ServiceNow configureren voor automatische gebruikersinrichting

In dit artikel worden de stappen beschreven die u moet uitvoeren in zowel ServiceNow als Microsoft Entra ID voor het configureren van automatische inrichting van gebruikers. Wanneer Microsoft Entra ID is geconfigureerd, worden gebruikers en groepen automatisch ingericht en ongedaan gemaakt voor ServiceNow met behulp van de Microsoft Entra-inrichtingsservice.

Zie Automatisch inrichten van gebruikers automatiseren en de inrichting ongedaan maken voor SaaS-toepassingen met Microsoft Entra-id voor meer informatie over de automatische inrichtingsservice van Microsoft Entra.

Ondersteunde mogelijkheden

  • Gebruikers maken in ServiceNow.
  • Verwijder gebruikers in ServiceNow wanneer ze geen toegang meer nodig hebben.
  • Gebruikerskenmerken gesynchroniseerd houden tussen Microsoft Entra ID en ServiceNow.
  • Groepen en groepslidmaatschappen inrichten in ServiceNow.
  • Eenmalige aanmelding toestaan bij ServiceNow (aanbevolen).

Vereisten

  • Een Microsoft Entra-gebruikersaccount met een actief abonnement. Als u dat nog niet hebt, kunt u gratis een account maken.
  • Een van de volgende rollen: Globale beheerder, Cloudtoepassingsbeheerder, Toepassingsbeheerder of eigenaar van de service-principal.
  • Een ServiceNow-exemplaar van Calgary of hoger.
  • Een ServiceNow Express-exemplaar van Helsinki of hoger.
  • Een gebruikersaccount in ServiceNow met de beheerdersrol.

Notitie

Deze integratie is ook beschikbaar voor gebruik vanuit de Microsoft Entra US Government Cloud-omgeving. U vindt deze toepassing in de Microsoft Entra US Government Cloud Application Gallery en configureert deze op dezelfde manier als vanuit de openbare cloud.

Stap 1: De implementatie van uw inrichting plannen

Stap 2: ServiceNow configureren ter ondersteuning van inrichting met Microsoft Entra-id

  1. Identificeer de naam van uw ServiceNow-exemplaar. U kunt de naam van het exemplaar vinden in de URL die u gebruikt voor toegang tot ServiceNow. In het volgende voorbeeld is de naam van het exemplaar dev35214.

    Screenshot that shows a ServiceNow instance.

  2. Referenties voor een beheerder in ServiceNow verkrijgen. Ga naar het gebruikersprofiel in ServiceNow en controleer of de gebruiker de beheerdersrol heeft.

    Screenshot that shows a ServiceNow admin role.

Voeg ServiceNow toe vanuit de Microsoft Entra-toepassingsgalerie om te beginnen met het inrichten voor ServiceNow. Als u ServiceNow eerder hebt ingesteld voor eenmalige aanmelding (SSO), kunt u dezelfde toepassing gebruiken. We raden u echter aan een afzonderlijke app te maken wanneer u de integratie test. Meer informatie over het toevoegen van een toepassing uit de galerie.

Stap 4: Bepalen wie er allemaal in aanmerking komen voor inrichting

Met de Microsoft Entra-inrichtingsservice kunt u bepalen wie wordt ingericht op basis van toewijzing aan de toepassing of op basis van kenmerken van de gebruiker of groep. Als u ervoor kiest om te bepalen wie wordt ingericht voor uw app op basis van toewijzing, kunt u gebruikmaken van de stappen om gebruikers en groepen aan de toepassing toe te wijzen. Als u ervoor kiest om uitsluitend op basis van kenmerken van de gebruiker of groep te bepalen wie er wordt ingericht, kunt ueen bereikfilter gebruiken.

Houd rekening met de volgende tips:

  • Wanneer u gebruikers en groepen toewijst aan ServiceNow, moet u een andere rol dan Standaardtoegang selecteren. Gebruikers met de rol Standaardtoegang worden uitgesloten van inrichting en worden gemarkeerd als niet-effectief gerechtigd in de inrichtingslogboeken. Als de rol 'Standaardtoegang' de enige beschikbare rol voor de toepassing is, kunt u het manifest van de toepassing bijwerken om meer rollen toe te voegen.

  • Als u extra rollen nodig hebt, dan kunt u het toepassingsmanifest bijwerken om nieuwe rollen toe te voegen.

Stap 5: Automatische gebruikersinrichting configureren voor ServiceNow

In deze sectie wordt u begeleid bij de stappen voor het configureren van de Microsoft Entra-inrichtingsservice voor het maken, bijwerken en uitschakelen van gebruikers en groepen in TestApp. U kunt de configuratie baseren op gebruikers- en groepstoewijzingen in Microsoft Entra-id.

Automatische gebruikersinrichting configureren voor ServiceNow in Microsoft Entra-id:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassing Beheer istrator.

  2. Blader naar Bedrijfstoepassingen voor identiteitstoepassingen>>.

    Screenshot that shows the Enterprise applications pane.

  3. Selecteer ServiceNow in de lijst met toepassingen.

  4. Selecteer het tabblad Inrichten.

  5. Stel Inrichtingsmodus in op Automatisch.

  6. Voer in de sectie Beheer Referenties uw ServiceNow-beheerdersreferenties en gebruikersnaam in. Selecteer Test Verbinding maken ion om ervoor te zorgen dat Microsoft Entra ID verbinding kan maken met ServiceNow. Als de verbinding mislukt, controleert u of uw ServiceNow-account beheerdersmachtigingen heeft en probeer het opnieuw.

  7. Voer in het vak E-mailadres voor meldingen het e-mailadres in van een persoon of groep die de meldingen voor de inrichtingsfouten moeten ontvangen. Selecteer vervolgens het selectievakje Een e-mailmelding verzenden wanneer er een fout optreedt.

  8. Selecteer Opslaan.

  9. Selecteer in de sectie Toewijzingen Microsoft Entra-gebruikers synchroniseren met ServiceNow.

  10. Controleer in de sectie Kenmerktoewijzing de gebruikerskenmerken die vanuit Microsoft Entra-id met ServiceNow worden gesynchroniseerd. De kenmerken die als overeenkomende eigenschappen zijn geselecteerd, worden gebruikt om de gebruikersaccounts in ServiceNow te vinden voor updatebewerkingen.

    Als u ervoor kiest om het overeenkomende doelkenmerk te wijzigen, moet u ervoor zorgen dat de ServiceNow-API het filteren van gebruikers op basis van dat kenmerk ondersteunt.

    Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.

  11. Selecteer In de sectie Toewijzingen de optie Microsoft Entra-groepen synchroniseren met ServiceNow.

  12. Controleer in de sectie Kenmerktoewijzing de groepskenmerken die vanuit Microsoft Entra-id met ServiceNow worden gesynchroniseerd. De kenmerken die als overeenkomende eigenschappen zijn geselecteerd, worden gebruikt om de groepen in ServiceNow te vinden voor updatebewerkingen. Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.

  13. Raadpleeg de instructies in de Zelfstudie bereikfilter als u bereikfilters wilt configureren.

  14. Als u de Microsoft Entra-inrichtingsservice voor ServiceNow wilt inschakelen, wijzigt u de inrichtingsstatus in Aan in de sectie Instellingen.

  15. Definieer de gebruikers en groepen die u wilt inrichten voor ServiceNow door de gewenste waarden te kiezen in Bereik in de sectie Instellingen.

    Screenshot that shows choices for provisioning scope.

  16. Selecteer Opslaan als u klaar bent voor het inrichten.

Met deze bewerking wordt de eerste synchronisatiecyclus gestart van alle gebruikers en groepen die zijn gedefinieerd onder Bereik in de sectie Instellingen. Het duurt langer om de initiƫle cyclus uit te voeren dan volgende cycli. Volgende cycli vinden ongeveer elke 40 minuten plaats, zolang de Microsoft Entra-inrichtingsservice wordt uitgevoerd.

Stap 6: Uw implementatie controleren

Nadat u het inrichten hebt geconfigureerd, gebruikt u de volgende resources om uw implementatie te bewaken:

  • Gebruik de inrichtingslogboeken om te bepalen welke gebruikers al dan niet met succes zijn ingericht.
  • Controleer de voortgangsbalk om de status van de inrichtingscyclus weer te geven en te zien of deze al bijna is voltooid.
  • Als het configureren van de inrichting een foutieve status lijkt te hebben, wordt de toepassing in quarantaine geplaatst. Meer informatie over quarantainestatussen.

Tips voor probleemoplossing

  • Wanneer u bepaalde kenmerken (zoals Afdeling en Locatie) in ServiceNow inricht, moeten de waarden al bestaan in een referentietabel in ServiceNow. Als dat niet het probleem is, krijgt u de fout InvalidLookupReference .

    U hebt bijvoorbeeld twee locaties (Seattle, Los Angeles) en drie afdelingen (Sales, Finance, Marketing) in een bepaalde tabel in ServiceNow. Als u probeert een gebruiker in te richten waarvan de afdeling 'Verkoop' is en waarvan de locatie 'Seattle' is, wordt die gebruiker ingericht. Als u probeert een gebruiker in te richten waarvan de afdeling 'Verkoop' is en waarvan de locatie 'LA' is, wordt de gebruiker niet ingericht. De locatie 'LA' moet worden toegevoegd aan de referentietabel in ServiceNow of het gebruikerskenmerk in Microsoft Entra ID moet worden bijgewerkt zodat deze overeenkomt met de indeling in ServiceNow.

  • Als u een entryJoiningPropertyValueIsMissing-fout krijgt, controleert u de kenmerktoewijzingen om het overeenkomende kenmerk te identificeren. Deze waarde moet aanwezig zijn voor de gebruiker of groep die u wilt inrichten.

  • Als u meer wilt weten over vereisten of beperkingen (bijvoorbeeld de indeling voor het opgeven van een landcode voor een gebruiker), bekijkt u de ServiceNow SOAP-API.

  • Inrichtingsaanvragen worden standaard verzonden naar https://{your-instance-name}.service-now.com/{table-name}. Als u een aangepaste tenant-URL nodig hebt, kunt u de volledige URL opgeven als de naam van het exemplaar.

  • De fout ServiceNowInstanceInvalid geeft een probleem aan dat communiceert met het ServiceNow-exemplaar. Dit is de tekst van de fout:

    Details: Your ServiceNow instance name appears to be invalid. Please provide a current ServiceNow administrative user name and password along with the name of a valid ServiceNow instance.

    Als u problemen ondervindt met de testverbinding, selecteert u Nee voor de volgende instellingen in ServiceNow:

    • Hoge beveiligingsinstellingen>voor systeembeveiliging>vereisen basisverificatie voor binnenkomende SCHEMA-aanvragen

    • Systeemeigenschappen-webservices>>vereisen basisautorisatie voor binnenkomende SOAP-aanvragen

      Screenshot that shows the option for authorizing SOAP requests.

    Als u het probleem nog steeds niet kunt oplossen, neemt u contact op met de ondersteuning van ServiceNow en vraagt u hen om SOAP-foutopsporing in te schakelen om problemen op te lossen.

  • De Microsoft Entra-inrichtingsservice werkt momenteel onder bepaalde IP-bereiken. Indien nodig kunt u andere IP-bereiken beperken en deze specifieke IP-bereiken toevoegen aan de acceptatielijst van uw toepassing. Met deze techniek kan verkeer van de Microsoft Entra-inrichtingsservice naar uw toepassing stromen.

  • Zelf-hostende ServiceNow-exemplaren worden niet ondersteund.

  • Wanneer een update van het actieve kenmerk in ServiceNow wordt ingericht, wordt het kenmerk locked_out ook dienovereenkomstig bijgewerkt, zelfs als locked_out niet is toegewezen in de Azure-inrichtingsservice.

Aanvullende bronnen

Volgende stappen