Konfigurowanie usługi ServiceNow na potrzeby automatycznej aprowizacji użytkowników przy użyciu identyfikatora Entra firmy Microsoft

W tym artykule opisano kroki wymagane do skonfigurowania automatycznej aprowizacji użytkowników zarówno w usłudze ServiceNow, jak i Microsoft Entra ID. Po skonfigurowaniu Microsoft Entra ID automatycznie aprowizuje i deaprowizuje użytkowników oraz grupy w ServiceNow przy użyciu usługi aprowizacji Microsoft Entra.

Aby uzyskać więcej informacji na temat usługi automatycznej aprowizacji użytkowników firmy Microsoft, zobacz Automatyzowanie aprowizacji użytkowników i anulowanie aprowizacji aplikacji SaaS przy użyciu identyfikatora Entra firmy Microsoft.

Obsługiwane funkcje

• Tworzenie użytkowników w usłudze ServiceNow.
• Usuń użytkowników w usłudze ServiceNow, gdy nie będą już potrzebować dostępu.
• Zachowaj synchronizację atrybutów użytkownika między identyfikatorem Entra firmy Microsoft i usługą ServiceNow.
• Zarządzaj grupami i członkostwami w grupach w usłudze ServiceNow.
• Zezwalaj na logowanie jednokrotne do usługi ServiceNow (zalecane).

Wymagania wstępne

• Konto użytkownika Microsoft Entra z aktywną subskrypcją. Jeśli jeszcze go nie masz, możesz bezpłatnie utworzyć konto.
• Jedną z następujących ról: administrator aplikacji , administrator aplikacji w chmurze lub właściciel aplikacji .
• Instancja ServiceNow wersja Calgary lub nowsza.
• Wystąpienie usługi ServiceNow Express w wersji Helsinki lub wyższej.
• Konto użytkownika w usłudze ServiceNow z rolą administratora.

Uwaga / Notatka

Ta integracja jest również dostępna do użycia w środowisku microsoft Entra US Government Cloud. Tę aplikację można znaleźć w galerii aplikacji microsoft Entra US Government Cloud Application Gallery i skonfigurować ją w taki sam sposób, jak w przypadku chmury publicznej.

Krok 1: Zaplanuj wdrożenie zaopatrzenia

• Dowiedz się, jak działa usługa wdrażania.
• Określ, kto jest objęty zakresem udostępniania.
• Ustal, jakie dane mają być mapowane między identyfikatorem Entra firmy Microsoft a usługą ServiceNow.

Krok 2. Konfigurowanie usługi ServiceNow w celu obsługi aprowizacji przy użyciu identyfikatora Entra firmy Microsoft

1. Zidentyfikuj nazwę instancji ServiceNow. Nazwę instancji można znaleźć w adresie URL, który służy do dostępu do usługi ServiceNow. W poniższym przykładzie nazwa wystąpienia to dev35214.

   

2. Uzyskaj poświadczenia administratora w usłudze ServiceNow. Przejdź do profilu użytkownika w usłudze ServiceNow i sprawdź, czy użytkownik ma rolę administratora.

   

Krok 3. Dodawanie usługi ServiceNow z galerii aplikacji Microsoft Entra

Dodaj ServiceNow z galerii aplikacji Microsoft Entra, aby rozpocząć zarządzanie wdrażaniem do ServiceNow. Jeśli wcześniej skonfigurowano usługę ServiceNow na potrzeby logowania jednokrotnego, możesz użyć tej samej aplikacji. Zalecamy jednak utworzenie oddzielnej aplikacji podczas testowania integracji. Dowiedz się więcej o dodawaniu aplikacji z galerii.

Krok 4. Określ, kto jest objęty zakresem udostępniania

Usługa aprowizacji Microsoft Entra umożliwia definiowanie, kto ma być aprowizowany na podstawie przypisania do aplikacji lub na podstawie atrybutów użytkownika lub grupy. Jeśli zdecydujesz się określić, komu aplikacja będzie udostępniana na podstawie przypisania, możesz skorzystać z kroków do przypisania użytkowników i grup do aplikacji. Jeśli zdecydujesz się określić, kto jest objęty zakresem wyłącznie na podstawie atrybutów użytkownika lub grupy, możesz użyć filtru określania zakresu.

• Zacznij od małego Przeprowadź test z użyciem mniejszego zestawu użytkowników i grup, zanim wdrożysz to rozwiązanie dla wszystkich. Gdy zakres przydzielania jest ustawiony na przypisanych użytkowników i grupy, możesz kontrolować to, przypisując jednego lub dwóch użytkowników albo jedną lub dwie grupy do aplikacji. Gdy zakres jest ustawiony na wszystkich użytkowników i grupy, można określić filtr określania zakresu na podstawie atrybutów.

• Jeśli potrzebujesz dodatkowych ról, możesz zaktualizować manifest aplikacji , aby dodać nowe role.

Krok 5. Konfigurowanie automatycznej aprowizacji użytkowników dla ServiceNow

Ta sekcja zawiera instrukcje, jak skonfigurować usługę aprowizacji Microsoft Entra w celu tworzenia, aktualizowania i wyłączania użytkowników i grup w aplikacji TestApp. Konfigurację można opierać na przypisaniach użytkowników i grup w identyfikatorze Entra firmy Microsoft.

Aby skonfigurować automatyczną aprowizację użytkowników dla usługi ServiceNow w Microsoft Entra ID:

1. Zaloguj się do centrum administracyjnego Microsoft Entra z uprawnieniami co najmniej Administratora aplikacji w chmurze.

2. Przejdź do aplikacji Entra ID>Dla przedsiębiorstw.

   

3. Na liście aplikacji wybierz pozycję ServiceNow.

4. Wybierz zakładkę Provisioning.

5. Ustaw Tryb konfiguracji na Automatyczny.

6. W sekcji Poświadczenia administratora wprowadź poświadczenia administratora usługi ServiceNow i nazwę użytkownika. Wybierz pozycję Testuj połączenie , aby upewnić się, że identyfikator Entra firmy Microsoft może nawiązać połączenie z usługą ServiceNow. Jeśli połączenie nie powiedzie się, upewnij się, że konto usługi ServiceNow ma uprawnienia administratora i spróbuj ponownie.

7. W polu Wiadomość e-mail z powiadomieniem wprowadź adres e-mail osoby lub grupy, która powinna otrzymywać powiadomienia o błędach aprowizacji. Następnie zaznacz pole wyboru Wyślij powiadomienie e-mail po wystąpieniu błędu .

8. Wybierz Zapisz.

9. W sekcji Mapowania wybierz pozycję Synchronizuj użytkowników usługi Microsoft Entra z usługą ServiceNow.

10. Przejrzyj atrybuty użytkownika synchronizowane z identyfikatora Entra firmy Microsoft do usługi ServiceNow w sekcji Mapowanie atrybutów . Atrybuty wybrane jako Właściwości dopasowywania są używane do dopasowywania kont użytkowników w usłudze ServiceNow na potrzeby operacji aktualizacji.

    Jeśli zdecydujesz się zmienić pasujący atrybut docelowy, musisz upewnić się, że interfejs API usługi ServiceNow obsługuje filtrowanie użytkowników na podstawie tego atrybutu.

    Wybierz przycisk Zapisz , aby zatwierdzić wszelkie zmiany.

11. W sekcji Mapowania wybierz pozycję Synchronizuj grupy Microsoft Entra z ServiceNow.

12. Przejrzyj atrybuty grupy, które są synchronizowane z identyfikatora Entra firmy Microsoft do usługi ServiceNow w sekcji Mapowanie atrybutów . Atrybuty wybrane jako Właściwości dopasowania są używane do dopasowania grup w usłudze ServiceNow do operacji aktualizacji. Wybierz przycisk Zapisz , aby zatwierdzić wszelkie zmiany.

13. Aby skonfigurować filtry określania zakresu, zapoznaj się z instrukcjami w artykule O filtrach zakresu.

14. Aby włączyć usługę aprowizacji firmy Microsoft dla usługi ServiceNow, zmień stan aprowizacji na Włączone w sekcji Ustawienia.

15. Zdefiniuj użytkowników i grupy, które chcesz aprowizować w usłudze ServiceNow, wybierając żądane wartości w obszarze Zakres w sekcji Ustawienia .

    

16. Gdy będziesz gotowy do konfigurowania, wybierz Zapisz.

Ta operacja spowoduje rozpoczęcie cyklu synchronizacji początkowej wszystkich użytkowników i grup zdefiniowanych w obszarze Zakres w sekcji Ustawienia. Cykl początkowy trwa dłużej niż kolejne cykle. Kolejne cykle występują około co 40 minut, o ile usługa Microsoft Entra prowizjonowania jest uruchomiona.

Krok 6. Monitorowanie wdrożenia

Po skonfigurowaniu aprowizacji użyj następujących zasobów, aby monitorować wdrożenie:

1. Użyj dzienników przydzielania , aby określić, którzy użytkownicy zostali pomyślnie przydzieleni lub dla których proces przydzielania się nie powiódł.
2. Sprawdź pasek postępu , aby zobaczyć stan cyklu wdrażania i sprawdzić, jak blisko jest do zakończenia.
3. Jeśli konfiguracja aprowizacji wydaje się być w złej kondycji, aplikacja przechodzi do kwarantanny. Dowiedz się więcej o stanach kwarantanny z artykułu dotyczącego statusu kwarantanny podczas aprowizacji aplikacji.

Wskazówki dotyczące rozwiązywania problemów

• W przypadku aprowizacji niektórych atrybutów (takich jak Dział i Lokalizacja) w usłudze ServiceNow wartości muszą już istnieć w tabeli referencyjnej w usłudze ServiceNow. Jeśli tak nie jest, zostanie wyświetlony błąd InvalidLookupReference .

  Możesz na przykład mieć dwie lokalizacje (Seattle, Los Angeles) i trzy działy (Sales, Finance, Marketing) w określonej tabeli w usłudze ServiceNow. Jeśli spróbujesz skonfigurować użytkownika, którego dział to "Sales", a lokalizacja to "Seattle", użytkownik zostanie pomyślnie skonfigurowany. Jeśli spróbujesz aprowizować użytkownika, którego dział ma wartość "Sales" i którego lokalizacja to "LA", użytkownik nie zostanie aprowizowany. Lokalizację "LA" należy dodać do tabeli referencyjnej w usłudze ServiceNow lub atrybut użytkownika w identyfikatorze Entra firmy Microsoft musi zostać zaktualizowany, aby był zgodny z formatem w usłudze ServiceNow.

• Jeśli wystąpi błąd EntryJoiningPropertyValueIsMissing, przejrzyj mapowania atrybutów, aby zidentyfikować pasujący atrybut. Ta wartość musi znajdować się w użytkowniku lub grupie, którą próbujesz aprowizować.

• Aby zrozumieć wszelkie wymagania lub ograniczenia (na przykład format określania kodu kraju dla użytkownika), zapoznaj się z interfejsem API protokołu SOAP usługi ServiceNow.

• Żądania aprowizacji są domyślnie wysyłane do https://{nazwa-wystąpienia}.service-now.com/{nazwa-tabeli}. Jeśli potrzebujesz niestandardowego adresu URL dzierżawy, możesz podać cały adres URL jako nazwę wystąpienia.

• Błąd ServiceNowInstanceInvalid wskazuje na problem z komunikacją z instancją ServiceNow. Oto tekst błędu:

  Details: Your ServiceNow instance name appears to be invalid. Please provide a current ServiceNow administrative user name and password along with the name of a valid ServiceNow instance.

  Jeśli masz problemy z testowym połączeniem, spróbuj wybrać pozycję Nie dla następujących ustawień w usłudze ServiceNow:

  • Zabezpieczenia> systemuUstawienia wysokich> zabezpieczeńWymagaj podstawowego uwierzytelniania dla przychodzących żądań SCHEMATu

  • Właściwości> systemuUsługi> sieci WebWymagaj podstawowej autoryzacji dla przychodzących żądań PROTOKOŁU SOAP

    

  Jeśli nadal nie możesz rozwiązać problemu, skontaktuj się z pomocą techniczną usługi ServiceNow i poproś go o włączenie debugowania protokołu SOAP, aby ułatwić rozwiązywanie problemów.

• Usługa aprowizacji firmy Microsoft obecnie działa w określonych zakresach adresów IP. W razie potrzeby możesz ograniczyć inne zakresy adresów IP i dodać te określone zakresy adresów IP do listy dozwolonych aplikacji. Ta strategia umożliwi przepływ ruchu z usługi aprowizacji Microsoft Entra do Twojej aplikacji.

• Wystąpienia usługi ServiceNow hostowane lokalnie nie są obsługiwane.

• Gdy aktualizacja atrybutu aktywnego w usłudze ServiceNow zostanie wprowadzona, atrybut locked_out jest również aktualizowany, nawet jeśli locked_out nie jest odwzorowany w usłudze aprowizacji platformy Azure.

Dodatkowe zasoby

• Zarządzanie aprowizowaniem konta użytkownika dla aplikacji dla przedsiębiorstw
• Co to jest logowanie jednokrotne w usłudze Microsoft Entra ID?

Treści powiązane

• Dowiedz się, jak przeglądać dzienniki i pobrać raporty dotyczące działań zaopatrzenia