ServiceNow configureren voor automatische gebruikersvoorziening

In dit artikel worden de stappen beschreven die u uitvoert in zowel ServiceNow als Microsoft Entra ID voor het configureren van automatische gebruikersvoorziening. Wanneer Microsoft Entra ID is geconfigureerd, worden gebruikers en groepen automatisch ingericht en ongedaan gemaakt voor ServiceNow met behulp van de Microsoft Entra-inrichtingsservice.

Voor meer informatie over de automatische gebruikersinrichtingsservice van Microsoft Entra, zie Automatiseer het inrichten en het ongedaan maken van inrichten van gebruikers voor SaaS-toepassingen met Microsoft Entra ID.

Ondersteunde mogelijkheden

• Gebruikers maken in ServiceNow.
• Verwijder gebruikers in ServiceNow wanneer ze geen toegang meer nodig hebben.
• Gebruikerskenmerken gesynchroniseerd houden tussen Microsoft Entra ID en ServiceNow.
• Groepen en groepslidmaatschappen inrichten in ServiceNow.
• Eenmalige aanmelding toestaan bij ServiceNow (aanbevolen).

Vereiste voorwaarden

• Een Microsoft Entra-gebruikersaccount met een actief abonnement. Als u dat nog niet hebt, kunt u gratis een account maken.
• Een van de volgende rollen: Toepassingsbeheerder, Cloudtoepassingsbeheerder of Toepassingseigenaar.
• Een ServiceNow-exemplaar van Calgary of hoger.
• Een ServiceNow Express-exemplaar van Helsinki of hoger.
• Een gebruikersaccount in ServiceNow met de beheerdersrol.

Opmerking

Deze integratie is ook beschikbaar voor gebruik vanuit de Microsoft Entra US Government Cloud-omgeving. U vindt deze toepassing in de Microsoft Entra US Government Cloud Application Gallery en configureert deze op dezelfde manier als vanuit de openbare cloud.

Stap 1: Het plannen van uw provisioning-implementatie

• Lees meer over hoe de provisioneringsservice werkt.
• Bepaal wie binnen het toepassingsgebied van valt voor de voorziening van.
• Bepaal welke gegevens gemapt moeten worden tussen Microsoft Entra ID en ServiceNow.

Stap 2: ServiceNow configureren ter ondersteuning van inrichting met Microsoft Entra-id

1. Identificeer de naam van uw ServiceNow-exemplaar. U vindt de naam van het exemplaar in de URL die u gebruikt voor toegang tot ServiceNow. In het volgende voorbeeld is de naam van het exemplaar dev35214.

   

2. Referenties verkrijgen voor een beheerder in ServiceNow. Ga naar het gebruikersprofiel in ServiceNow en controleer of de gebruiker de beheerdersrol heeft.

   

Stap 3: ServiceNow toevoegen vanuit de Microsoft Entra-toepassingsgalerie

Voeg ServiceNow toe vanuit de Microsoft Entra-toepassingsgalerie om te beginnen met het inrichten voor ServiceNow. Als u ServiceNow eerder hebt ingesteld voor eenmalige aanmelding (SSO), kunt u dezelfde toepassing gebruiken. We raden u echter aan een afzonderlijke app te maken wanneer u de integratie test. Meer informatie over het toevoegen van een toepassing vanuit de galerie.

Stap 4: Bepaal wie binnen de scope van voorzieningen valt.

Met de Microsoft Entra-inrichtingsservice kunt u bepalen wie is ingericht op basis van toewijzing aan de toepassing of op basis van kenmerken van de gebruiker of groep. Als u ervoor kiest om te bepalen wie voor uw app is ingericht op basis van toewijzing, kunt u de stappen gebruiken om gebruikers en groepen toe te wijzen aan de toepassing. Als u ervoor kiest om te bepalen wie alleen is ingericht op basis van kenmerken van de gebruiker of groep, kunt u een bereikfiltergebruiken.

• Begin klein. Test de toepassing met een kleine set gebruikers en groepen voordat u de toepassing naar iedereen uitrolt. Wanneer het bereik voor inrichting is ingesteld op toegewezen gebruikers en groepen, kunt u dit beheren door een of twee gebruikers of groepen toe te wijzen aan de app. Wanneer het bereik is ingesteld op alle gebruikers en groepen, kunt u een bereikfilter op basis van kenmerken opgeven.

• Als u extra rollen nodig hebt, kunt u het toepassingsmanifest bijwerken om nieuwe rollen toe te voegen.

Stap 5: Automatische gebruikersinrichting configureren voor ServiceNow

In deze sectie wordt u begeleid bij de stappen voor het configureren van de Microsoft Entra-inrichtingsservice voor het maken, bijwerken en uitschakelen van gebruikers en groepen in TestApp. U kunt de configuratie baseren op gebruikers- en groepstoewijzingen in Microsoft Entra-id.

Automatische gebruikersinrichting voor ServiceNow in Microsoft Entra ID configureren:

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudtoepassingsbeheerder.

2. Blader naar Identity>Toepassingen>Bedrijfstoepassingen.

   

3. Selecteer ServiceNow in de lijst met toepassingen.

4. Selecteer het tabblad Inrichten.

5. Stel Inrichtingsmodus in op Automatisch.

6. Voer in de sectie Beheerdersreferenties uw ServiceNow-beheerdersreferenties en gebruikersnaam in. Selecteer Verbinding testen om ervoor te zorgen dat Microsoft Entra ID verbinding kan maken met ServiceNow. Als de verbinding mislukt, controleert u of uw ServiceNow-account beheerdersmachtigingen heeft en probeer het opnieuw.

7. Voer in het vak E-mailadres voor meldingen het e-mailadres in van een persoon of groep die de meldingen voor de inrichtingsfouten moeten ontvangen. Schakel vervolgens het selectievakje Een e-mailmelding verzenden in wanneer er een fout optreedt .

8. Selecteer Opslaan.

9. Selecteer in de sectie Toewijzingen de optie Microsoft Entra-gebruikers synchroniseren met ServiceNow.

10. Controleer in de sectie Kenmerktoewijzing de gebruikerskenmerken die vanuit Microsoft Entra-id met ServiceNow worden gesynchroniseerd. De kenmerken die als overeenkomende eigenschappen zijn geselecteerd, worden gebruikt om de gebruikersaccounts in ServiceNow te vinden voor updatebewerkingen.

    Als u ervoor kiest om het overeenkomende doelkenmerk te wijzigen, moet u ervoor zorgen dat de ServiceNow-API het filteren van gebruikers op basis van dat kenmerk ondersteunt.

    Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.

11. In de sectie Toewijzingen selecteer Microsoft Entra-groepen synchroniseren met ServiceNow.

12. Controleer in de sectie Kenmerktoewijzing de groepskenmerken die vanuit Microsoft Entra-id met ServiceNow worden gesynchroniseerd. De kenmerken die als overeenkomende eigenschappen zijn geselecteerd, worden gebruikt om de groepen in ServiceNow te vinden voor updatebewerkingen. Selecteer de knop Opslaan om eventuele wijzigingen door te voeren.

13. Als u bereikfilters wilt configureren, raadpleegt u de instructies in het artikel Bereikfilter.

14. Als u de Microsoft Entra-inrichtingsservice voor ServiceNow wilt inschakelen, wijzigt u de inrichtingsstatus in Aan in de sectie Instellingen .

15. Definieer de gebruikers en groepen die u wilt inrichten voor ServiceNow door de gewenste waarden te kiezen in Bereik in de sectie Instellingen .

    

16. Selecteer Opslaan als u klaar bent om te configureren.

Met deze bewerking wordt de eerste synchronisatiecyclus gestart van alle gebruikers en groepen die zijn gedefinieerd onder Bereik in de sectie Instellingen. Het duurt langer om de initiële cyclus uit te voeren dan volgende cycli. Volgende cycli vinden ongeveer elke 40 minuten plaats, zolang de Microsoft Entra-voorzieningsservice actief is.

Stap 6: Uw implementatie bewaken

Zodra u de inrichting hebt geconfigureerd, gebruikt u de volgende resources om uw implementatie te bewaken:

1. Gebruik de inrichtingslogboeken om te bepalen welke gebruikers succesvol of onsuccesvol zijn ingericht.
2. Controleer de voortgangsbalk om de status van de provisioningcyclus te zien en hoe dicht het bij voltooiing is.
3. Als de toepassingsconfiguratie in een ongezonde toestand lijkt te verkeren, wordt de applicatie in quarantaine geplaatst. Vind meer informatie over de quarantainestatussen in het artikel over de quarantainestatus van de toepassing.

Tips voor probleemoplossing

• Wanneer u bepaalde kenmerken (zoals Afdeling en Locatie) in ServiceNow inricht, moeten de waarden al bestaan in een referentietabel in ServiceNow. Als ze dat niet doen, krijgt u een InvalidLookupReference fout.

  U hebt bijvoorbeeld twee locaties (Seattle, Los Angeles) en drie afdelingen (Sales, Finance, Marketing) in een bepaalde tabel in ServiceNow. Als u probeert een gebruiker aan te maken waarvan de afdeling 'Verkoop' is en de locatie 'Seattle', wordt die gebruiker succesvol aangemaakt. Als u probeert een gebruiker in te richten waarvan de afdeling 'Verkoop' is en waarvan de locatie 'LA' is, wordt de gebruiker niet ingericht. De locatie 'LA' moet worden toegevoegd aan de referentietabel in ServiceNow of het gebruikerskenmerk in Microsoft Entra ID moet worden bijgewerkt zodat deze overeenkomt met de indeling in ServiceNow.

• Als u een EntryJoiningPropertyValueIsMissing-fout krijgt, controleert u uw kenmerktoewijzingen om het overeenkomende kenmerk te identificeren. Deze waarde moet aanwezig zijn voor de gebruiker of groep die u wilt inrichten.

• Als u meer wilt weten over vereisten of beperkingen (bijvoorbeeld de indeling voor het opgeven van een landcode voor een gebruiker), bekijkt u de ServiceNow SOAP-API.

• Voorzieningsaanvragen worden standaard verzonden naar https://{your-instance-name}.service-now.com/{table-name}. Als u een aangepaste tenant-URL nodig hebt, kunt u de volledige URL opgeven als de naam van het exemplaar.

• De fout ServiceNowInstanceInvalid geeft een probleem bij de communicatie met de ServiceNow-instance aan. Dit is de tekst van de fout:

  Details: Your ServiceNow instance name appears to be invalid. Please provide a current ServiceNow administrative user name and password along with the name of a valid ServiceNow instance.

  Als u problemen ondervindt met de testverbinding, selecteert u Nee voor de volgende instellingen in ServiceNow:

  • Systeembeveiliging>Hoge beveiligingsinstellingen>Basisverificatie vereisen voor binnenkomende SCHEMA-aanvragen

  • Systeemeigenschappen>Webservices>Basisautorisatie vereisen voor binnenkomende SOAP-aanvragen

    

  Als u het probleem nog steeds niet kunt oplossen, neemt u contact op met de ondersteuning van ServiceNow en vraagt u hen om SOAP-foutopsporing in te schakelen om problemen op te lossen.

• De Microsoft Entra-inrichtingsservice werkt momenteel onder bepaalde IP-bereiken. Indien nodig kunt u andere IP-bereiken beperken en deze specifieke IP-bereiken toevoegen aan de acceptatielijst van uw toepassing. Met deze techniek kan verkeer van de Microsoft Entra-inrichtingsservice naar uw toepassing stromen.

• Zelfgehoste ServiceNow-exemplaren worden niet ondersteund.

• Wanneer een update van het actieve kenmerk in ServiceNow wordt ingericht, wordt het kenmerk locked_out ook dienovereenkomstig bijgewerkt, zelfs als locked_out niet is toegewezen in de Azure-inrichtingsservice.

Aanvullende bronnen

• Het inrichten van gebruikersaccounts voor zakelijke apps beheren
• Wat is eenmalige aanmelding met Microsoft Entra ID?

Verwante inhoud

• Meer informatie over het controleren van logboeken en het ophalen van rapporten over de inrichtingsactiviteit