Delen via

Zelfstudie: Geautomatiseerde ServiceNow Ticket Creation met Microsoft Entra Entitlement Management Integration

  • Artikel

Scenario: In dit scenario leert u hoe u aangepaste uitbreidbaarheid en een logische app gebruikt om automatisch ServiceNow-tickets te genereren voor het handmatig inrichten van gebruikers die toewijzingen hebben ontvangen en toegang nodig hebben tot apps.

In deze zelfstudie leert u het volgende:

  • Een werkstroom voor logische apps toevoegen aan een bestaande catalogus.
  • Een aangepaste extensie toevoegen aan een beleid binnen een bestaand toegangspakket.
  • Een toepassing registreren in Microsoft Entra-id voor het hervatten van de werkstroom Rechtenbeheer
  • ServiceNow configureren voor Automation-verificatie.
  • Toegang tot een toegangspakket aanvragen als eindgebruiker.
  • Toegang tot het aangevraagde toegangspakket ontvangen als eindgebruiker.

Vereisten

Notitie

Het wordt aanbevolen om een rol met minimale bevoegdheden te gebruiken bij het voltooien van deze stappen.

Werkstroom voor logische apps toevoegen aan een bestaande catalogus voor rechtenbeheer

Als u een werkstroom voor logische apps wilt toevoegen aan een bestaande catalogus, gebruikt u de ARM-sjabloon voor het maken van de logische app:

Implementeren op Azure.

Schermopname van een ARM-sjabloon voor logische apps.

Geef het Azure-abonnement, de resourcegroepgegevens op, samen met de naam van de logische app en de catalogus-id waaraan de logische app moet worden gekoppeld en selecteer aankoop. Zie voor meer informatie over het maken van een nieuwe catalogus: Een catalogus met resources maken en beheren in rechtenbeheer.

  1. Navigeer naar het Microsoft Entra-beheercentrum Identity Governance - Microsoft Entra-beheercentrum als ten minste de rol van Identity Governance-beheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de eigenaar van de catalogus en de eigenaar van de resourcegroep.

  2. Selecteer Catalogi in het menu aan de linkerkant.

  3. Selecteer de catalogus waarvoor u een aangepaste extensie wilt toevoegen en selecteer vervolgens in het linkermenu Aangepaste extensies.

  4. Selecteer Een aangepaste extensie toevoegen in de navigatiebalk van de koptekst.

  5. Voer op het tabblad Basis de naam van de aangepaste extensie en een beschrijving van de werkstroom in. Deze velden worden weergegeven op het tabblad Aangepaste extensies van de catalogus. Schermopname van het maken van een aangepaste extensie voor rechtenbeheer.

  6. Selecteer het extensietype als 'Aanvraagwerkstroom' om te corresponderen met de beleidsfase van het aangevraagde toegangspakket dat is gemaakt. Schermopname van het tabblad Aangepaste uitbreidingsgedragsacties voor rechtenbeheer.

  7. Selecteer Starten en wacht in de extensieconfiguratie , waardoor de bijbehorende toegangspakketactie wordt onderbroken totdat de logische app die is gekoppeld aan de extensie de taak heeft voltooid en een cv-actie wordt verzonden door de beheerder om door te gaan met het proces. Zie voor meer informatie over dit proces: Aangepaste extensies configureren waarmee rechtenbeheerprocessen worden onderbroken.

  8. Kies Op het tabblad Details nee in het veld Nieuwe logische app maken, omdat de logische app al in de vorige stappen is gemaakt. U moet echter de details van het Azure-abonnement en de resourcegroep opgeven, samen met de naam van de logische app. Schermopname van het tabblad Aangepaste extensiedetails voor rechtenbeheer.

  9. Controleer in Controleren en maken de samenvatting van uw aangepaste extensie en controleer of de details voor het bijschrift van uw logische app juist zijn. Selecteer vervolgens Maken.

  10. Deze aangepaste extensie voor de gekoppelde logische app wordt nu weergegeven op het tabblad Aangepaste extensies onder Catalogi. U kunt dit aanroepen in het beleid voor toegangspakketten.

Tip

Zie voor meer informatie over de functie voor aangepaste extensies waarmee rechtenbeheerprocessen worden onderbroken: Aangepaste extensies configureren waarmee rechtenbeheerprocessen worden onderbroken.

Aangepaste extensie toevoegen aan een beleid in een bestaand toegangspakket

Na het instellen van aangepaste uitbreidbaarheid in de catalogus, kunnen beheerders een toegangspakket maken met een beleid om de aangepaste extensie te activeren wanneer de aanvraag is goedgekeurd. Hierdoor kunnen ze specifieke toegangsvereisten definiëren en het proces voor toegangsbeoordeling aanpassen aan de behoeften van hun organisatie.

  1. Selecteer toegangspakketten in de Identity Governance-portal als ten minste een Identity Governance-beheerder.

    Tip

    Andere rollen met minimale bevoegdheden die deze taak kunnen voltooien, zijn de cataloguseigenaar en Access-pakketbeheer.

  2. Selecteer het toegangspakket waaraan u een aangepaste extensie (logische app) wilt toevoegen in de lijst met toegangspakketten die al zijn gemaakt.

  3. Ga naar het tabblad Beleid, selecteer het beleid en selecteer Bewerken.

  4. Ga in de beleidsinstellingen naar het tabblad Aangepaste extensies .

  5. Selecteer in het menu Fase hieronder de gebeurtenis voor het toegangspakket die u wilt gebruiken als trigger voor deze aangepaste extensie (logische app). Als u in ons scenario de werkstroom voor de logische app voor de aangepaste extensie wilt activeren wanneer het toegangspakket is goedgekeurd, selecteert u Aanvraag goedgekeurd.

Notitie

Als u een ServiceNow-ticket wilt maken voor een verlopen toewijzing waaraan eerder machtigingen zijn verleend, voegt u een nieuwe fase toe voor 'Toewijzing is verwijderd' en selecteert u vervolgens de LogicApp.

  1. Selecteer in het menu onder Aangepaste extensie de aangepaste extensie (logische app) die u in de bovenstaande stappen hebt gemaakt om aan dit toegangspakket toe te voegen. De actie die u selecteert, wordt uitgevoerd wanneer de gebeurtenis die in het veld wordt geselecteerd, wordt uitgevoerd.

  2. Selecteer Bijwerken om het toe te voegen aan het beleid van een bestaand toegangspakket. Schermopname van aangepaste extensiedetails voor een toegangspakket.

Notitie

Selecteer Nieuw toegangspakket als u een nieuw toegangspakket wilt maken. Zie voor meer informatie over het maken van een toegangspakket: Een nieuw toegangspakket maken in rechtenbeheer. Zie voor meer informatie over het bewerken van een bestaand toegangspakket: Aanvraaginstellingen wijzigen voor een toegangspakket in Microsoft Entra-rechtenbeheer.

Een toepassing registreren met geheimen in het Microsoft Entra-beheercentrum

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Met Azure kunt u Azure Key Vault gebruiken om toepassingsgeheimen, zoals wachtwoorden, op te slaan. Voer de volgende stappen uit om een toepassing te registreren met geheimen in het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een identiteitsbeheerbeheerder.

  2. Blader naar identiteitstoepassingen>> App-registraties.

  3. Selecteer onder Beheren App-registraties > Nieuwe registratie.

  4. Voer een weergavenaam voor uw toepassing in.

  5. Selecteer Alleen Accounts in deze organisatiemap in het ondersteunde accounttype.

  6. Selecteer Registreren.

Nadat u uw toepassing hebt geregistreerd, moet u een clientgeheim toevoegen door de volgende stappen uit te voeren:

  1. Blader naar identiteitstoepassingen>> App-registraties.

  2. selecteer uw toepassing.

  3. Selecteer Certificaten en geheimen Clientgeheimen > > Nieuw clientgeheim.

  4. Voeg een beschrijving voor uw clientgeheim toe.

  5. Selecteer een vervaldatum voor het geheim of geef een aangepaste levensduur op.

  6. Selecteer Toevoegen.

Notitie

Zie voor meer gedetailleerde informatie over het registreren van een toepassing: Quickstart: Een app registreren in het Microsoft Identity Platform:

Als u de gemaakte toepassing wilt autoriseren om de MS Graph Resume API aan te roepen, voert u de volgende stappen uit:

  1. Navigeer naar het Microsoft Entra-beheercentrum Identity Governance - Microsoft Entra-beheercentrum

  2. Selecteer Catalogi in het menu aan de linkerkant.

  3. Selecteer de catalogus waarvoor u de aangepaste extensie hebt toegevoegd.

  4. Selecteer het menu Rollen en beheerders en selecteer +Toegangspakkettoewijzingsbeheer toevoegen.

  5. Zoek in het dialoogvenster Leden selecteren naar de toepassing die is gemaakt op naam of toepassings-id. Selecteer de toepassing en kies de knop Selecteren .

Tip

Meer gedetailleerde informatie over delegatie en rollen vindt u hier in de officiële documentatie van Microsoft: Delegatie en rollen in rechtenbeheer.

ServiceNow configureren voor Automation-verificatie

Op dit moment is het tijd om ServiceNow te configureren voor het hervatten van de werkstroom rechtenbeheer na het afsluiten van het ServiceNow-ticket:

  1. Registreer een Microsoft Entra-toepassing in het ServiceNow-toepassingsregister door de volgende stappen uit te voeren:
    1. Meld u aan bij ServiceNow en navigeer naar het toepassingsregister.
    2. Selecteer Nieuw en selecteer vervolgens Verbinding maken met een OAuth-provider van derden.
    3. Geef een naam op voor de toepassing en selecteer Clientreferenties in het type Standaardtoekenning.
    4. Voer de clientnaam, id, clientgeheim, autorisatie-URL, token-URL in die zijn gegenereerd toen u de Microsoft Entra-toepassing in het Microsoft Entra-beheercentrum registreerde.
    5. Dien de toepassing in. Schermopname van het toepassingsregister in ServiceNow.
  2. Maak een REST API-bericht voor de systeemwebservice door de volgende stappen uit te voeren:
    1. Ga naar de sectie REST API-berichten onder Systeemwebservices.
    2. Selecteer de knop Nieuw om een nieuw REST API-bericht te maken.
    3. Vul alle vereiste velden in, waaronder het instellen van de eindpunt-URL: https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/${AccessPackageAssignmentRequestId}/resume
    4. Voor verificatie selecteert u OAuth2.0 en kiest u het OAuth-profiel dat is gemaakt tijdens het registratieproces van de app.
    5. Selecteer de knop Verzenden om de wijzigingen op te slaan.
    6. Ga terug naar de sectie REST API-berichten onder Systeemwebservices.
    7. Selecteer Http-aanvraag en selecteer vervolgens Nieuw. Voer een naam in en selecteer POST als http-methode.
    8. Voeg in de Http-aanvraag de inhoud voor de Http-queryparameters toe met behulp van het volgende API-schema: 
      {
"data": {
    "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
    "customExtensionStageInstanceId": "${StageInstanceId}",
    "stage": "${Stage}"
          },
          "source": "ServiceNow",
            "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
            }
    9. Selecteer Verzenden om de wijzigingen op te slaan. Schermopname van selectie van cv-oproep in ServiceNow.Schermopname van de HTTP-aanvraag in ServiceNow.
  3. Wijzig het schema van de aanvraagtabel: als u het schema van de aanvraagtabel wilt wijzigen, moet u wijzigingen aanbrengen in de drie tabellen die in de volgende afbeelding worden weergegeven: Schermopname van het schema van de aanvraagtabel in ServiceNow. Voeg het drie kolomlabel toe en typ als tekenreeks:
    • AccessPackageAssignmentRequestId
    • AccessPackageAssignmentStage
    • StageInstanceId
  4. Als u de werkstroom wilt automatiseren met Flow Designer, doet u het volgende:
    1. Meld u aan bij ServiceNow en ga naar Flow Designer.
    2. Selecteer de knop Nieuw en maak een nieuwe actie.
    3. Voeg een actie toe om het REST API-bericht van de systeemwebservice aan te roepen dat in de vorige stap is gemaakt. Schermopname van het script flow designer om het proces voor rechtenbeheer in ServiceNow te hervatten. Script voor de actie: (Werk het script bij met de kolomlabels die in de vorige stap zijn gemaakt): 
      (function execute(inputs, outputs) {
    gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
    gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
    gs.info("Stage: " + inputs['assignmentstage']);
    var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
    r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
    r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
    r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
    var response = r.execute();
    var responseBody = response.getBody();
    var httpStatus = response.getStatusCode();
    var requestBody =  r.getRequestBody();
    gs.info("requestBody: " + requestBody);
    gs.info("responseBody: " + responseBody);
    gs.info("httpStatus: " + httpStatus);
    })(inputs, outputs);
    4. De actie opslaan
    5. Selecteer de knop Nieuw om een nieuwe stroom te maken.
    6. Voer de naam van de stroom in, selecteer Uitvoeren als – Systeemgebruiker en selecteer Verzenden.
  5. Als u triggers wilt maken in ServiceNow, voert u de volgende stappen uit:
    1. Selecteer Trigger toevoegen en selecteer vervolgens 'bijgewerkte' trigger en voer de trigger uit voor elke update.
    2. Voeg een filtervoorwaarde toe door de voorwaarde bij te werken, zoals wordt weergegeven in de volgende afbeelding: Schermopname van de cv-API van ServiceNow-aanroeprechtenbeheer
    3. Selecteer Gereed.
    4. Selecteer Een actie toevoegen Schermopname van stroomdiagramtrigger.
    5. Selecteer de actie en selecteer vervolgens de actie die u in de vorige stap hebt gemaakt. Schermopname van selectie van acties van flowontwerper.
    6. Sleep de zojuist gemaakte kolommen van de aanvraagrecord naar de juiste actieparameters en zet deze neer.
    7. Selecteer Gereed, Opslaan en vervolgens Activeren. Schermopname van opslaan en activeren in flow designer.

Toegang tot een toegangspakket aanvragen als eindgebruiker

Wanneer een eindgebruiker toegang tot een toegangspakket aanvraagt, wordt de aanvraag verzonden naar de juiste fiatteur. Zodra de fiatteur goedkeuring verleent, roept Rechtenbeheer de logische app aan. De logische app roept vervolgens ServiceNow aan om een nieuwe aanvraag/ticket te maken en Rechtenbeheer wacht op een callback van ServiceNow.

Schermopname van het aanvragen van een toegangspakket.

Toegang tot het aangevraagde toegangspakket ontvangen als eindgebruiker

Het IT-ondersteuningsteam werkt aan het vorige ticket dat is gemaakt om noodzakelijke voorzieningen uit te voeren en sluit het ServiceNow-ticket. Wanneer het ticket is gesloten, activeert ServiceNow een aanroep om de werkstroom Rechtenbeheer te hervatten. Zodra de aanvraag is voltooid, ontvangt de aanvrager een melding van rechtenbeheer dat aan de aanvraag is voldaan. Deze gestroomlijnde werkstroom zorgt ervoor dat toegangsaanvragen efficiënt worden uitgevoerd en dat gebruikers onmiddellijk op de hoogte worden gesteld.

Schermopname van de aanvraaggeschiedenis van Mijn toegang.

Notitie

De eindgebruiker ziet 'toewijzing mislukt' in de MyAccess-portal als het ticket niet binnen 14 dagen is gesloten.

Volgende stappen

Ga naar het volgende artikel voor meer informatie over het maken...

Logic Apps activeren met aangepaste extensies in rechtenbeheer