Compartilhar via

Tutorial: criação automatizada de tíquetes do ServiceNow com a integração de gerenciamento de direitos do Microsoft Entra

  • Artigo

Cenário: nesse cenário, você aprende a usar a extensibilidade personalizada e um aplicativo lógico para gerar automaticamente tíquetes do ServiceNow para o provisionamento manual de usuários que receberam atribuições e precisam acessar aplicativos.

Neste tutorial, você aprenderá como:

  • Adicionar um Fluxo de trabalho do Aplicativo Lógico a um catálogo existente.
  • Adicionar uma extensão personalizada a uma política dentro de um pacote de acesso existente.
  • Registrar um aplicativo na ID do Microsoft Entra para retomar o fluxo de trabalho do Gerenciamento de Direitos
  • Configurar o ServiceNow para Autenticação de Automação.
  • Solicitar acesso a um pacote de acesso como um usuário final.
  • Receber acesso ao pacote de acesso solicitado como um usuário final.

Pré-requisitos

Observação

Recomenda-se usar uma função de privilégio mínimo ao concluir essas etapas.

Adicionar o Fluxo de trabalho do Aplicativo Lógico a um Catálogo existente para Gerenciamento de direitos

Para adicionar um fluxo de trabalho de Aplicativo Lógico a um catálogo existente, use o modelo ARM para a criação do Aplicativo Lógico aqui:

Implantar no Azure.

Captura de tela de modelo do ARM do Aplicativo Lógico.

Forneça a assinatura do Azure, as informações do grupo de recursos, juntamente com o nome do Aplicativo Lógico e a ID do Catálogo a serem associados com o Aplicativo Lógico e selecione comprar. Para obter mais informações sobre como criar um novo catálogo, consulte: Criar e gerenciar um catálogo de recursos no gerenciamento de direitos.

  1. Navegue até o centro de administração do Microsoft Entra Identity Governance - Centro de administração do Microsoft Entra como pelo menos a função de Administrador de Governança de Identidade.

    Dica

    Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o proprietário do catálogo e o proprietário do grupo de recursos.

  2. No menu esquerdo, selecione Catálogos.

  3. Selecione o catálogo para o qual deseja adicionar uma extensão personalizada e, no menu à esquerda, selecione Extensões Personalizadas.

  4. Na barra de navegação do cabeçalho, selecione Adicionar uma Extensão Personalizada.

  5. Na guia Informações básicas, insira o nome da extensão personalizada e uma descrição do fluxo de trabalho. Esses campos aparecerão na guia Extensões Personalizadas do Catálogo. Captura de tela da criação de uma extensão personalizada para o gerenciamento de direitos.

  6. Selecione o Tipo de Extensão como "Fluxo de trabalho de solicitação" para corresponder ao estágio da política do pacote de acesso solicitado que está sendo criado. Captura de tela da guia de ações de comportamento de extensão personalizada do gerenciamento de direitos.

  7. Selecione Iniciar e aguardar na Configuração de extensão, que pausará a ação do pacote de acesso associado até que o Aplicativo Lógico vinculado à extensão conclua sua tarefa e uma ação de retomada seja enviada pelo administrador para continuar o processo. Para obter mais informações sobre esse processo, consulte: Configurar extensões personalizadas que pausam os processos de gerenciamento de direitos.

  8. Na guia Detalhes, selecione Não no campo "Criar Aplicativo lógico", pois o Aplicativo Lógico já foi criado nas etapas anteriores. No entanto, você precisa fornecer as informações da assinatura do Azure e do grupo de recursos, juntamente com o nome do Aplicativo Lógico. Captura de tela da guia de detalhes da extensão personalizada do gerenciamento de direitos.

  9. Em Revisar e Criar, analise o resumo da extensão personalizada e verifique se os detalhes da chamada do Aplicativo lógico estão corretos. Em seguida, selecione Criar.

  10. Essa extensão personalizada para o Aplicativo Lógico vinculado agora aparece na guia Extensões Personalizadas em Catálogos. Você pode chamá-la em políticas do pacote de acesso.

Dica

Para saber mais sobre o recurso de extensão personalizada que pausa os processos de gerenciamento de direitos, consulte: Configurar extensões personalizadas que pausam os processos de gerenciamento de direitos.

Adicionar uma Extensão personalizada a uma política em um Pacote de acesso existente

Depois de configurar a extensibilidade personalizada no catálogo, os administradores podem criar um pacote de acesso com uma política para disparar a extensão personalizada quando a solicitação for aprovada. Isso permite definir requisitos de acesso específicos e adaptar o processo de revisão de acesso para atender às necessidades da organização.

  1. No portal do Identity Governance como pelo menos um Administrador do Identity Governance, selecione Pacotes de acesso.

    Dica

    Outras funções de privilégio mínimo que podem concluir essa tarefa incluem o proprietário do catálogo e o gerenciador de pacotes do Access.

  2. Selecione o pacote de acesso ao que você deseja adicionar uma extensão personalizada (Aplicativo Lógico) na lista de pacotes de acesso que já foram criados.

  3. Altere para a guia da política, escolha a política e clique em Editar.

  4. Nas configurações de política, acesse a guia Extensões Personalizadas.

  5. No menu abaixo Preparar, selecione o evento de pacote de acesso que você deseja usar como gatilho para essa extensão personalizada (Aplicativo Lógico). Em nosso cenário, para disparar o fluxo de trabalho do Aplicativo Lógico de extensão personalizada quando o pacote de acesso tiver sido aprovado, selecione Solicitação aprovada.

Observação

Para criar um tíquete do ServiceNow para uma atribuição expirada que tinha permissão concedida anteriormente, adicione um novo estágio para "Atribuição foi removida" e selecione o Aplicativo lógico.

  1. No menu abaixo de Extensão Personalizada, selecione a extensão personalizada (Aplicativo lógico) que você criou nas etapas acima para adicionar a esse pacote de acesso. A ação que você selecionar é executada quando o evento selecionado no campo quando ocorrer.

  2. Selecione Atualizar para adicionar a uma política do pacote de acesso existente. Captura de tela dos detalhes da extensão personalizada de um pacote de acesso.

Observação

Selecione Novo pacote de acesso, se desejar criar um novo pacote de acesso. Para obter mais informações sobre como criar um pacote de acesso, confira: Criar um novo pacote de acesso no gerenciamento de direitos. Para obter mais informações sobre como editar um pacote de acesso existente, consulte: Configurações de solicitação de alteração de um pacote de acesso no gerenciamento de direitos do Microsoft Entra.

Registre um aplicativo no Centro de administração do Microsoft Entra

Dica

As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.

Com o Azure, você pode usar o Azure Key Vault para armazenar segredos do aplicativo, como senhas. Para registrar um aplicativo com segredos no Centro de administração do Microsoft Entra, siga estas etapas:

  1. Entre no centro de administração do Microsoft Entra como, no mínimo, Administrador de Governança de Identidade.

  2. Navegue até Identidade>Aplicativos>Registros do aplicativo.

  3. Em "Gerenciar", selecione Registros de aplicativo > Novo registro.

  4. Insira um Nome de exibição para o seu aplicativo.

  5. Selecione “Somente contas neste diretório organizacional” no tipo de conta compatível.

  6. Selecione Registrar.

Depois de registrar seu aplicativo, você deve adicionar um segredo do cliente seguindo estas etapas:

  1. Navegue até Identidade>Aplicativos>Registros do aplicativo.

  2. Selecione seu aplicativo.

  3. Selecione Certificados e segredos > Segredos do cliente > Novo segredo do cliente.

  4. Adicione uma descrição para o segredo do cliente.

  5. Selecione uma data de expiração para o segredo ou especifique um tempo de vida personalizado.

  6. Selecione Adicionar.

Observação

Para encontrar mais informações sobre o registro de um aplicativo, confira: Início Rápido: registrar um aplicativo na plataforma de identidade da Microsoft:

Para autorizar o aplicativo criado a chamar a API de retomada do MS Graph, faça as seguintes etapas:

  1. Navegue até o centro de administração do Microsoft Entra Governança de Identidade - centro de administração do Microsoft Entra

  2. No menu esquerdo, selecione Catálogos.

  3. Selecione o catálogo ao qual você adicionou a extensão personalizada.

  4. Selecione o menu "Funções e administradores" e selecione "+ Adicionar gerente de atribuição de pacote de acesso".

  5. Na caixa de diálogo Selecionar membros, pesquise o aplicativo criado por nome ou Identificador de aplicativo. Selecione o aplicativo e clique no botão “Selecionar”.

Dica

Você pode encontrar informações mais detalhadas sobre delegação e funções na documentação oficial da Microsoft aqui: Delegação e funções no gerenciamento de direitos.

Configurar o ServiceNow para Autenticação de Automação

Neste momento, é hora de configurar o ServiceNow para retomar o fluxo de trabalho do gerenciamento de direitos após o fechamento do tíquete do ServiceNow:

  1. Registre um aplicativo do Microsoft Entra no Registro de Aplicativos do ServiceNow seguindo estas etapas:
    1. Entre no ServiceNow e navegue até o Registro de aplicativo.
    2. Selecione “Novo” e, em seguida, clique em “Conectar-se a um provedor OAuth de terceiros”.
    3. Insira um nome para o aplicativo e selecione Credenciais do Cliente no tipo de Concessão Padrão.
    4. Insira o Nome do Cliente, ID, Segredo do Cliente, URL de Autorização e a URL do Token que foram gerados quando você registrou o aplicativo do Microsoft Entra no Centro de administração do Microsoft Entra.
    5. Envie o aplicativo. Captura de tela do registro do aplicativo dentro do ServiceNow.
  2. Crie uma mensagem da API REST do Serviço Web do Sistema seguindo estas etapas:
    1. Vá para a seção Mensagens da API REST em Serviços Web do Sistema.
    2. Selecione o botão "Novo" para criar uma nova mensagem da API REST.
    3. Preencha todos os campos obrigatórios, que incluem o fornecimento da URL do Ponto de extremidade: https://graph.microsoft.com/v1.0/identityGovernance/entitlementManagement/accessPackageAssignmentRequests/${AccessPackageAssignmentRequestId}/resume
    4. Para a Autenticação, selecione OAuth2.0 e escolha o perfil OAuth que foi criado durante o processo de registro do aplicativo.
    5. Selecione o botão “Enviar” para salvar as alterações.
    6. Volte para a seção Mensagens da API REST em Serviços Web do Sistema.
    7. Selecione Solicitação Http e, em seguida, selecione “Novo”. Insira um nome e selecione "POST" como o método Http.
    8. Na solicitação Http, adicione o conteúdo dos parâmetros de consulta Http usando o seguinte esquema de API: 
      {
"data": {
    "@odata.type": "#microsoft.graph.accessPackageAssignmentRequestCallbackData",
    "customExtensionStageInstanceDetail": "Resuming-Assignment for user",
    "customExtensionStageInstanceId": "${StageInstanceId}",
    "stage": "${Stage}"
          },
          "source": "ServiceNow",
            "type": "microsoft.graph.accessPackageCustomExtensionStage.${Stage}"
            }
    9. Selecione “Enviar” para salvar as alterações. Captura de tela da seleção de retomada de chamada no ServiceNow.Captura de tela da solicitação HTTP no ServiceNow.
  3. Modificar o esquema da tabela de solicitação: para modificar o esquema da tabela de solicitação, faça alterações nas três tabelas mostradas na imagem a seguir: Captura de tela do esquema da tabela de solicitação no ServiceNow. Adicione o rótulo de três colunas e digite como cadeia de caracteres:
    • AccessPackageAssignmentRequestId
    • AccessPackageAssignmentStage
    • StageInstanceId
  4. Para automatizar o fluxo de trabalho com o Designer de fluxo, faça o seguinte:
    1. Entre no ServiceNow e vá para Designer de fluxo.
    2. Selecione o botão “Novo” e crie uma nova ação.
    3. Adicione uma ação para invocar a mensagem da API REST do Serviço Web do Sistema que foi criada na etapa anterior. Captura de tela do script do designer de fluxo para retomar o processo do gerenciamento de direitos no ServiceNow. Script da ação: (atualize o script com os rótulos de coluna criados na etapa anterior): 
      (function execute(inputs, outputs) {
    gs.info("AccessPackageAssignmentRequestId: " + inputs['accesspkgassignmentrequestid']);
    gs.info("StageInstanceId: " + inputs['customextensionstageinstanceid'] );
    gs.info("Stage: " + inputs['assignmentstage']);
    var r = new sn_ws.RESTMessageV2('Resume ELM WorkFlow', 'RESUME');
    r.setStringParameterNoEscape('AccessPackageAssignmentRequestId', inputs['accesspkgassignmentrequestid']);
    r.setStringParameterNoEscape('StageInstanceId', inputs['customextensionstageinstanceid'] );
    r.setStringParameterNoEscape('Stage', inputs['assignmentstage']);
    var response = r.execute();
    var responseBody = response.getBody();
    var httpStatus = response.getStatusCode();
    var requestBody =  r.getRequestBody();
    gs.info("requestBody: " + requestBody);
    gs.info("responseBody: " + responseBody);
    gs.info("httpStatus: " + httpStatus);
    })(inputs, outputs);
    4. Salve a Ação
    5. Selecione o botão “Novo” para criar um fluxo.
    6. Insira o nome do fluxo, selecione Executar como – Usuário do Sistema e selecione enviar.
  5. Para criar gatilhos no ServiceNow, siga estas etapas:
    1. Selecione “Adicionar gatilho” e, em seguida, selecione gatilho “atualizado” e execute o gatilho para cada atualização.
    2. Adicione uma condição de filtro atualizando a condição conforme mostrado na seguinte imagem: Captura de tela da API de currículo de gerenciamento de direitos de chamada do ServiceNow
    3. Clique em Concluído.
    4. Selecione adicionar uma açãoCaptura de tela do gatilho do diagrama de fluxo.
    5. Selecione a Ação e, em seguida, selecione a ação criada na etapa anterior. Captura de tela da seleção de ações do designer de fluxo.
    6. Arraste e solte as colunas recém-criadas do registro de solicitação para os parâmetros de ação apropriados.
    7. Selecione “Concluído”, “Salvar” e, em seguida, “Ativar”. Captura de tela de salvar e ativar dentro do designer de fluxo.

Solicitar acesso a um pacote de acesso como um usuário final

Quando um usuário final solicita acesso a um pacote de acesso, a solicitação é enviada ao aprovador adequado. Depois que o aprovador conceder aprovação, o Gerenciamento de Direitos chamará o Aplicativo Lógico. Em seguida, o Aplicativo lógico chama o ServiceNow para criar uma nova solicitação/tíquete e o Gerenciamento de Direitos aguarda um retorno de chamada do ServiceNow.

Captura de tela da solicitação a um pacote de acesso.

Receber acesso ao pacote de acesso solicitado como um usuário final

A Equipe de suporte de TI trabalha na criação do tíquete acima para fazer as provisões necessárias e fechar o tíquete do ServiceNow. Quando o tíquete é encerrado, o ServiceNow dispara uma chamada para retomar o fluxo de trabalho do Gerenciamento de Direitos. Uma vez concluída a solicitação, o solicitante recebe uma notificação do gerenciamento de direitos de que a solicitação foi cumprida. Esse fluxo de trabalho simplificado garante que as solicitações de acesso sejam atendidas com eficiência e que os usuários sejam notificados imediatamente.

Captura de tela do histórico de solicitações do Meus Acessos.

Observação

O usuário final verá “falha na atribuição” no portal Meus Acessos se o tíquete não for encerrado dentro de 14 dias.

Próximas etapas

Prossiga para o próximo artigo para aprender a criar...

Disparar Aplicativos Lógicos com extensões personalizadas no gerenciamento de direitos