Selezionare la scheda Provisioning.

  5. Impostare Modalità di provisioning su Automatico.

  6. Nella sezione Amministrazione Credentials (Credenziali) immettere le credenziali di amministratore e il nome utente di ServiceNow. Selezionare Test Connessione ion per assicurarsi che Microsoft Entra ID possa connettersi a ServiceNow. Se la connessione non riesce, verificare che l'account ServiceNow disponga delle autorizzazioni di amministratore e riprovare.

  7. Nel campo Indirizzo di posta elettronica per le notifiche immettere l'indirizzo di posta elettronica di una persona o di un gruppo che riceverà le notifiche di errore relative al provisioning. Selezionare quindi la casella di controllo Invia una notifica tramite posta elettronica quando si verifica un errore.

  8. Seleziona Salva.

  9. Nella sezione Mapping selezionare Synchronize Microsoft Entra users to ServiceNow (Sincronizza utenti di Microsoft Entra con ServiceNow).

  10. Esaminare gli attributi utente sincronizzati da Microsoft Entra ID a ServiceNow nella sezione Mapping attributi . Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in ServiceNow per le operazioni di aggiornamento.

    Se si sceglie di modificare l'attributo di destinazione corrispondente, è necessario assicurarsi che l'API ServiceNow supporti il filtro degli utenti in base a tale attributo.

    Selezionare il pulsante Salva per eseguire il commit delle modifiche.

  11. Nella sezione Mapping selezionare Synchronize Microsoft Entra groups to ServiceNow (Sincronizza gruppi di Microsoft Entra con ServiceNow).

  12. Esaminare gli attributi del gruppo sincronizzati da Microsoft Entra ID a ServiceNow nella sezione Mapping attributi . Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con i gruppi in ServiceNow per le operazioni di aggiornamento. Selezionare il pulsante Salva per eseguire il commit delle modifiche.

  13. Per configurare i filtri di definizione dell'ambito, vedere le istruzioni riportate in questa esercitazione.

  14. Per abilitare il servizio di provisioning Di Microsoft Entra per ServiceNow, impostare Stato del provisioning su Sì nella sezione Impostazioni.

  15. Definire gli utenti e i gruppi di cui si vuole eseguire il provisioning in ServiceNow scegliendo i valori desiderati in Ambito nella sezione Impostazioni.

    Screenshot che mostra le opzioni per l'ambito di provisioning.

  16. Quando si è pronti per eseguire il provisioning, selezionare Salva.

L'operazione avvia il ciclo di sincronizzazione iniziale di tutti gli utenti e i gruppi definiti in Ambito nella sezione Impostazioni. Il ciclo iniziale richiede più tempo rispetto ai cicli successivi. I cicli successivi si verificano circa ogni 40 minuti, purché il servizio di provisioning di Microsoft Entra sia in esecuzione.

Passaggio 6: Monitorare la distribuzione

Dopo aver configurato il provisioning, usare le risorse seguenti per monitorare la distribuzione:

  • Usare i log di provisioning per determinare gli utenti di cui è stato eseguito il provisioning con esito positivo o negativo.
  • Controllare l'indicatore di stato per visualizzare lo stato del ciclo di provisioning e quanto manca al completamento.
  • Se la configurazione del provisioning sembra essere in uno stato non integro, l'applicazione entrerà in quarantena. Altre informazioni sugli stati di quarantena.

Suggerimenti per la risoluzione dei problemi

  • Quando si esegue il provisioning di determinati attributi,ad esempio Department e Location, in ServiceNow i valori devono esistere già in una tabella di riferimento in ServiceNow. In caso contrario, verrà visualizzato un errore InvalidLookupReference .

    Ad esempio, potrebbero essere presenti due posizioni (Seattle, Los Angeles) e tre reparti (Sales, Finance, Marketing) in una determinata tabella di ServiceNow. Se si tenta di effettuare il provisioning di un utente il cui reparto è "Sales" e la cui posizione è "Seattle", verrà eseguito correttamente il provisioning dell'utente. Se si tenta di effettuare il provisioning di un utente il cui reparto è "Sales" e la cui posizione è "LA", l'utente non verrà sottoposto a provisioning. Il percorso "LA" deve essere aggiunto alla tabella di riferimento in ServiceNow oppure l'attributo utente in Microsoft Entra ID deve essere aggiornato in modo che corrisponda al formato in ServiceNow.

  • Se viene visualizzato un errore EntryJoiningPropertyValueIsMissing , esaminare i mapping degli attributi per identificare l'attributo corrispondente. Questo valore deve essere presente nell'utente o nel gruppo di cui si sta provando a eseguire il provisioning.

  • Per comprendere eventuali requisiti o limitazioni (ad esempio, il formato per specificare un codice paese per un utente), vedere l'API SOAP ServiceNow.

  • Per impostazione predefinita, le richieste di provisioning vengono inviate a https://{nome-istanza}.service-now.com/{nome-tabella}. Se è necessario un URL tenant personalizzato, è possibile specificare l'intero URL come nome dell'istanza.

  • L'errore ServiceNowInstanceInvalid indica un problema durante la comunicazione con l'istanza di ServiceNow. Ecco il testo dell'errore:

    Details: Your ServiceNow instance name appears to be invalid. Please provide a current ServiceNow administrative user name and password along with the name of a valid ServiceNow instance.

    Se si verificano problemi di connessione, provare a selezionare No per le impostazioni seguenti in ServiceNow:

    • Impostazioni di sicurezza elevata per la>sicurezza>del sistema Richiedere l'autenticazione di base per le richieste SCHEMA in ingresso

    • Proprietà>di sistema Servizi>Web Richiedi autorizzazione di base per le richieste SOAP in ingresso

      Screenshot che mostra l'opzione per autorizzare le richieste SOAP.

    Se non è ancora possibile risolvere il problema, contattare il supporto di ServiceNow e chiedere loro di attivare il debug SOAP per facilitare la risoluzione dei problemi.

  • Il servizio di provisioning Microsoft Entra opera attualmente in intervalli IP specifici. Se necessario, è possibile limitare altri intervalli IP e aggiungere questi intervalli IP specifici all'elenco consenti dell'applicazione. Questa tecnica consentirà il flusso del traffico dal servizio di provisioning Microsoft Entra all'applicazione.

  • Le istanze self-hosted di ServiceNow non sono supportate.

  • Quando viene effettuato il provisioning di un aggiornamento dell'attributo attivo in ServiceNow, anche l'attributo locked_out viene aggiornato di conseguenza, anche se locked_out non viene mappato nel servizio di provisioning di Azure.

Risorse aggiuntive

Passaggi successivi