Configurar o ServiceNow para provisionamento automático de usuários

Este artigo descreve as etapas que você executará no ServiceNow e no Microsoft Entra ID para configurar o provisionamento automático de usuários. Quando o Microsoft Entra ID é configurado, ele provisiona e desprovisiona automaticamente usuários e grupos para o ServiceNow usando o serviço de provisionamento do Microsoft Entra.

Para obter mais informações sobre o serviço de provisionamento automático de usuários do Microsoft Entra, consulte Automatizar o provisionamento e o desprovisionamento de usuários para aplicativos SaaS com a ID do Microsoft Entra.

Capacidades suportadas

• Crie usuários no ServiceNow.
• Remova os usuários no ServiceNow quando eles não precisarem mais de acesso.
• Mantenha os atributos do usuário sincronizados entre o Microsoft Entra ID e o ServiceNow.
• Provisione grupos e associações de grupos no ServiceNow.
• Permitir logon único para ServiceNow (recomendado).

Pré-requisitos

• Uma conta de usuário do Microsoft Entra com uma assinatura ativa. Se ainda não tiver uma, pode criar uma conta gratuitamente.
• Uma das seguintes funções: Administrador Global, Administrador de Aplicações na Cloud, Administrador de Aplicações ou proprietário do principal de serviço.
• Uma instância ServiceNow de Calgary ou superior.
• Uma instância ServiceNow Express de Helsinki ou superior.
• Uma conta de usuário no ServiceNow com a função de administrador.

Nota

Essa integração também está disponível para uso no ambiente Microsoft Entra US Government Cloud. Pode encontrar esta aplicação na Microsoft Entra US Government Cloud Application Gallery e configurá-la da mesma forma que faz a partir da nuvem pública.

Etapa 1: Planejar a implantação do provisionamento

• Saiba como funciona o serviço de aprovisionamento.
• Determine quem vai estar no âmbito do aprovisionamento.
• Determine quais dados mapear entre o Microsoft Entra ID e o ServiceNow.

Etapa 2: Configurar o ServiceNow para dar suporte ao provisionamento com a ID do Microsoft Entra

1. Identifique o nome da instância do ServiceNow. Você pode encontrar o nome da instância na URL que você usa para acessar ServiceNow. No exemplo a seguir, o nome da instância é dev35214.

   

2. Obtenha credenciais para um administrador no ServiceNow. Vá para o perfil de usuário no ServiceNow e verifique se o usuário tem a função de administrador.

   

Etapa 3: Adicionar ServiceNow da galeria de aplicativos do Microsoft Entra

Adicione ServiceNow da galeria de aplicativos Microsoft Entra para começar a gerenciar o provisionamento para ServiceNow. Se você configurou anteriormente o ServiceNow para logon único (SSO), poderá usar o mesmo aplicativo. No entanto, recomendamos que você crie um aplicativo separado quando estiver testando a integração. Saiba mais sobre como adicionar um aplicativo da galeria.

Etapa 4: Definir quem estará no escopo do provisionamento

O serviço de provisionamento do Microsoft Entra permite definir o escopo de quem será provisionado com base na atribuição ao aplicativo ou com base nos atributos do usuário ou grupo. Se você optar por definir o escopo de quem será provisionado para seu aplicativo com base na atribuição, poderá usar as etapas para atribuir usuários e grupos ao aplicativo. Se você optar por definir o escopo de quem será provisionado com base apenas nos atributos do usuário ou grupo, poderá usar um filtro de escopo.

Tenha em mente as seguintes dicas:

• Ao atribuir usuários e grupos ao ServiceNow, você deve selecionar uma função diferente de Acesso Padrão. Os utilizadores com a função Acesso Predefinido são excluídos do aprovisionamento e marcados como não autorizados de forma efetiva nos registos de aprovisionamento. Se a única função disponível no aplicativo for a função Acesso Padrão, você poderá atualizar o manifesto do aplicativo para adicionar mais funções.

• Se precisar de funções adicionais, você pode atualizar o manifesto do aplicativo para adicionar novas funções.

Etapa 5: Configurar o provisionamento automático de usuários para ServiceNow

Esta seção orienta você pelas etapas para configurar o serviço de provisionamento do Microsoft Entra para criar, atualizar e desabilitar usuários e grupos no TestApp. Você pode basear a configuração em atribuições de usuário e grupo no Microsoft Entra ID.

Para configurar o provisionamento automático de usuários para ServiceNow no Microsoft Entra ID:

1. Entre no centro de administração do Microsoft Entra como pelo menos um administrador de aplicativos na nuvem.

2. Navegue até Aplicativos de identidade>>Aplicativos corporativos.

   

3. Na lista de aplicativos, selecione ServiceNow.

4. Selecione o separador Aprovisionamento.

5. Defina o Modo de provisionamento como Automático.

6. Na seção Credenciais de administrador, insira suas credenciais de administrador e nome de usuário do ServiceNow. Selecione Testar conexão para garantir que o Microsoft Entra ID possa se conectar ao ServiceNow. Se a conexão falhar, verifique se sua conta ServiceNow tem permissões de administrador e tente novamente.

7. Na caixa Email de notificação, digite o endereço de e-mail de uma pessoa ou grupo que deve receber as notificações de erro de provisionamento. Em seguida, marque a caixa de seleção Enviar uma notificação por e-mail quando ocorrer uma falha.

8. Selecione Guardar.

9. Na seção Mapeamentos, selecione Sincronizar usuários do Microsoft Entra com ServiceNow.

10. Analise os atributos de usuário sincronizados do ID do Microsoft Entra para o ServiceNow na seção Mapeamento de Atributos . Os atributos selecionados como propriedades correspondentes são usados para corresponder às contas de usuário no ServiceNow para operações de atualização.

    Se você optar por alterar o atributo de destino correspondente, precisará garantir que a API ServiceNow ofereça suporte à filtragem de usuários com base nesse atributo.

    Selecione o botão Salvar para confirmar as alterações.

11. Na seção Mapeamentos, selecione Sincronizar grupos do Microsoft Entra com ServiceNow.

12. Analise os atributos de grupo sincronizados do Microsoft Entra ID para ServiceNow na seção Mapeamento de Atributos . Os atributos selecionados como propriedades correspondentes são usados para corresponder aos grupos no ServiceNow para operações de atualização. Selecione o botão Salvar para confirmar as alterações.

13. Para configurar filtros de escopo, consulte as instruções no tutorial Filtro de escopo.

14. Para habilitar o serviço de provisionamento do Microsoft Entra para ServiceNow, altere Status de provisionamento para Ativado na seção Configurações .

15. Defina os usuários e grupos que você deseja provisionar para ServiceNow escolhendo os valores desejados em Escopo na seção Configurações .

    

16. Quando estiver pronto para provisionar, selecione Salvar.

Esta operação inicia o ciclo de sincronização inicial de todos os utilizadores e grupos definidos no Âmbito na secção Definições. O ciclo inicial leva mais tempo para ser executado do que os ciclos subsequentes. Os ciclos subsequentes ocorrem a cada 40 minutos, desde que o serviço de provisionamento Microsoft Entra esteja em execução.

Etapa 6: Monitorar sua implantação

Depois de configurar o provisionamento, use os seguintes recursos para monitorar sua implantação:

• Use os logs de provisionamento para determinar quais usuários foram provisionados com ou sem êxito.
• Verifique a barra de progresso para ver o status do ciclo de provisionamento e quão perto ele está da conclusão.
• Se a configuração de aprovisionamento parecer estar num mau estado de funcionamento, a aplicação vai entrar em quarentena. Saiba mais sobre os estados de quarentena.

Sugestões de resolução de problemas

• Quando você está provisionando determinados atributos (como Departamento e Local) no ServiceNow, os valores já devem existir em uma tabela de referência no ServiceNow. Se isso não acontecer, você receberá um erro InvalidLookupReference .

  Por exemplo, você pode ter dois locais (Seattle, Los Angeles) e três departamentos (Vendas, Finanças, Marketing) em uma determinada tabela no ServiceNow. Se você tentar provisionar um usuário cujo departamento é "Vendas" e cuja localização é "Seattle", esse usuário será provisionado com êxito. Se você tentar provisionar um usuário cujo departamento é "Vendas" e cuja localização é "LA", o usuário não será provisionado. O local "LA" deve ser adicionado à tabela de referência no ServiceNow, ou o atributo de usuário no Microsoft Entra ID deve ser atualizado para corresponder ao formato no ServiceNow.

• Se você receber um erro EntryJoiningPropertyValueIsMissing , revise seus mapeamentos de atributos para identificar o atributo correspondente. Esse valor deve estar presente no usuário ou grupo que você está tentando provisionar.

• Para entender quaisquer requisitos ou limitações (por exemplo, o formato para especificar um código de país para um usuário), revise a API SOAP do ServiceNow.

• As solicitações de provisionamento são enviadas por padrão para https://{your-instance-name}.service-now.com/{table-name}. Se você precisar de uma URL de locatário personalizada, poderá fornecer a URL inteira como o nome da instância.

• O erro ServiceNowInstanceInvalid indica um problema de comunicação com a instância ServiceNow. Aqui está o texto do erro:

  Details: Your ServiceNow instance name appears to be invalid. Please provide a current ServiceNow administrative user name and password along with the name of a valid ServiceNow instance.

  Se você estiver tendo problemas de conexão de teste, tente selecionar Não para as seguintes configurações no ServiceNow:

  • Segurança>do sistema Configurações>de alta segurança Exigem autenticação básica para solicitações SCHEMA de entrada

  • Serviços Web>de Propriedades do Sistema Exigem autorização básica para solicitações SOAP de entrada>

    

  Se você ainda não conseguir resolver o problema, entre em contato com o suporte do ServiceNow e peça para ativar a depuração SOAP para ajudar a solucionar o problema.

• O serviço de provisionamento Microsoft Entra opera atualmente em intervalos de IP específicos. Se necessário, você pode restringir outros intervalos de IP e adicionar esses intervalos de IP específicos à lista de permissões do seu aplicativo. Essa técnica permitirá o fluxo de tráfego do serviço de provisionamento do Microsoft Entra para seu aplicativo.

• Não há suporte para instâncias ServiceNow auto-hospedadas.

• Quando uma atualização para o atributo ativo no ServiceNow é provisionada, o atributo locked_out também é atualizado de acordo, mesmo que locked_out não esteja mapeado no serviço de provisionamento do Azure.

Recursos adicionais

• Gerenciando o provisionamento de conta de usuário para aplicativos corporativos
• O que é o logon único com o Microsoft Entra ID?

Próximos passos

• Saiba como analisar os registos e obter relatórios sobre a atividade de aprovisionamento