Configurar o ServiceNow para o provisionamento automático de usuários

Este tutorial descreve as etapas que você precisa executar no ServiceNow e na ID do Microsoft Entra para configurar o provisionamento automático de usuário. Quando configurada, a ID do Microsoft Entra provisiona e desprovisiona usuários e grupos automaticamente no ServiceNow usando o serviço de provisionamento do Microsoft Entra.

Para obter mais informações sobre o serviço de provisionamento automático de usuário do Microsoft Entra, confira Automatizar o provisionamento e o desprovisionamento de usuários em aplicativos SaaS com a ID do Microsoft Entra.

Funcionalidades com suporte

  • Criar usuários no ServiceNow.
  • Remover usuários no ServiceNow quando eles não precisarem mais de acesso.
  • Manter os atributos de usuário sincronizados entre a ID do Microsoft Entra e o ServiceNow.
  • Provisionar grupos e associações de grupo no ServiceNow.
  • Permitir o logon único no ServiceNow (recomendado).

Pré-requisitos

  • Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se você ainda não tem uma conta, é possível criar uma conta gratuita.
  • Uma das seguintes funções: administrador global, administrador de aplicativos de nuvem, administrador de aplicativos ou proprietário da entidade de serviço.
  • Uma instância do ServiceNow de Calgary ou superior.
  • Uma instância do ServiceNow Express de Helsinque ou superior.
  • Uma conta de usuário no ServiceNow com a função de administrador.

Observação

Essa integração também está disponível para uso no ambiente de Nuvem do Governo dos EUA do Microsoft Entra. Você pode encontrar esse aplicativo na Galeria de Aplicativos de Nuvem do Governo dos EUA do Microsoft Entra e configurá-lo da mesma forma que você faz isso na nuvem pública.

Etapa 1: Planeje a implantação do provisionamento

Etapa 2: Configurar o ServiceNow para dar suporte ao provisionamento com a ID do Microsoft Entra

  1. Identifique o nome da instância do ServiceNow. O nome da instância pode ser encontrado na URL que você usa para acessar o ServiceNow. No exemplo a seguir, o nome da instância é dev35214.

    Screenshot that shows a ServiceNow instance.

  2. Obtenha as credenciais de um administrador no ServiceNow. Vá até o perfil do usuário no ServiceNow e verifique se o usuário tem a função de administrador.

    Screenshot that shows a ServiceNow admin role.

Adicione o ServiceNow por meio da galeria de aplicativos do Microsoft Entra para começar a gerenciar o provisionamento no ServiceNow. Se já tiver configurado o ServiceNow para SSO (logon único), você poderá usar o mesmo aplicativo. No entanto, recomendamos que você crie um aplicativo diferente quando estiver testando a integração. Saiba mais sobre como adicionar um aplicativo da galeria.

Etapa 4: Defina quem estará no escopo de provisionamento

O serviço de provisionamento do Microsoft Entra permite definir quem estará no escopo de provisionamento com base na atribuição ao aplicativo ou nos atributos do usuário ou do grupo. Se você optar por definir quem estará no escopo de provisionamento com base na atribuição, poderá usar as etapas para atribuir usuários e grupos ao aplicativo. Se você optar por definir quem estará no escopo de provisionamento com base somente em atributos do usuário ou do grupo, poderá usar um filtro de escopo.

Tenha as seguintes dicas em mente:

  • Ao atribuir usuários e grupos ao ServiceNow, é preciso selecionar uma função diferente de Acesso Padrão. Os usuários com a função Acesso Padrão são excluídos do provisionamento e serão marcados como "Não qualificado efetivamente" nos logs de provisionamento. Se a única função disponível no aplicativo for a de Acesso Padrão, você poderá atualizar o manifesto do aplicativo para adicionar mais funções.

  • Se você precisar de funções adicionais, poderá atualizar o manifesto do aplicativo para adicionar novas funções.

Etapa 5: Configure o provisionamento automático de usuários para o ServiceNow

Esta seção descreve as etapas de configuração do serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e grupos no TestApp. Você pode basear a configuração em atribuições de usuário e de grupo na ID do Microsoft Entra.

Para configurar o provisionamento automático de usuário para o ServiceNow na ID do Microsoft Entra:

  1. Entre no Centro de administração do Microsoft Entra como pelo menos Administrador de Acesso Condicional.

  2. Navegue até Identidade>Aplicativos>Aplicativos Empresariais.

    Screenshot that shows the Enterprise applications pane.

  3. Na lista de aplicativos, selecione ServiceNow.

  4. Selecione a guia Provisionamento.

  5. Defina o Modo de Provisionamento como Automático.

  6. Na seção Credenciais do Administrador, insira as credenciais de administrador e o nome de usuário do ServiceNow. Selecione Testar Conectividade para verificar se a ID do Microsoft Entra pode se conectar ao ServiceNow. Se a conexão falhar, verifique se a conta do ServiceNow tem permissões de Administrador e tente novamente.

  7. Na caixa Email de Notificação, insira o endereço de email de uma pessoa ou um grupo que deve receber as notificações do erro de provisionamento. Depois, marque a caixa de seleção Enviar uma notificação por email quando ocorrer uma falha.

  8. Selecione Salvar.

  9. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com o ServiceNow.

  10. Revise os atributos de usuário que serão sincronizados da ID do Microsoft Entra com o ServiceNow na seção Mapeamento de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para corresponder as contas de usuário do ServiceNow em operações de atualização.

    Se você optar por alterar o atributo de destino correspondente, precisará garantir que a API do ServiceNow seja compatível com a filtragem de usuários com base no atributo em questão.

    Selecione o botão Salvar para confirmar as alterações.

  11. Na seção Mapeamentos, selecione Sincronizar grupos do Microsoft Entra com o ServiceNow.

  12. Revise os atributos de grupo que serão sincronizados da ID do Microsoft Entra com o ServiceNow na seção Mapeamento de Atributos. Os atributos selecionados como propriedades Correspondentes são usados para corresponder os grupos no ServiceNow em operações de atualização. Selecione o botão Salvar para confirmar as alterações.

  13. Para configurar filtros de escopo, confira as instruções fornecidas no tutorial sobre filtros de escopo.

  14. Para habilitar o serviço de provisionamento do Microsoft Entra no ServiceNow, altere o Status de Provisionamento para Ativado na seção Configurações.

  15. Defina os usuários e/ou os grupos que deseja provisionar no ServiceNow escolhendo os valores desejados em Escopo na seção Configurações.

    Screenshot that shows choices for provisioning scope.

  16. Quando estiver pronto para fazer o provisionamento, selecione Salvar.

Essa operação começa o ciclo de sincronização inicial de todos os usuários e grupos definidos no Escopo na seção Configurações. O ciclo inicial demora mais para ser executado do que os posteriores. Os ciclos seguintes ocorrem aproximadamente a cada 40 minutos, desde que o serviço de provisionamento do Microsoft Entra esteja em execução.

Etapa 6: Monitorar a implantação

Após configurar o provisionamento, use os seguintes recursos para monitorar a implantação:

Dicas de solução de problemas

  • Ao provisionar determinados atributos (como Departamento e Localização), os valores já devem existir em uma tabela de referência no ServiceNow. Se não forem, você obterá um erro de InvalidLookupReference.

    Por exemplo, você pode ter dois locais (Seattle, Los Angeles) e três departamentos (Vendas, Finanças, Marketing) em uma tabela no ServiceNow. Se você tentar provisionar um usuário do departamento de "Vendas" e da localização "Seattle", ele será provisionado com sucesso. Se você tentar provisionar um usuário do departamento de "Vendas" e da localização "LA", ele não será provisionado. A localização “LA” precisa ser adicionada à tabela de referência no ServiceNow ou o atributo de usuário da ID do Microsoft Entra precisa ser atualizado para corresponder ao formato do ServiceNow.

  • Se você receber um erro EntryJoiningPropertyValueIsMissing, examine os mapeamentos de atributo para identificar o atributo correspondente. Esse valor precisa estar presente no usuário ou no grupo que você quer provisionar.

  • Para entender os requisitos ou as limitações (por exemplo, o formato para especificar o código de país de um usuário), examine a API SOAP do ServiceNow.

  • As solicitações de provisionamento são enviadas por padrão para https://{nome-da-instância}.service-now.com/{nome-da-tabela}. Se você precisar de uma URL de locatário personalizada, forneça a URL completa como o nome da instância.

  • O erro ServiceNowInstanceInvalid indica um problema ao se comunicar com a instância do ServiceNow. Este é o texto do erro:

    Details: Your ServiceNow instance name appears to be invalid. Please provide a current ServiceNow administrative user name and password along with the name of a valid ServiceNow instance.

    Se tiver problemas com a conexão de teste, tente selecionar Não para as seguintes configurações no ServiceNow:

    • Segurança do Sistema>Configurações de Alta Segurança>Exigir autenticação Básica para solicitações SCHEMA de entrada

    • Propriedades do Sistema>Serviços Web>Exigir autorização básica para solicitações SOAP de entrada

      Screenshot that shows the option for authorizing SOAP requests.

    Se você ainda não conseguir resolver o problema, contate o suporte da ServiceNow e solicite para ativar a depuração de SOAP para ajudar a solucionar o problema.

  • Atualmente, o serviço de provisionamento do Microsoft Entra opera em intervalos de IP específicos. Se necessário, você poderá restringir outros intervalos de IP e adicionar esses intervalos de IP específicos à lista de permissões do aplicativo. Essa técnica permitirá o fluxo de tráfego do serviço de provisionamento do Microsoft Entra para seu aplicativo.

  • Não há suporte para instâncias do ServiceNow auto-hospedadas.

  • Quando uma atualização para o atributo active no ServiceNow é provisionada, o atributo locked_out também é atualizado adequadamente, mesmo que locked_out não esteja mapeado no serviço de provisionamento do Azure.

Recursos adicionais

Próximas etapas