Share via

Tutorial: Criação automatizada de tíquetes ServiceNow com integração do Microsoft Entra Entitlement Management

  • Artigo

Cenário: Neste cenário, você aprenderá a usar a extensibilidade personalizada e um Aplicativo Lógico para gerar automaticamente tíquetes do ServiceNow para provisionamento manual de usuários que receberam atribuições e precisam acessar aplicativos.

Neste tutorial, irá aprender a:

  • Adicionar um fluxo de trabalho de aplicativo lógico a um catálogo existente.
  • Adicionar uma extensão personalizada a uma política dentro de um pacote de acesso existente.
  • Registrar um aplicativo no Microsoft Entra ID para retomar o fluxo de trabalho do Gerenciamento de Direitos
  • Configurando o ServiceNow para autenticação de automação.
  • Solicitar acesso a um pacote de acesso como utilizador final.
  • Receber acesso ao pacote de acesso solicitado como utilizador final.

Pré-requisitos

Nota

Recomenda-se usar uma função de privilégio mínimo ao concluir essas etapas.

Adicionando fluxo de trabalho do aplicativo lógico a um catálogo existente para gerenciamento de direitos

Para adicionar um fluxo de trabalho do Aplicativo Lógico a um catálogo existente, use o modelo ARM para a criação do Aplicativo Lógico aqui:

Implementar no Azure.

Captura de tela do modelo ARM do Logic App.

Forneça a assinatura do Azure, os detalhes do grupo de recursos, juntamente com o nome do Aplicativo Lógico e a ID do Catálogo para associar o Aplicativo Lógico e selecione a compra. Para obter mais informações sobre como criar um novo catálogo, siga as etapas neste documento: Criar e gerenciar um catálogo de recursos no gerenciamento de direitos.

  1. Navegue até Microsoft Entra admin center Identity Governance - Microsoft Entra admin center como pelo menos a função de Identity Governance Administrator.

    Gorjeta

    Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo e o proprietário do grupo de recursos.

  2. No menu à esquerda, selecione Catálogos.

  3. Selecione o catálogo para o qual você deseja adicionar uma extensão personalizada e, em seguida, no menu à esquerda, selecione Extensões personalizadas.

  4. Na barra de navegação do cabeçalho, selecione Adicionar uma extensão personalizada.

  5. Na guia Noções básicas, insira o nome da extensão personalizada e uma descrição do fluxo de trabalho. Esses campos aparecem na guia Extensões personalizadas do catálogo. Captura de tela da criação de uma extensão personalizada para gerenciamento de direitos.

  6. Selecione o Tipo de extensão como "Fluxo de trabalho de solicitação" para corresponder ao estágio de política do pacote de acesso solicitado que está sendo criado. Captura de tela da guia Ações de comportamento de extensão personalizada de gerenciamento de direitos.

  7. Selecione Iniciar e aguarde na Configuração de extensão, que pausará a ação do pacote de acesso associado até que o Aplicativo Lógico vinculado à extensão conclua sua tarefa e uma ação de retomada seja enviada pelo administrador para continuar o processo. Para obter mais informações sobre esse processo, consulte: Configurando extensões personalizadas que pausam os processos de gerenciamento de direitos.

  8. Na guia Detalhes, escolha Não no campo "Criar novo aplicativo lógico", pois o aplicativo lógico já foi criado nas etapas anteriores. No entanto, você precisa fornecer os detalhes da assinatura do Azure e do grupo de recursos, juntamente com o nome do Aplicativo Lógico. Captura de ecrã do separador de detalhes da extensão personalizada de gestão de direitos.

  9. Em Rever e Criar, reveja o resumo da sua extensão personalizada e certifique-se de que os detalhes do texto explicativo da Aplicação Lógica estão corretos. Depois, selecione Criar.

  10. Essa extensão personalizada para o Aplicativo Lógico vinculado agora aparece na guia Extensões Personalizadas, em Catálogos. Você pode recorrer a isso nas políticas do pacote de acesso.

Gorjeta

Para saber mais sobre o recurso de extensão personalizado que pausa os processos de gerenciamento de direitos, consulte: Configurando extensões personalizadas que pausam os processos de gerenciamento de direitos.

Adicionando extensão personalizada a uma política em um pacote de acesso existente

Depois de configurar a extensibilidade personalizada no catálogo, os administradores podem criar um pacote de acesso com uma política para acionar a extensão personalizada quando a solicitação for aprovada. Isso permite que eles definam requisitos de acesso específicos e adaptem o processo de revisão de acesso para atender às necessidades de sua organização.

  1. No portal de Governança de Identidade, como pelo menos um Administrador de Governança de Identidade, selecione Pacotes de acesso.

    Gorjeta

    Outras funções de menor privilégio que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.

  2. Selecione o pacote de acesso ao qual deseja adicionar uma extensão personalizada (Logic App) na lista de pacotes de acesso que já foram criados.

  3. Mude para a guia política, selecione a política e selecione Editar.

  4. Nas configurações de política, vá para a guia Extensões personalizadas .

  5. No menu abaixo de Palco, selecione o evento do pacote de acesso que você deseja usar como gatilho para esta extensão personalizada (Logic App). Para o nosso cenário, para acionar o fluxo de trabalho de extensão personalizada do Aplicativo Lógico quando o pacote de acesso tiver sido aprovado, selecione Solicitação aprovada.

Nota

Para criar um tíquete ServiceNow para uma atribuição expirada que teve permissão concedida anteriormente, adicione um novo estágio para "A atribuição foi removida" e selecione o LogicApp.

  1. No menu abaixo de Extensão personalizada, selecione a extensão personalizada (Logic App) que você criou nas etapas acima para adicionar a este pacote de acesso. A ação selecionada é executada quando ocorre o evento selecionado no campo when .

  2. Selecione Atualizar para adicioná-lo à política de um pacote de acesso existente. Captura de ecrã dos detalhes da extensão personalizada para um pacote de acesso.

Nota

Selecione Novo pacote de acesso se quiser criar um novo pacote de acesso. Para obter mais informações sobre como criar um pacote de acesso, consulte: Criar um novo pacote de acesso no gerenciamento de direitos. Para obter mais informações sobre como editar um pacote de acesso existente, consulte: Alterar configurações de solicitação para um pacote de acesso no gerenciamento de direitos do Microsoft Entra.

Registar uma aplicação com segredos no centro de administração do Microsoft Entra

Gorjeta

As etapas neste artigo podem variar ligeiramente com base no portal a partir do qual você começou.

Com o Azure, você pode usar o Cofre da Chave do Azure para armazenar segredos do aplicativo, como senhas. Para registar uma aplicação com segredos no centro de administração do Microsoft Entra, siga estes passos:

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Governança de Identidade.

  2. Navegue até Registros do aplicativo Identity>Applications>.

  3. Em Gerir, selecione Registos de > aplicações Novo registo.

  4. Insira um Nome de exibição para seu aplicativo.

  5. Selecione "Contas somente neste diretório organizacional" no tipo de conta suportado.

  6. Selecione Registar.

Depois de registrar seu aplicativo, você deve adicionar um segredo do cliente seguindo estas etapas:

  1. Navegue até Registros do aplicativo Identity>Applications>.

  2. Selecione a sua aplicação.

  3. Selecione Certificados & segredos Segredos do > cliente Novo segredo do > cliente.

  4. Adicione uma descrição do segredo do cliente.

  5. Selecione uma expiração para o segredo ou especifique um tempo de vida personalizado.

  6. Selecione Adicionar.

Nota

Para obter informações mais detalhadas sobre como registrar um aplicativo, consulte: Guia de início rápido: registrar um aplicativo na plataforma de identidade da Microsoft:

Para autorizar o aplicativo criado a chamar a API de currículo do MS Graph, você deve executar as seguintes etapas:

  1. Navegue até o centro de administração do Microsoft Entra Governança de identidade - Centro de administração do Microsoft Entra

  2. No menu à esquerda, selecione Catálogos.

  3. Selecione o catálogo ao qual você adicionou a extensão personalizada.

  4. Selecione o menu "Funções e administradores" e selecione "+ Adicionar gerenciador de atribuições de pacote de acesso".

  5. Na caixa de diálogo Selecionar membros, procure o aplicativo criado pelo nome ou identificador do aplicativo. Selecione o aplicativo e escolha o botão "Selecionar ".

Gorjeta

Você pode encontrar informações mais detalhadas sobre delegação e funções na documentação oficial da Microsoft localizada aqui: Delegação e funções no gerenciamento de direitos.

Configurando o ServiceNow para autenticação de automação

Neste ponto, é hora de configurar o ServiceNow para retomar o fluxo de trabalho de gerenciamento de direitos após o fechamento do tíquete ServiceNow:

  1. Registre um aplicativo Microsoft Entra no Registro do Aplicativo ServiceNow seguindo estas etapas:
    1. Entre no ServiceNow e navegue até o Registro do Aplicativo.
    2. Selecione "Novo" e, em seguida, selecione "Conectar a um provedor OAuth de terceiros".
    3. Forneça um nome para o aplicativo e selecione Credenciais do Cliente no tipo de Concessão Padrão.
    4. Insira o Nome do Cliente, ID, Segredo do Cliente, URL de Autorização, URL de Token que foram gerados quando você registrou o aplicativo Microsoft Entra no centro de administração do Microsoft Entra.
    5. Submeta a candidatura. Captura de tela do registro do aplicativo no ServiceNow.
  2. Crie uma mensagem da API REST do Serviço Web do Sistema seguindo estas etapas:
    1. Vá para a seção Mensagens da API REST em Serviços Web do Sistema.
    2. Selecione o botão "Novo" para criar uma nova mensagem da API REST.
    3. Preencha todos os campos obrigatórios, que incluem o fornecimento do URL do ponto final: https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/${AccessPackageAssignmentRequestId}/resume
    4. Em Autenticação, selecione OAuth2.0 e escolha o perfil OAuth que foi criado durante o processo de registro do aplicativo.
    5. Selecione o botão "Enviar" para salvar as alterações.
    6. Volte para a seção Mensagens da API REST em Serviços Web do Sistema.
    7. Selecione Http Request e, em seguida, selecione "New". Digite um nome e selecione "POST" como o método Http.
    8. Na solicitação Http, adicione o conteúdo para os parâmetros de consulta Http usando o seguinte esquema de API: 
      {
"data": {
    "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
    "customExtensionStageInstanceId": "${StageInstanceId}",
    "stage": "${Stage}"
          },
          "source": "ServiceNow",
            "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
            }
    9. Selecione "Enviar" para salvar as alterações. Captura de tela da seleção de chamadas de currículo no ServiceNow.Captura de tela da solicitação http dentro do ServiceNow.
  3. Modificar o esquema da tabela de solicitação: para modificar o esquema da tabela de solicitação, faça alterações nas três tabelas mostradas na imagem a seguir: Captura de tela do esquema da tabela de solicitação no ServiceNow. Adicione o rótulo de três colunas e digite como string:
    • AccessPackageAssignmentRequestId
    • AccessPackageAssignmentStage
    • StageInstanceId
  4. Para automatizar o fluxo de trabalho com o Flow Designer, faça o seguinte:
    1. Entre no ServiceNow e vá para o Flow Designer.
    2. Selecione o botão "Novo" e crie uma nova ação.
    3. Adicione uma ação para invocar a mensagem da API REST do Serviço Web do Sistema que foi criada na etapa anterior. Captura de tela do script do designer de fluxo para retomar o processo de gerenciamento de direitos no ServiceNow. Script para a ação: (Atualize o script com os rótulos de coluna criados na etapa anterior): 
      (function execute(inputs, outputs) {
    gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
    gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
    gs.info("Stage: " + inputs['assignmentstage']);
    var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
    r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
    r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
    r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
    var response = r.execute();
    var responseBody = response.getBody();
    var httpStatus = response.getStatusCode();
    var requestBody =  r.getRequestBody();
    gs.info("requestBody: " + requestBody);
    gs.info("responseBody: " + responseBody);
    gs.info("httpStatus: " + httpStatus);
    })(inputs, outputs);
    4. Salve a ação
    5. Selecione o botão "Novo" para criar um novo fluxo.
    6. Digite o nome do fluxo, selecione Executar como – Usuário do sistema e selecione enviar.
  5. Para criar gatilhos no ServiceNow, siga estas etapas:
    1. Selecione "Adicionar gatilho" e, em seguida, selecione o gatilho "atualizado" e execute o gatilho para cada atualização.
    2. Adicione uma condição de filtro atualizando a condição conforme mostrado na imagem a seguir: Captura de tela da API de retomada de gerenciamento de direitos de chamada do ServiceNow
    3. Selecione concluído.
    4. Selecione adicionar uma ação Captura de tela do gatilho do fluxograma.
    5. Selecione a Ação e, em seguida, selecione a ação criada na etapa anterior. Captura de tela da seleção de ações do designer de fluxo.
    6. Arraste e solte as colunas recém-criadas do registro de solicitação para os parâmetros de ação apropriados.
    7. Selecione "Concluído", "Salvar" e, em seguida, "Ativar". Captura de tela de salvar e ativar no designer de fluxo.

Solicitar acesso a um pacote de acesso como utilizador final

Quando um usuário final solicita acesso a um pacote de acesso, a solicitação é enviada para o aprovador apropriado. Depois que o aprovador concede aprovação, o Gerenciamento de Direitos chama o Aplicativo Lógico. Em seguida, o aplicativo Logic chama ServiceNow para criar uma nova solicitação/tíquete e o Gerenciamento de Direitos aguarda um retorno de chamada do ServiceNow.

Captura de ecrã a mostrar o pedido de um pacote de acesso.

Receber acesso ao pacote de acesso solicitado como utilizador final

A equipe de suporte de TI trabalha no ticket criado acima para fazer as provisões necessárias e fechar o ticket ServiceNow. Quando o tíquete é fechado, o ServiceNow dispara uma chamada para retomar o fluxo de trabalho do Gerenciamento de Direitos. Uma vez concluído o pedido, o requerente recebe uma notificação da gestão de direitos de que o pedido foi satisfeito. Esse fluxo de trabalho simplificado garante que as solicitações de acesso sejam atendidas de forma eficiente e que os usuários sejam notificados prontamente.

Captura de ecrã do histórico de pedidos do My Access.

Nota

O usuário final verá "falha na atribuição" no portal MyAccess se o ticket não for fechado dentro de 14 dias.

Próximos passos

Avance para o próximo artigo para saber como criar...

Acione aplicativos lógicos com extensões personalizadas no gerenciamento de direitos