Samouczek: automatyczne tworzenie biletów usługi ServiceNow za pomocą integracji zarządzania upoważnieniami firmy Microsoft
Scenariusz: W tym scenariuszu dowiesz się, jak używać niestandardowej rozszerzalności i aplikacji logiki, aby automatycznie generować bilety usługi ServiceNow na potrzeby ręcznej aprowizacji użytkowników, którzy otrzymali przydziały i potrzebują dostępu do aplikacji.
Niniejszy samouczek zawiera informacje na temat wykonywania następujących czynności:
- Dodawanie przepływu pracy aplikacji logiki do istniejącego wykazu.
- Dodawanie rozszerzenia niestandardowego do zasad w istniejącym pakiecie dostępu.
- Rejestrowanie aplikacji w identyfikatorze Entra firmy Microsoft na potrzeby wznowienia przepływu pracy zarządzania upoważnieniami
- Konfigurowanie usługi ServiceNow na potrzeby uwierzytelniania automatyzacji.
- Żądanie dostępu do pakietu dostępu jako użytkownik końcowy.
- Odbieranie dostępu do żądanego pakietu dostępu jako użytkownik końcowy.
Wymagania wstępne
- Konto użytkownika Microsoft Entra z aktywną subskrypcją platformy Azure. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
- Jedna z następujących ról: administrator globalny, administrator aplikacji w chmurze, administrator aplikacji lub właściciel jednostki usługi.
- Wystąpienie usługi ServiceNow w Rzymie lub wyższym
- Integracja logowania jednokrotnego z usługą ServiceNow. Jeśli jeszcze tego nie skonfigurowano, zobacz:Tutorial: Microsoft Entra single sign-on (SSO) integration with ServiceNow (Samouczek: Integracja logowania jednokrotnego firmy Microsoft z usługą ServiceNow ) przed kontynuowaniem.
Uwaga
Zaleca się użycie roli najniższych uprawnień podczas wykonywania tych kroków.
Dodawanie przepływu pracy aplikacji logiki do istniejącego wykazu na potrzeby zarządzania upoważnieniami
Przepływy pracy aplikacji logiki można dodać do istniejącego wykazu. Aby uzyskać więcej informacji na temat tworzenia nowego wykazu, zobacz: Tworzenie wykazu zasobów i zarządzanie nim w zarządzaniu upoważnieniami.
Po utworzeniu wykazu należy dodać przepływ pracy aplikacji logiki, wykonując następujące czynności:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.
Napiwek
Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela wykazu i właściciela grupy zasobów.
W menu po lewej stronie wybierz pozycję Wykazy.
Wybierz katalog, dla którego chcesz dodać rozszerzenie niestandardowe, a następnie w menu po lewej stronie wybierz pozycję Rozszerzenia niestandardowe.
Na pasku nawigacyjnym nagłówka wybierz pozycję Dodaj rozszerzenie niestandardowe.
Na karcie Podstawy wprowadź nazwę rozszerzenia niestandardowego i opis przepływu pracy. Te pola są wyświetlane na karcie Rozszerzenia niestandardowe wykazu.
Wybierz typ rozszerzenia jako "Przepływ pracy żądania", aby odpowiadać etapowi zasad tworzonego pakietu dostępu.
Wybierz pozycję Uruchom i zaczekaj w konfiguracji rozszerzenia, która wstrzyma skojarzona akcja pakietu dostępu do momentu, gdy aplikacja logiki połączona z rozszerzeniem zakończy swoje zadanie, a administrator wyśle akcję wznawiania, aby kontynuować proces. Aby uzyskać więcej informacji na temat tego procesu, zobacz: Konfigurowanie niestandardowych rozszerzeń wstrzymujących procesy zarządzania upoważnieniami.
Na karcie Szczegóły wybierz pozycję Tak w polu "Utwórz nową aplikację logiki". Dodaj nazwę aplikacji logiki wraz z subskrypcją i grupą zasobów, w której ją umieszczasz.
W obszarze Przeglądanie i tworzenie przejrzyj podsumowanie rozszerzenia niestandardowego i upewnij się, że szczegóły aplikacji logiki i jej objaśnienie są poprawne. Po przejrzeniu tych szczegółów wybierz pozycję Utwórz.
Po utworzeniu aplikacja logiki będzie mogła uzyskać dostęp w obszarze Aplikacja logiki obok rozszerzenia niestandardowego na stronie rozszerzeń niestandardowych. Możesz wywołać tę funkcję w zasadach pakietu dostępu.
Napiwek
Aby dowiedzieć się więcej na temat niestandardowej funkcji rozszerzenia, która wstrzymuje procesy zarządzania upoważnieniami, zobacz: Konfigurowanie niestandardowych rozszerzeń wstrzymujących procesy zarządzania upoważnieniami.
Dodawanie rozszerzenia niestandardowego do zasad w istniejącym pakiecie dostępu
Po skonfigurowaniu niestandardowej rozszerzalności w wykazie administratorzy mogą utworzyć pakiet dostępu z zasadami, aby wyzwolić rozszerzenie niestandardowe po zatwierdzeniu żądania. Dzięki temu można zdefiniować określone wymagania dostępu i dostosować proces przeglądu dostępu do potrzeb organizacji.
W portalu zarządzania tożsamościami co najmniej administrator zarządzania tożsamościami wybierz pozycję Pakiety dostępu.
Napiwek
Inne role najniższych uprawnień, które mogą wykonać to zadanie, obejmują właściciela katalogu i menedżera pakietów programu Access.
Wybierz pakiet dostępu, do którego chcesz dodać rozszerzenie niestandardowe (aplikacja logiki) z listy pakietów dostępu, które zostały już utworzone.
Przejdź do karty zasady, wybierz zasady, a następnie wybierz pozycję Edytuj.
W ustawieniach zasad przejdź do karty Rozszerzenia niestandardowe.
W menu poniżej etapu wybierz zdarzenie pakietu dostępu, którego chcesz użyć jako wyzwalacza dla tego rozszerzenia niestandardowego (aplikacja logiki). W naszym scenariuszu, aby wyzwolić niestandardowy przepływ pracy aplikacji logiki rozszerzenia po zatwierdzeniu pakietu dostępu, wybierz pozycję Żądanie zostanie zatwierdzone.
Uwaga
Aby utworzyć bilet usługi ServiceNow dla wygasłego przypisania, któremu udzielono wcześniej uprawnień, dodaj nowy etap "Przypisanie zostało usunięte", a następnie wybierz aplikację Logika.
W menu poniżej rozszerzenia niestandardowego wybierz rozszerzenie niestandardowe (aplikacja logiki) utworzone w powyższych krokach, aby dodać go do tego pakietu dostępu. Wybrana akcja jest wykonywana po wybraniu zdarzenia w polu, w którym występuje.
Wybierz pozycję Aktualizuj , aby dodać go do zasad istniejącego pakietu dostępu.
Uwaga
Wybierz pozycję Nowy pakiet dostępu, jeśli chcesz utworzyć nowy pakiet dostępu. Aby uzyskać więcej informacji na temat tworzenia pakietu dostępu, zobacz: Tworzenie nowego pakietu dostępu w zarządzaniu upoważnieniami. Aby uzyskać więcej informacji na temat edytowania istniejącego pakietu dostępu, zobacz: Zmienianie ustawień żądania dla pakietu dostępu w usłudze Microsoft Entra entitlement management.
Rejestrowanie aplikacji przy użyciu wpisów tajnych w centrum administracyjnym firmy Microsoft Entra
Napiwek
Kroki opisane w tym artykule mogą się nieznacznie różnić w zależności od portalu, od którego zaczynasz.
Za pomocą platformy Azure możesz przechowywać wpisy tajne aplikacji, takie jak hasła, za pomocą usługi Azure Key Vault . Aby zarejestrować aplikację przy użyciu wpisów tajnych w centrum administracyjnym firmy Microsoft Entra, wykonaj następujące kroki:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ładu tożsamości.
Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.
W obszarze Zarządzanie wybierz pozycję Rejestracje aplikacji > Nowa rejestracja.
Wprowadź nazwę wyświetlaną aplikacji.
Wybierz pozycję "Konta tylko w tym katalogu organizacyjnym" w obsługiwanym typie konta.
Wybierz pozycję Zarejestruj.
Po zarejestrowaniu aplikacji należy dodać klucz tajny klienta, wykonując następujące kroki:
Przejdź do aplikacji tożsamości>> Rejestracje aplikacji.
wybierz aplikację.
Wybierz pozycję Certyfikaty i wpisy tajne Klienta Wpisy > tajne > Nowego klienta.
Dodaj opis wpisu tajnego klienta.
Wybierz datę wygaśnięcia klucza tajnego lub określ niestandardowy okres ważności.
Wybierz Dodaj.
Uwaga
Aby uzyskać bardziej szczegółowe informacje na temat rejestrowania aplikacji, zobacz: Szybki start: rejestrowanie aplikacji w Platforma tożsamości Microsoft:
Aby autoryzować utworzoną aplikację do wywoływania interfejsu API wznawiania programu MS Graph, wykonaj następujące czynności:
Przejdź do centrum administracyjnego microsoft Entra Identity Governance — Microsoft Entra admin center
W menu po lewej stronie wybierz pozycję Wykazy.
Wybierz wykaz, dla którego dodano rozszerzenie niestandardowe.
Wybierz menu "Role i administratorzy" i wybierz pozycję "+ Dodaj menedżera przypisań pakietów dostępu".
W oknie dialogowym Wybieranie członków wyszukaj aplikację utworzoną według nazwy lub identyfikatora aplikacji. Wybierz aplikację i wybierz przycisk "Wybierz".
Napiwek
Więcej szczegółowych informacji na temat delegowania i ról można znaleźć w oficjalnej dokumentacji firmy Microsoft znajdującej się tutaj: Delegowanie i role w zarządzaniu upoważnieniami.
Konfigurowanie usługi ServiceNow na potrzeby uwierzytelniania automatyzacji
W tym momencie nadszedł czas, aby skonfigurować usługę ServiceNow do wznowienia przepływu pracy zarządzania upoważnieniami po zamknięciu biletu usługi ServiceNow:
- Zarejestruj aplikację Firmy Microsoft Entra w rejestrze aplikacji Usługi ServiceNow, wykonując następujące kroki:
- Zaloguj się do usługi ServiceNow i przejdź do rejestru aplikacji.
- Wybierz pozycję "Nowy", a następnie wybierz pozycję "Połącz z dostawcą OAuth innej firmy".
- Podaj nazwę aplikacji i wybierz pozycję Poświadczenia klienta w domyślnym typie udzielania.
- Wprowadź nazwę klienta, identyfikator, klucz tajny klienta, adres URL autoryzacji, adres URL tokenu wygenerowany podczas rejestrowania aplikacji Microsoft Entra w centrum administracyjnym firmy Microsoft.
- Prześlij aplikację.
- Utwórz komunikat interfejsu API REST usługi sieci Web systemu, wykonując następujące czynności:
- Przejdź do sekcji Komunikaty interfejsu API REST w obszarze Systemowe usługi sieci Web.
- Wybierz przycisk "Nowy", aby utworzyć nowy komunikat interfejsu API REST.
- Wypełnij wszystkie wymagane pola, w tym podaj adres URL punktu końcowego:
https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/${AccessPackageAssignmentRequestId}/resume - W obszarze Uwierzytelnianie wybierz pozycję OAuth2.0 i wybierz profil OAuth utworzony podczas procesu rejestracji aplikacji.
- Wybierz przycisk "Prześlij", aby zapisać zmiany.
- Wróć do sekcji Komunikaty interfejsu API REST w obszarze Systemowe usługi sieci Web.
- Wybierz pozycję Żądanie HTTP, a następnie wybierz pozycję "Nowy". Wprowadź nazwę i wybierz pozycję "POST" jako metodę Http.
- W żądaniu HTTP dodaj zawartość parametrów zapytania Http przy użyciu następującego schematu interfejsu API:
{ "data": { "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData", "customExtensionStageInstanceDetail": "Resuming-Assignment for user", "customExtensionStageInstanceId": "${StageInstanceId}", "stage": "${Stage}" }, "source": "ServiceNow", "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}" } - Wybierz pozycję "Prześlij", aby zapisać zmiany.
- Zmodyfikuj schemat tabeli żądań: Aby zmodyfikować schemat tabeli żądań, wprowadź zmiany w trzech tabelach przedstawionych na poniższej ilustracji:
Dodaj etykietę trzech kolumn i wpisz ciąg: - AccessPackageAssignmentRequestId
- AccessPackageAssignmentStage
- Identyfikator wystąpienia etapu
- Aby zautomatyzować przepływ pracy za pomocą narzędzia Flow Designer, należy wykonać następujące czynności:
- Zaloguj się do usługi ServiceNow i przejdź do projektanta przepływu.
- Wybierz przycisk "Nowy" i utwórz nową akcję.
- Dodaj akcję w celu wywołania komunikatu interfejsu API REST usługi sieci Web systemu, który został utworzony w poprzednim kroku.
Skrypt akcji: (Zaktualizuj skrypt za pomocą etykiet kolumn utworzonych w poprzednim kroku): (function execute(inputs, outputs) { gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']); gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] ); gs.info("Stage: " + inputs['assignmentstage']); var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME'); r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']); r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] ); r.setStringParameterNoEscape('Stage', inputs['assignmentstage']); var response = r.execute(); var responseBody = response.getBody(); var httpStatus = response.getStatusCode(); var requestBody = r.getRequestBody(); gs.info("requestBody: " + requestBody); gs.info("responseBody: " + responseBody); gs.info("httpStatus: " + httpStatus); })(inputs, outputs); - Zapisz akcję
- Wybierz przycisk "Nowy", aby utworzyć nowy przepływ.
- Wprowadź nazwę przepływu, wybierz pozycję Uruchom jako — użytkownik systemowy i wybierz pozycję Prześlij.
- Aby utworzyć wyzwalacze w usłudze ServiceNow, wykonaj następujące kroki:
- Wybierz pozycję "Dodaj wyzwalacz", a następnie wybierz wyzwalacz "zaktualizowany" i uruchom wyzwalacz dla każdej aktualizacji.
- Dodaj warunek filtru, aktualizując warunek, jak pokazano na poniższej ilustracji:
- Wybierz pozycję Gotowe.
- Wybierz pozycję Dodaj akcję
- Wybierz akcję, a następnie wybierz akcję utworzoną w poprzednim kroku.
- Przeciągnij i upuść nowo utworzone kolumny z rekordu żądania do odpowiednich parametrów akcji.
- Wybierz pozycję "Gotowe", "Zapisz", a następnie pozycję "Aktywuj".
Żądanie dostępu do pakietu dostępu jako użytkownik końcowy
Gdy użytkownik końcowy żąda dostępu do pakietu dostępu, żądanie jest wysyłane do odpowiedniego osoby zatwierdzającej. Gdy osoba zatwierdzająca przyzna zatwierdzenie, zarządzanie upoważnieniami wywołuje aplikację logiki. Następnie aplikacja logiki wywołuje usługę ServiceNow, aby utworzyć nowe żądanie/bilet i zarządzanie upoważnieniami czeka na wywołanie zwrotne z usługi ServiceNow.
Odbieranie dostępu do żądanego pakietu dostępu jako użytkownik końcowy
Zespół pomocy technicznej IT pracuje nad poprzednim biletem utworzonym w celu wykonania niezbędnych aprowizuje i zamknij bilet usługi ServiceNow. Po zamknięciu biletu usługa ServiceNow wyzwala wywołanie w celu wznowienia przepływu pracy zarządzania upoważnieniami. Po zakończeniu żądania żądający otrzyma powiadomienie z zarządzania upoważnieniami, które zostało spełnione. Ten usprawniony przepływ pracy zapewnia efektywne wypełnianie żądań dostępu, a użytkownicy są powiadamiani natychmiast.
Uwaga
Jeśli bilet nie zostanie zamknięty w ciągu 14 dni, użytkownik końcowy zobaczy komunikat "przypisanie nie powiodło się".
Następne kroki
Przejdź do następnego artykułu, aby dowiedzieć się, jak utworzyć...