Konfigurowanie usługi ServiceNow na potrzeby automatycznej aprowizacji użytkowników
W tym artykule opisano kroki, które należy wykonać zarówno w usłudze ServiceNow, jak i identyfikatorze Entra firmy Microsoft w celu skonfigurowania automatycznej aprowizacji użytkowników. Po skonfigurowaniu identyfikatora entra firmy Microsoft automatycznie aprowizuje użytkowników i grupy w usłudze ServiceNow i anuluje jej aprowizację przy użyciu usługi aprowizacji firmy Microsoft.
Aby uzyskać więcej informacji na temat usługi automatycznej aprowizacji użytkowników firmy Microsoft, zobacz Automatyzowanie aprowizacji użytkowników i anulowanie aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.
Obsługiwane funkcje
- Tworzenie użytkowników w usłudze ServiceNow.
- Usuń użytkowników w usłudze ServiceNow, gdy nie będą już potrzebować dostępu.
- Zachowaj synchronizację atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i usługą ServiceNow.
- Aprowizuj grupy i członkostwa w grupach w usłudze ServiceNow.
- Zezwalaj na logowanie jednokrotne do usługi ServiceNow (zalecane).
Wymagania wstępne
- Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
- Jedną z następujących ról: Administracja istrator aplikacji, Administracja istrator aplikacji w chmurze lub właściciel aplikacji.
- Wystąpienie usługi ServiceNow calgary lub nowsze.
- Wystąpienie usługi ServiceNow Express z Helsi lub nowszym.
- Konto użytkownika w usłudze ServiceNow z rolą administratora.
Uwaga
Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.
Krok 1. Planowanie wdrożenia aprowizacji
- Dowiedz się więcej na temat sposobu działania usługi aprowizacji.
- Określ, kto znajdzie się w zakresie aprowizacji.
- Ustal, jakie dane mają być mapowanie między identyfikatorem Entra firmy Microsoft i usługą ServiceNow.
Krok 2. Konfigurowanie usługi ServiceNow w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft
Zidentyfikuj nazwę wystąpienia usługi ServiceNow. Nazwę wystąpienia można znaleźć w adresie URL używanym do uzyskiwania dostępu do usługi ServiceNow. W poniższym przykładzie nazwa wystąpienia to dev35214.
Uzyskaj poświadczenia administratora w usłudze ServiceNow. Przejdź do profilu użytkownika w usłudze ServiceNow i sprawdź, czy użytkownik ma rolę administratora.
Krok 3. Dodawanie usługi ServiceNow z galerii aplikacji Microsoft Entra
Dodaj usługę ServiceNow z galerii aplikacji Microsoft Entra, aby rozpocząć zarządzanie aprowizowaniem w usłudze ServiceNow. Jeśli wcześniej skonfigurowano usługę ServiceNow na potrzeby logowania jednokrotnego, możesz użyć tej samej aplikacji. Zalecamy jednak utworzenie oddzielnej aplikacji podczas testowania integracji. Dowiedz się więcej o dodawaniu aplikacji z galerii.
Krok 4. Definiowanie, kto będzie w zakresie aprowizacji
Usługa aprowizacji firmy Microsoft umożliwia określanie zakresu, kto będzie aprowizować na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika lub grupy. Jeśli zdecydujesz się określić zakres aprowizacji aplikacji na podstawie przypisania, możesz użyć kroków przypisywania użytkowników i grup do aplikacji. Jeśli zdecydujesz się określić zakres, kto będzie aprowizować wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtru określania zakresu.
Pamiętaj o następujących wskazówkach:
Podczas przypisywania użytkowników i grup do usługi ServiceNow należy wybrać rolę inną niż dostęp domyślny. Użytkownicy z rolą Dostęp domyślny są wykluczeni z aprowizacji, a w dziennikach aprowizacji zostaną oznaczeni jako niemający skutecznego uprawnienia. Jeśli jedyną rolą dostępną w aplikacji jest rola Dostęp domyślny, możesz zaktualizować manifest aplikacji, aby dodać więcej ról.
Jeśli potrzebujesz dodatkowych ról, możesz zaktualizować manifest aplikacji, aby dodać nowe role.
Krok 5. Konfigurowanie automatycznej aprowizacji użytkowników w usłudze ServiceNow
Ta sekcja zawiera instrukcje konfigurowania usługi aprowizacji firmy Microsoft w celu tworzenia, aktualizowania i wyłączania użytkowników i grup w usłudze TestApp. Konfigurację można opierać na przypisaniach użytkowników i grup w identyfikatorze Entra firmy Microsoft.
Aby skonfigurować automatyczną aprowizację użytkowników dla usługi ServiceNow w identyfikatorze Entra firmy Microsoft:
Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej Administracja istrator aplikacji w chmurze.
Przejdź do aplikacji dla przedsiębiorstw usługi Identity>Applications>.
Na liście aplikacji wybierz pozycję ServiceNow.
Wybierz kartę Aprowizacja.
Ustaw wartość Tryb aprowizacji na Wartość Automatyczna.
W sekcji Administracja Credentials (Poświadczenia) wprowadź poświadczenia administratora usługi ServiceNow i nazwę użytkownika. Wybierz pozycję Test Połączenie ion, aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługą ServiceNow. Jeśli połączenie nie powiedzie się, upewnij się, że konto usługi ServiceNow ma uprawnienia administratora i spróbuj ponownie.
W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji. Następnie zaznacz pole wyboru Wyślij powiadomienie e-mail po wystąpieniu błędu.
Wybierz pozycję Zapisz.
W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Microsoft Entra z usługą ServiceNow.
Przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do usługi ServiceNow w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowywania są używane do dopasowywania kont użytkowników w usłudze ServiceNow na potrzeby operacji aktualizacji.
Jeśli zdecydujesz się zmienić pasujący atrybut docelowy, musisz upewnić się, że interfejs API usługi ServiceNow obsługuje filtrowanie użytkowników na podstawie tego atrybutu.
Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.
W sekcji Mapowania wybierz pozycję Synchronizuj grupy firmy Microsoft z usługą ServiceNow.
Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora Entra firmy Microsoft do usługi ServiceNow w sekcji Mapowanie atrybutów. Atrybuty wybrane jako Właściwości dopasowania są używane do dopasowania grup w usłudze ServiceNow do operacji aktualizacji. Wybierz przycisk Zapisz, aby zatwierdzić wszelkie zmiany.
Aby skonfigurować filtry określania zakresu, zobacz instrukcje w samouczku Filtrowanie zakresu.
Aby włączyć usługę aprowizacji firmy Microsoft dla usługi ServiceNow, zmień stan aprowizacji na Wł. w sekcji Ustawienia.
Zdefiniuj użytkowników i grupy, które chcesz aprowizować w usłudze ServiceNow, wybierając żądane wartości w sekcji Zakres w sekcji Ustawienia.
Gdy wszystko będzie gotowe do aprowizacji, wybierz pozycję Zapisz.
Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle. Kolejne cykle występują około co 40 minut, o ile usługa aprowizacji firmy Microsoft jest uruchomiona.
Krok 6. Monitorowanie wdrożenia
Po skonfigurowaniu aprowizacji użyj następujących zasobów, aby monitorować wdrożenie:
- Użyj dzienników aprowizacji, aby określić, którzy użytkownicy zostali pomyślnie aprowizowani lub nie powiodły się.
- Sprawdź pasek postępu, aby zobaczyć stan cyklu aprowizacji i sposób jego zakończenia.
- Jeśli konfiguracja aprowizacji jest w złej kondycji, aplikacja przejdzie w stan kwarantanny. Dowiedz się więcej o stanach kwarantanny.
Wskazówki dotyczące rozwiązywania problemów
W przypadku aprowizacji niektórych atrybutów (takich jak Dział i Lokalizacja) w usłudze ServiceNow wartości muszą już istnieć w tabeli referencyjnej w usłudze ServiceNow. Jeśli tak nie jest, zostanie wyświetlony błąd InvalidLookupReference .
Możesz na przykład mieć dwie lokalizacje (Seattle, Los Angeles) i trzy działy (Sales, Finance, Marketing) w określonej tabeli w usłudze ServiceNow. Jeśli spróbujesz aprowizować użytkownika, którego dział to "Sales" i którego lokalizacja to "Seattle", ten użytkownik zostanie pomyślnie zainicjowany. Jeśli spróbujesz aprowizować użytkownika, którego dział ma wartość "Sales" i którego lokalizacja to "LA", użytkownik nie zostanie aprowizowany. Lokalizację "LA" należy dodać do tabeli referencyjnej w usłudze ServiceNow lub atrybut użytkownika w identyfikatorze Entra firmy Microsoft musi zostać zaktualizowany, aby był zgodny z formatem w usłudze ServiceNow.
Jeśli wystąpi błąd EntryJoiningPropertyValueIsSsing , przejrzyj mapowania atrybutów , aby zidentyfikować pasujący atrybut. Ta wartość musi znajdować się w użytkowniku lub grupie, którą próbujesz aprowizować.
Aby zrozumieć wszelkie wymagania lub ograniczenia (na przykład format określania kodu kraju dla użytkownika), zapoznaj się z interfejsem API protokołu SOAP usługi ServiceNow.
Żądania aprowizacji są domyślnie wysyłane do https://{nazwa-wystąpienia}.service-now.com/{nazwa-tabeli}. Jeśli potrzebujesz niestandardowego adresu URL dzierżawy, możesz podać cały adres URL jako nazwę wystąpienia.
Błąd ServiceNowInstanceInvalid wskazuje problem podczas komunikacji z wystąpieniem usługi ServiceNow. Oto tekst błędu:
Details: Your ServiceNow instance name appears to be invalid. Please provide a current ServiceNow administrative user name and password along with the name of a valid ServiceNow instance.
Jeśli masz problemy z testowym połączeniem, spróbuj wybrać pozycję Nie dla następujących ustawień w usłudze ServiceNow:
Ustawienia zabezpieczeń systemu — wysoki poziom zabezpieczeń>>Wymagaj podstawowego uwierzytelniania dla przychodzących żądań SCHEMATu
Usługi sieci Web>Właściwości>systemu wymagają podstawowej autoryzacji dla przychodzących żądań PROTOKOŁU SOAP
Jeśli nadal nie możesz rozwiązać problemu, skontaktuj się z pomocą techniczną usługi ServiceNow i poproś go o włączenie debugowania protokołu SOAP, aby ułatwić rozwiązywanie problemów.
Usługa aprowizacji firmy Microsoft obecnie działa w określonych zakresach adresów IP. W razie potrzeby możesz ograniczyć inne zakresy adresów IP i dodać te określone zakresy adresów IP do listy dozwolonych aplikacji. Ta technika umożliwi przepływ ruchu z usługi aprowizacji firmy Microsoft do aplikacji.
Wystąpienia usługi ServiceNow (self-hosted) nie są obsługiwane.
Jeśli aktualizacja aktywnego atrybutu w usłudze ServiceNow jest aprowizowana, locked_out atrybut jest również aktualizowany odpowiednio, nawet jeśli locked_out nie jest mapowany w usłudze aprowizacji platformy Azure.
Dodatkowe zasoby
- Zarządzanie aprowizowaniem konta użytkownika dla aplikacji dla przedsiębiorstw
- Co to jest logowanie jednokrotne w usłudze Microsoft Entra ID?